mardi 27 septembre 2016
 
p.1
Réduire
Protégez-vous de vos utilisateurs !

Une politique de sécurité doit être appréciée à l’aune de son point le plus faible : l’utilisateur lambda de l’informatique en entreprise. Sans vouloir lui jeter la pierre, il convient cependant d’éviter de lui faire trop confiance concernant le respect des consignes qui lui sont données. Par imprudence ou par malveillance, il peut mettre à mal tout un système informatique. Comment éviter cela ?

Pour les vilains du Net, il est de plus en plus difficile de pénétrer ex abrupto dans les systèmes d’information des entreprises. Celles-ci ont appris, souvent à leurs dépens, qu’il était bon de se protéger. Aujourd’hui, seule une minorité d’entre elles n’ont pas de bouclier contre les nuisances provenant d’Internet avec le célèbre triptyque, antispam, antivirus et firewall. Certaines doublent cette protection sur deux niveaux : les serveurs et les postes clients. Mais si elles sont protégées a minima contre les menaces extérieures, elles restent souvent sans défense contre l’ennemi intérieur ou lorsque l’attaquant a pénétré ce premier périmètre de défense. Ainsi, près de 70 à 80 % des nuisances proviennent de malveillances ou d’erreurs internes à l’entreprise. On peut y ajouter les comportements dangereux ou le glissement des attaques qui ciblent de mieux en mieux les employés des entreprises comme les particuliers.

securite1.jpg
Le centre de recherche de Symantec.

Des attaques visant les individus

Pour pénétrer dans le système d’information d’une entreprise, il est plus simple de le faire avec les mots de passe et codes confidentiels que d’essayer de passer en force. Les hackers l’ont bien compris et ne s’escriment plus à passer les différentes barrières mises en place par les services informatiques. Ils disposent pour cela de différentes armes bien plus efficaces, tournant autour de la problématique de récupération de données sensibles visant à usurper l’identité d’un utilisateur.
L’arme aujourd’hui la plus répandue est le spam. Il a augmenté de près de 274 % au cours de l’année écoulée et encombre à hauteur d’environ 90 % nos boîtes électroniques. Le spam devient ainsi la première nuisance visible dans les boîtes mail des utilisateurs. Si la plupart, en anglais, sont peu sujets à intérêt, ils deviennent cependant de plus en plus ciblés. Récemment, des campagnes de spam, parfaitement rédigées en français, sont arrivées dans les boîtes électroniques. Il n’est pas évident alors, pour un utilisateur non averti, de ne pas cliquer sur ce mail. L’action en soi a peu de conséquences si le spam n’est qu’une offre commerciale. Le plus souvent l’ouverture d’une pièce jointe au mail active un cheval de Troie ou l’ouverture d’une faille permettant d’installer des keyloggers, ces logiciels qui peuvent récupérer les frappes sur les claviers ou les éléments du dossier où se stockent les mots de passe sous Windows.


Les conseils de base aux utilisateurs
Dans un livre blanc consacré au vol d’identité, paru courant janvier 2007, McAfee, éditeur de logiciels de sécurité, propose quelques conseils simples pour éviter les gros ennuis :

• se méfier des messages cherchant à vous inciter à donner des informations confidentielles ;
• éviter de cliquer sur un lien intégré dans un e-mail, mais écrire l’adresse soi-même dans la fenêtre du navigateur ;
• installer des outils de sécurité et les maintenir à jour ;
• réfléchir avant d’ouvrir une pièce jointe quelle que soit sa provenance ;
• ne pas divulguer son adresse mail à n’importe qui ;
• effacer soigneusement le disque dur d’un ordinateur dont vous allez vous séparer ;
• assurez-vous qu’un site Web est sûr avant de déposer des informations personnelles ;
• utilisez des mots de passe difficiles à deviner et renouvelez-les à période régulière ;
• être prudent dans l’usage de sa messagerie instantanée.

Rien de bien transcendant ni de surprenant, mais il est souvent nécessaire de rappeler ces conseils de bases auprès des utilisateurs.



Plus inquiétant, une étude menée par un éditeur d’antivirus scandinave démontrait que 40 % des utilisateurs étaient prêts à acheter à partir d’un e-mail non sollicité. Par ce biais, les ordinateurs peuvent être totalement manipulés à distance et deviennent ce que l’on appelle des PC « zombies » ne répondant qu’aux ordres de leur maîtres des ténèbres ! Selon Vinton Cerf, un des pères d’Internet, un quart des PC connectés sur Internet seraient sujets à cette forme de domination maléfique, soit près de 150 millions d’ordinateurs ! Grosso modo, ces PC zombies peuvent envoyer près de 160 millions de spams en deux heures ! Pour contourner les protections actuelles, les spammers utilisent de plus en plus la présence d’images dans leurs messages. Les moteurs actuels, pour des raisons de confort des utilisateurs ne regardent que peu les images et laissent passer ces « spams imagés ». Ils représentent désormais près de 35 % des spams totaux dans le monde.


Les extensions du spam

Ce type d’attaques se répand sur d’autres supports. Ainsi, dans son dernier rapport, le Clusif, organisme de veille sur la sécurité, voit comme tendance 2007 l’extension du spam aux plates-formes de VoIP connue sous l’acronyme de Spit (SPam over Ip Telephony) ! Ces attaques se comportent comme des attaques de spams, mais sur des téléphones VoIP. Un vrai bonheur, lorsqu’on décroche, de se voir infliger un SMS ou un message vocal proposant de petites pilules bleues pour assurer un bon équilibre sexuel…
Cette menace est déjà anticipée par les éditeurs d’anti-virus qui ajoutent à leur gamme des produits spécialisés dans les environnements mobiles. Sophos et Kaspersky viennent de lancer deux produits dans le domaine. Ces produits cherchent aussi à éviter une catastrophe quasi annoncée : un virus répliquant à partir d’une plate-forme mobile. Actuellement, les plates-formes Symbian sont les plus visées par les virus sur les mobiles. La montée en puissance des développements sur Windows Mobile 5.0, et la toute prochaine 6.0, devraient augmenter l’intérêt des hackers pour les environnements mobiles à l’avenir.


L’exploitation des données du spam

Ces méthodes de spam ou de phishing, en routant un utilisateur vers un faux site Web, ont pour but de récupérer des informations confidentielles pour les utiliser. Le but des hackers est aujourd’hui de faire de l’argent. Avec ces codes, ils souhaitent pouvoir extorquer de l’argent directement ou blanchir des sommes frauduleuses déjà récupérées.


Former vos utilisateurs par le jeu
Si les utilisateurs de l’entreprise connaissent les bons usages en termes de sécurité informatique, ils ne les appliquent que très rarement ! Il s’agit donc de développer une culture de la sécurité et de faire en sorte que les utilisateurs ne soient plus le maillon faible de la sécurité du SI mais, au contraire, œuvrent à le renforcer. Conscio Technologies développe une gamme d’outils qui permet d’évaluer les comportements des collaborateurs et de proposer des solutions de sécurité adaptées par des logiciels de jeux. Ces outils d’apprentissage permettent de sensibiliser les employés aux réflexes à adopter. Développer en 3D, Scenarisk 3D s’appuie sur un ensemble de saynètes, reprenant des situations d’entreprise, suivies de quiz. Suivant les réponses aux quiz, une explication ou un rappel des règles à respecter sont présentées à l’utilisateur. Les saynètes couvrent des situations comme les mots de passe, les logiciels malveillants, la messagerie. Elles sont destinées à être diffusées sur un intranet ou en mode ASP. Personnalisable, l’outil permet de suivre par des statistiques l’évolution des comportements des utilisateurs.
scenarisk-1.jpg



Pour l’industrie du crime sur le Net, ce point est critique. Les règles de transferts d’argent entre les pays sont drastiques et demandent beaucoup d’imagination aux hackers pour profiter de l’argent qu’ils ont détourné. On a vu au cours de l’année écoulée apparaître des campagnes de recrutement de « mule ». À l’instar des mules des trafiquants de drogue, celles-ci ont pour but de réaliser les transferts d’argent offrant ainsi une couverture à celui qui profite réellement de l’argent.
Un schéma simple permet de clarifier la situation. Un émetteur de spam récupère plusieurs commandes de Viagra et des paiements de clients français. Pour pouvoir transférer l’argent, il recrute une mule. Le portrait de celle-ci est simple. Elle doit avoir un compte bancaire à disposition, regarder ces mails plusieurs fois par jour, être assez disponible. Les sommes détournées arrivent sur le compte de la mule dans le pays où les sommes ont été récupérées. Lorsque les sommes ont été créditées, la mule reçoit un mail lui enjoignant, par exemple, de sortir les sommes du compte et de les transférer par un mandat Western Union vers une personne dans le pays où les sommes finissent leur vie malhonnête.
Parmi ces mules, il n’y a pas que des profils malhonnêtes. Des cadres d’entreprise attirés par des gains d’argent facile se sont lancés dans cette activité. De plus, les hackers font tout pour rendre ce travail le plus officiel possible, avec demandes de renseignements précis, fourniture d’un contrat de travail au nom d’une société bidon. Bref, tout est fait pour faire croire que le tâche de transfert de fonds est un travail réel.
Pour des raisons de discrétion, les mules ne travaillent en fait qu’une ou deux fois et sont ensuite laissées aux conséquences de leurs actes. La plupart du temps, les conséquences sont assez minimes mais gênantes pour la mule. Ainsi, elle se trouve la plupart du temps éjectée de sa banque avec une grosse ligne sur son dossier bancaire. C’est un minimum. Si sa bonne foi est engagée, cela peut aller jusqu’à la complicité d’escroquerie ou la complicité de blanchiment. Nous ne détaillerons pas non plus les conséquences fiscales pour la mule qui devra certainement expliquer au fisc l’origine des revenus (un pourcentage prélevé sur la somme qu’il a fait transiter vers l’étranger) qu’il aura évidemment déclaré à son inspecteur des impôts ! Il est tout de même difficile de croire que ces mules s’engagent sans savoir réellement ce qu’elles font, même si elles profitent de cet état de fait pour prouver qu’elles ont été abusées afin d’échapper aux conséquences de leurs actions.
Il n’y a pas encore eu de cas avéré de personnes réalisant ce type de travail de l’intérieur d’une entreprise, mais le scénario existe où un comptable voulant se faire un peu d’argent pourrait utiliser l’un des comptes de la société auquel il a accès pour faire transiter ces sommes et les faire parvenir aux hackers. La responsabilité de l’entreprise serait totalement engagée. Comme on dit en statistique, le risque est « non nul » que cela se produise !


Le vol d’identité

Autre tendance forte, les données récupérées servent à se substituer à une personne ou à une entreprise pour effectuer différentes opérations financières. Ainsi, on récupère l’identité électronique et les éléments probants de l’identité et des hackers ouvrent des prêts, effectuent des achats d’actions en ligne, vident votre compte en banque…
Le phénomène est quasiment endémique dans certains pays et, régulièrement, les journaux se font l’écho de détournements d’identités à grande échelle. Récemment, la sauvegarde d’un établissement canadien s’est « perdue » entre Montréal et Toronto. Elle comprenait les codes et identifications de nombreux clients. Elles vont certainement alimenter le marché de ceux qui profitent de fausses identités sur le Net. Aux États-Unis, le mal est omniprésent avec près de 10 millions de victimes chaque année. La facture pour l’économie américaine a été estimée à 50 milliards de dollars par la Federal Trade Commission. En Grande-Bretagne, les conséquences de tels vols d’identité sont moindres, avec des dégâts estimés à 3,2 milliards de dollars. Le coût moyen par incident se chiffre à 400 $. Ce niveau peut sembler faible. Il peut parfois passer inaperçu et donc permettre de continuer les petites opérations. D’autre part, ce faible coût relativise souvent la volonté des victimes à engager des poursuites contre le criminel. Des attaques ciblées contre une université américaine ont permis de récupérer des informations confidentielles, comme des données de paiement et des numéros de sécurité sociale des étudiants et des personnels de l’université.


Et la messagerie instantanée ?
Dans une étude récente, réalisée par le Radicati Group pour Symantec, il est indiqué que 80 % des entreprises laissent leurs employés utiliser les messageries instantanées ; moins rassurant, 80 % des entreprises déclarent ne pas avoir de solutions de sécurité pour ces messageries. Inquiétant lorsque l’on sait que les menaces visant ces messageries ont augmentées de 1 693 % en 2005 avec plus de 2 400 incidents recensés. Les principaux vecteurs d’attaques sont des virus de type worms (87 %), devant des chevaux de Troie (12 %) et les vulnérabilités des clients de messageries (1 %).



Certains vols se sont déroulés à la suite de vols ou de pertes d’ordinateurs portables. Une étude de l’université de Leicester constate que les ordinateurs d’occasion sont aussi un gisement intéressant d’informations confidentielles avec des risques de fraude ou d’usurpation d’identité. Alors que près de 25 % des ordinateurs d’occasion retrouvent une seconde vie dans des entreprises, ou chez des particuliers, la moitié recèlerait des informations suffisantes pour permettre des opérations d’usurpation d’identité. Avec un simple logiciel courant de récupération de données, que n’importe qui peut trouver dans le commerce, les auteurs de cette étude ont retrouvé des coordonnées de comptes bancaires, des échanges de correspondance mail, des mots de passe en vrac, des CV, la liste des noms et des placements effectués par un grand établissement financier, l’inscription et les échanges pour un compte en ligne chez un voyagiste, des tableaux détaillant des positions de comptes avec des fournisseurs, découverts bancaires et TVA…

Ces différentes attaques montrent que loin de s’attaquer aux entreprises les hackers s’intéressent aujourd’hui aux utilisateurs en entreprise comme aux particuliers et adaptent leurs tactiques pour obtenir des informations précises et exploitables. Elles démontrent aussi que ces attaques sont efficaces.

Security-Suite-Fenetre.jpg
Le cryptage des données sur les postes des utilisateurs est une des réponses possibles contre les intrusions ou la perte de données sensibles. Ici, le panneau d’accueil de l’outil de Steganos.


Comment faire face ?

La sécurité devient un véritable enjeu pour les entreprises devant les sommes qu’elles engagent pour se protéger et sur les répercussions qu’un incident peut avoir sur leur activité. Souvent, il faut reconnaître que la sensibilisation dans les entreprises se résume, au mieux, à la charte de l’utilisation d’Internet que l’employé lit lors de son arrivée dans l’entreprise. Comme le permis de conduire, il oublie vite ce qu’il a appris pour retrouver ses comportements habituels. Une véritable politique de sensibilisation vers les utilisateurs doit donc être mise en place en concertation avec ceux-ci. Montrer les conséquences ou expliquer dans quels cas la responsabilité de l’employé peut être engagée sont souvent suffisants pour modifier certains comportements. Cette sensibilisation doit cependant se faire dans le cadre du code du travail et ne pas ressembler à un « flicage » inconsidéré de l’employé.

Exprimer clairement les buts de cette sensibilisation est un must ! Il est aussi possible d’expliquer que certains périphériques et comportements sont interdits pour des raisons de sécurité. Le fait d’avoir accès à un VPN à partir de son domicile pour se connecter à l’entreprise n’est pas un signe extérieur de position dominante dans l’entreprise mais une nécessité pour les personnes travaillant à l’extérieur du périmètre de l’entreprise. Formation, sensibilisation et automatisation des outils sont les principales pistes à suivre pour rendre la sécurité efficace. L’automatisation permet surtout de rendre cette politique de sécurité transparente par l’utilisateur. Elle a l’avantage de laisser le problème au niveau de l’infrastructure et de reposer sur des réponses matériels ou logicielles où l’humain intervient peu. Elle est donc moins sujette aux erreurs, ou autres malveillances. Rester à ce niveau permet aussi d’éviter qu’un employé de l’entreprise puisse sortir des documents confidentiels auxquels il n’aurait normalement pas accès. Comme nous le verrons par la suite dans ce dossier, les solutions de gestion des identités et des accès peuvent apporter des réponses en permettant à l’entreprise de savoir qui fait quoi chez elle.
p.2
Réduire
Sniffing
Quand le pirate espionne le réseau de l’intérieur

De nos jours, les réseaux sont surprotégés en ce qui concerne les attaques susceptibles de venir d’Internet. Hélas, la plus dangereuse des menaces est interne : il s’agit de l’espionnage ciblé des données, c’est-à-dire le sniffing.

Entre les firewalls, sur la passerelle – mais certains en installent même sur les postes de travail, alors que cela n’a pas vraiment d’utilité –, les antivirus sur les serveurs d’e-mails des fournisseurs d’accès, où ils sont le plus efficaces, et les anti-spywares sur les machines des utilisateurs, les logiciels malveillants du Web n’ont plus beaucoup de chance de passer. Seulement voilà, les dernières études en matière de sécurité s’accordent toutes sur un point : dans plus de 80 % des cas, le piratage d’un réseau est effectué de l’intérieur. Outre des actes de vandalisme et autres détournements illégitimes de l’utilisation du système d’information, le pirate situé à l’intérieur du réseau a pour principale activité de partir à la chasse aux informations, sous-entendu celles qui ne le concernent pas.


L’administrateur piégé par un pot de miel
Pour récupérer le mot de passe de son administrateur, quoi de mieux que de l’inviter à se « logguer » sur un serveur bidon (ça s’appelle « un pot de miel ») que le pirate a activé sur sa machine ? La mise en place d’un tel serveur passe, à partir du Shell de tout système Unix ou de Windows, par la commande « nc -l -p », laquelle ouvre un port, comme le ferait n’importe quel logiciel serveur. Par exemple, s’il dispose d’un Mac ou d’un PC sous Linux, le pirate n’a normalement aucune raison d’avoir le port 3389 d’administration à distance ouvert, mais il peut enregistrer dans un fichier « port3389.log » toutes les requêtes qui tentent de s’y connecter grâce à la commande suivante :

nc -l -p 3389 >port3389.log


Pour faire plus réaliste, on peut même afficher le contenu d’un fichier texte sur la console de la personne en cours de connexion sur le faux serveur. Par exemple, enregistrez dans le fichier « toto.txt » le message « Enter valid login:password : », puis faites croire que vous avez un serveur FTP auquel on ne peut accéder qu’avec un login et un mot de passe valides (ceux de l’administrateur le sont toujours, voyons) grâce à la commande :

nc -l -p 21 port21.log


Le faux serveur s’arrête dès que la personne distante se déconnecte, mais (si l’on dispose de la version GNU de « nc ») on peut le laisser actif en permanence en remplaçant « -l » par « -L ». Un bon administrateur doit parfaitement connaître les services actifs sur son réseau. S’il en découvre un nouveau, il doit physiquement aller enquêter sur la machine qui le fait tourner plutôt que de jouer avec à distance !




Le sniffing, ou comment espionner ce que font les collègues

L’espionnage le plus courant est appelé le sniffing, à savoir écouter tout ce qui passe par les câbles du réseau. De nos jours, les administrateurs relient les bureaux à des switches, c’est-à-dire des boîtiers commutateurs qui ont l’intelligence de n’envoyer que sur le bon câble RJ45 les informations destinées à la machine située à l’autre bout. Cela dit, pour des raisons de commodités, il est fréquent d’installer des multiprises RJ45 d’appoint – ça s’appelle des « hubs » – voire une borne Wi-Fi sans configuration spéciale (on la sort du carton, on la branche, et hop). Ces deux types d’appareils ont le défaut d’envoyer à tout le monde toutes les informations qui transitent par eux, à la charge de chaque machine de ne conserver que celles qui les concernent. Mais le pirate qui a la volonté de regarder un peu « ce qui passe » pourra voir toutes les URL – et les pages Web – que visitent ses collègues, le contenu de tous les e-mails qu’ils récupèrent (avec les mots de passe en prime) et même les conversations MSN qu’ils échangent. Pour se faire, il lui suffit de commencer par installer sur sa machine la bibliothèque Pcap, laquelle déverrouille sur les cartes réseau la fonction de rejet automatique des informations qui ne s’adressent pas à elles (voir l’encadré « Le sniffing en Wi-Fi » pour les réseaux sans fil). Appelée « libpcap », cette bibliothèque est installée par défaut sur tous les systèmes Unix (Linux et Mac OS X y compris), mais on peut en récupérer une version à jour à l’adresse http://www.tcpdump.org/. On y trouve le code source que l’on installe avec les habituels « ./configure ; make ; sudo make install » ; pensez à copier les binaires résultants (placés dans « /usr/local/ ») vers « /usr » pour écraser la version d’origine. Sous Windows, la bibliothèque s’appelle WinPcap et on la récupère à l’adresse http:// www.winpcap.org/install/default.htm. Notre pirate utilisera ensuite à partir d’une console Shell l’utilitaire Tcpdump sous Unix (mêmes recommandations d’installation) ou WinDump (http://www.winpcap.org/windump /install/default.htm) sous Windows, respectivement comme ceci :

sudo tcpdump -A -s 0
windump -X -s 0


Les données capturées s’affichant à l’écran, il est possible de les enregistrer dans un fichier au moyen du paramètre optionnel « -w <nom_du_fichier> ». On peut aussi n’observer que le trafic d’une seule machine en particulier avec « host <adresse_IP> » ou encore, ce qui est utile pour récupérer les mots de passe, ne retenir que les requêtes envoyées à un serveur déterminé avec « port <numéro_de_port_du_service> » (« port 110 », par exemple, permet de récupérer les login et mots de passe des comptes e-mail). Évidemment, les données collectées ont l’apparence globale d’un affreux charabia au sein duquel il faut fouiner âprement pour trouver des informations pertinentes.


Promisec Spectator : l’espionnage au service de l’administration

Le logiciel Spectator de Promisec (http://www.promisec.com) revient à un administrateur automatique pour un réseau de postes Windows. Envoyant régulièrement des requêtes WMI sur le port 135 des machines connectées, il s’y identifie avec le compte administrateur (qui doit être le même sur chacune d’elles) et accède à leur base de ressources pour vérifier que certaines règles définies en amont sont bien respectées. S’il détecte des périphériques interdits (clés USB…), des applications non autorisées (Peer2peer, virus, outil de sniffing…), ou encore des paramètres non conventionnels (démarrage, ports ouverts…), il les bloque, restaure la configuration voulue par l’administrateur et produit un rapport d’alerte. Coûtant dans les 40 euros par poste à observer (il ne s’installe pour sa part que sur un serveur, il n’y a pas d’agent), il est d’une efficacité redoutable et scanne une machine en 0,5 seconde.



Heureusement, il y a mieux que Tcpdump et WinDump : l’outil graphique et gratuit Ethereal (http://www.ethereal. com/download.html) de même, mais avec une option supplémentaire très intéressante. Il suffit de sélectionner au hasard un paquet capturé, puis de choisir dans le menu « Analyze » l’entrée « Follow TCP Stream » pour voir se recomposer automatiquement dans une nouvelle fenêtre l’intégralité de la page HTML, de la conversation ou du mail dont le paquet sélectionné n’était qu’un extrait. La cellule « filter » permet, accessoirement, de n’afficher que les paquets qui contiennent un mot-clé donné. Pour prévenir ce genre d’espionnage, il est impératif que l’administrateur interdise l’installation de tout hub dans les locaux et qu’il n’autorise les bornes Wi-Fi qu’à partir du moment où elles sont configurées pour demander une authentification par clé WPA (ce dispositif crypte toutes les données de sorte que celles-ci ne peuvent être déchiffrées que par la machine à qui elles sont destinées).

Sniffing03.jpg
Ettercap ne se contente pas d’espionner les conversations entre deux machines, il peut aussi les modifier ; ni vu ni connu.

Ettercap, le sniffing diabolique

Et pourtant, le pirate dispose encore d’une parade pour écouter les données que ses collaborateurs envoient sur le réseau, même celles qui parcourent des liaisons RJ45 qui ne passent pas par son ordinateur. Ici, il s’agit d’effectuer une attaque appelée « Man in the middle », où le pirate se place entre deux machines (du point de vue logiciel, uniquement, pas physiquement), en faisant croire à chacune d’elle qu’il est l’autre. Il agira comme une passerelle entre les deux sans oublier de garder une copie de toutes les informations qu’il fait transiter entre elles. Techniquement, cela revient pour la machine du pirate à s’attribuer des adresses IP et MAC qui ne sont pas les siennes (l’adresse MAC est le numéro de série unique d’une carte réseau, mais il est possible de la modifier). Ceci se fait, très simplement, au moyen de l’outil Ettercap qu’il faudra compiler soi-même (il marche sur tous les systèmes, de Linux à Windows, en passant par Mac OS X) après avoir récupéré son code source à l’adresse http://ettercap.sourceforge.net/download.php. Ensuite, voici la commande à taper dans un Shell pour lire toutes les informations qui transitent par exemple entre une victime, dont l’adresse IP est 192.168.0.40, et la passerelle vers Internet, dont l’adresse IP est 192.168.0.1 (l’option « -T » lance le mode texte, si vous disposez des bibliothèques GTK sur votre système, vous pouvez lancer l’interface graphique avec l’option « -G ») :

ettercap -T -M arp:remote /<192.168.0.40/ /<192.168.0.1>/


Ettercap est un outil diabolique, dans le sens où il permet de filtrer toutes les informations qui transitent par lui et qu’il peut donc les modifier. On trouve ainsi de multiples filtres d’exemple dans le répertoire « /etc/ettercap/ » : il peut éventuellement s’agir de « /usr/share/ettercap/ », voire d’une autre déclinaison de cette construction, selon les systèmes. Ceux-ci ont la possibilité de remplacer une URL donnée par une autre (pour que la victime poste des informations non pas sur un serveur légitime mais sur un site pirate qui a la même apparence), d’injecter du code malicieux dans les pages HTML téléchargées – en Javascript, par exemple –, ou encore de modifier les réponses d’un serveur pour que l’ordinateur de la victime s’y connecte en SSH 1 (mots de passe facilement déchiffrables) plutôt qu’en SSH 2 (protégé contre Ettercap). Pour utiliser un filtre, il suffit de le modifier à sa convenance (format texte), de le compiler à l’aide de la commande « etterfilter <nom_du_script> -o <nom_du_script>.ef », puis de lancer Ettercap en terminant la commande par l’option « -F <nom_du_script>.ef ». Il existe aussi des extensions pour réaliser une action spécifique, comme des attaques de déni de service, de « spoofing » des DNS… La liste de toutes les extensions est lisible au moyen de la commande « ettercap -P list » et il suffit d’entrer « ettercap -P <nom_de_l’extension> <autres paramètres> » pour en activer une au lancement du logiciel ; on peut aussi appuyer sur P pour en lancer une en cours de route.


sniffing04.jpg
Permettant de surveiller à distance les capteurs Snort que l’on a disposé sur le réseau, BASE est une interface HTML… de base.

Sniffers contre sniffers

Disposer dans son système des switches sur lesquels on fixe des adresses MAC par connexion RJ45 n’arrangerai que peu les choses : le pirate peut toujours se faire passer pour la passerelle aux yeux d’une victime en remplaçant le mot-clé « arp » par « icmp » dans les paramètres de lancement d’Ettercap. Mais pour véritablement protéger son réseau des méfaits d’Ettercap, la meilleure contre-attaque consiste à doter son LAN d’un système de détection d’intrusion, ou IDS. Qu’est-ce qu’un IDS ? Eh bien – et c’est très drôle – il s’agit tout simplement d’un logiciel de sniffing que l’on place à divers endroits du réseau (chaque entité s’appelant un « senseur »), typiquement par l’intermédiaire d’un hub, entre la passerelle et le switch et même idéalement à toutes les sorties d’un switch. Autrement dit, Tcpdump et Ettercap font d’excellents IDS, il s’agit même de leur fonction première (Ettercap dispose d’ailleurs d’une extension « find_ettercap » destinée à détecter l’utilisation d’un autre Ettercap sur le réseau) !


Le sniffing en Wi-Fi
Les cartes Wi-Fi ne fonctionnant pas exactement comme les cartes Ethernet, la bibliothèque Pcap peut ne pas suffire pour débloquer leur mode furtif – passif, en l’occurrence. Si vous disposez d’un PC Centrino ou d’un Mac avec carte AirPort Extreme, laissez tomber ! Personne n’a encore trouvé le moyen de leur faire faire du sniffing. Il existe des solutions qui « semblent » marcher, comme le logiciel gratuit KisMac pour Mac OS X, mais elles aboutissent surtout à l’extinction pure et simple de la carte Wi-Fi, obligeant à redémarrer la machine pour la réactiver. On pourra consulter à l’adresse http://customerproducts.atheros.com/customerproducts/ResultsPageBasic.asp une base de données qui référence les cartes Wi-Fi capables de se mettre en mode passif. Pour activer ce dernier sous Windows, téléchargez et installez l’un des kits de pilotes disponibles à l’adresse http://www.wildpackets.com/support/downloads/drivers/. Puis, si ça ne fonctionne toujours pas, lancez en parallèle de votre outil de sniffing soit le logiciel AirSnort (gratuitement téléchargeable sur http://airsnort.shmoo.com), soit Aircrack-ng (http: //www.aircrack-ng.org). Ces derniers servent normalement à découvrir les clés WEP et WAP des bornes Wi-Fi (activité dite de « war driving »), mais présentent surtout l’avantage de savoir correctement mettre en mode passif une carte Wi-Fi. Ils fonctionnent également sous Linux et donnent d’ailleurs sur leur site les liens vers les pilotes pour ce système.




Snort, le sniffer roi des IDS

Blague à part, le logiciel qui fait autorité en matière d’IDS est Snort. Snort est un aussi bon sniffer que Tcpdump (la commande étant « snort -devC »), mais son principal intérêt réside dans la possibilité d’identifier automatiquement les attaques dans les paquets qu’il voit transiter, cela à l’aide de règles toute faite, que l’on récupère régulièrement sur Internet (http://www.snort.org/rules/) afin que la protection du réseau local reste continuellement à jour. Le site http://www.bleedingsnort.com en publie de nouvelles dès qu’un « exploit » a été découvert ; il propose même de s’abonner à une mailing-list pour recevoir les dernières en temps réel par e-mail. Grâce à celles-ci, le « sniffing » de Snort détecte aussi bien les tentatives d’espionnage, que les virus sur le LAN, que les trojans dans les e-mails ou que n’importe quelle autre menace connue.
L’outil Snort de base (qui s’exécute dans un Shell) se télécharge gratuitement pour Linux (Red Hat…) et Windows à l’adresse http://www.snort.org/dl/binaries – les sources sont disponibles, mais en CVS. Cela dit, Snort ne prend toute son utilité que lorsqu’il fonctionne sur une machine dédiée, avec une base de donnée, et qu’il se laisse piloter – superviser – à distance par l’intermédiaire d’une interface graphique. Sur ce dernier point, il en existe deux libres au format HTML : ACID (http://acidlab.sourceforge.net/), qui tombe en désuétude, et BASE (http://base.secureideas.net/), qui constitue le choix moderne. Pour fonctionner, ces interfaces nécessitent évidemment la présence d’un serveur Web à côté de Snort. Des kits gratuits « tout en un », comprenant Snort, MySQL, Apache et ACID ou BASE, existent. Eagle X (http://www.engagesecurity.com/downloads/) permet ainsi d’installer l’ensemble sur Windows et propose même de piloter Snort localement avec une interface graphique maison qui est directement exécutable (IDScenter). Network Security Toolkit (http://www.network securitytoolkit.org/nst/) est quant à lui un live-CD qui permet de démarrer l’ensemble sur un PC sans rien installer, à part les données. Il est basé sur Fedora, la version communautaire du Linux de Red Hat. En ce qui concerne Mac OS X, signalons l’existence de l’outil gratuit HenWen (http://seiryu.home.comcast.net/henwen.html), une implémentation de Snort qui intègre sa propre interface graphique, ce qui permet de piloter le logiciel à partir du Mac sur lequel il est installé ; cette version reste néanmoins compatible avec les interfaces web BASE et ACID.

sniffing06.jpg
Activeworx commerciale pour Snort une interface graphique complète et native pour Windows.

Snort est un logiciel Open Source dont l’entreprise SourceFire a la tutelle. Cette dernière ne se prive pas de le décliner en produits commerciaux, lesquels vont des solutions logicielles qui complètent l’outil de base aux modules matériels qui l’intègrent dans leur logique (il y a notamment un serveur « Defense Center »). À l’image de SourceFire, d’autres compagnies commercialisent des solutions « packagées » sur mesure : il en va par exemple ainsi de l’éditeur Activeworx, dont la suite Security Center comprend une interface graphique native pour Windows, de l’éditeur Aanval, qui offre une interface HTML bien plus belle et complète que celles de BASE et ACID, ou encore du constructeur Raritan qui intègre Snort au sein de plusieurs « appliances » de sécurité – des boîtiers fonctionnels à brancher sur le réseau. Il existe en vérité des quantités industrielles de déclinaisons ! Demandez à votre prestataire de service, il en a certainement une à son catalogue.

D’autres outils de sniffing
Tous les outils listés ci-dessous fonctionnent sur tous les systèmes. Rappelons que leur utilisation première consiste à analyser le réseau dans le but d’en optimiser le fonctionnement.
• Ngrep : un Tcpdump qui filtre ses résultats. ngrep.sourceforge.net
• Tcpflow : un Tcpdump qui produit un résultat lisible. www.circlemud.org/~jelson/software/tcpflow/
• Ntop : statistiques graphiques de l’utilisation du réseau. www.ntop.org
• EtherApe : statistiques graphiques de l’utilisation du réseau. etherape.sourceforge.net
• Cheops : cartographie (GTK) du réseau. www.marko.net/cheops

WIN4LIN VDS
Réduire
WIN4LIN VDS
Fournir Windows aux clients sous Linux

Pour une migration sans heurt vers Linux en fournissant Windows aux clients sous Linux ou comment briser le cycle infernal de mise à niveau du matériel d’un ordinateur de bureau sous Windows à l’aide d’un logiciel pour Linux.

Le programme Win4Lin Virtual Desktop Server, en abrégé Win4LIN VDS (www.win4lin.com) est une solution de virtualisation client/serveur qui permettra à une organisation qui se trouve actuellement sous une infrastructure Windows onéreuse car nécessitant un haut niveau d’entretien, de migrer vers une base plus robuste, tout en passant en douceur vers Linux. Comment ? Une simple copie de Windows sera fournie aux utilisateurs sous Linux qui l’obtiendront d’un simple clic de souris. Vous ne voulez pas que vos utilisateurs bénéficient d’un bureau complet Windows ? Aucun problème. Win4Lin VDS est configurable pour ne fournir qu’une seule application à la fois. Étant donnée sa grande flexibilité, les raisons d’adopter Win4Lin VDS sont multiples et variées. D’abord, les pré-requis nécessaires pour l’installation d’un serveur Linux sont généralement moindres que ceux nécessaires à la mise en place d’un serveur Windows. Par conséquent, Win4Lin VDS peut être employé pour casser le cycle de mise à niveau du matériel. N’oublions pas qu’avec la venue de Vista, beaucoup d’entreprises seront confrontées aux mises à niveau potentiellement coûteuses de matériel dans les années à venir.

Photo_ecran_1.jpg

Construction et installation du module KQEMU.


Bien que des arguments puissent être donnés de part et d’autre concernant le coût total de propriété (TCO), les sociétés qui arrivent à la conclusion que Linux représente un TCO inférieur sont alors confrontées aux fardeaux techniques et logistiques d’une migration de leur infrastructure. Win4Lin VDS permet aux utilisateurs de changer d’OS de base, tout en permettant aux employés de continuer à utiliser leur environnement ou leurs applications familières Windows.
Une fois que la ligne logicielle de base a été permutée sous Linux, les entreprises peuvent choisir de demeurer sous ce système Linux/machine virtuelle Windows, tout en accentuant leurs efforts de migration de leurs codes sources/binaires vers Linux, et ceci à leur rythme. Win4Lin VDS offre la possibilité de déployer une application seule vers l’ordinateur de bureau Linux, signifiant que des applications verticales critiques isolées n’ont plus besoin d’être portées. Des applications Windows peuvent être lancées à partir d’un ordinateur client Linux.
Hormis les questions d’infrastructure, mettre en place un serveur Win4Lin VDS a l’avantage d’en centraliser sa gestion, ainsi que les mises à niveau et les entretiens. Puisque tous les clients auront comme source la même image de Windows, les changements effectués sur celle-ci seront répercutées immédiatement à toutes les machines clientes. Notez au passage que les licences existantes de Windows peuvent continuer à être employées selon leurs conditions d’utilisation respectives.


La virtualisation est une technologie de consolidation qui permet de faire tourner plusieurs instances d’un système d’exploitation (Guest OS) au sein d’une même machine physique (Host OS). VDS signifie en français « hébergements dédiés virtuel ». Si l’auteur parle dans le texte de virtualisation, nous pouvons le comprendre dans le sens de « création d’une machine virtuelle hôte travaillant par émulation ». C’est en effet ainsi que fonctionne QEMU, système en parti sous-jacent à Win4LIN, ou de Microsoft Virtual Server, tandis que XEN ou UML par exemple sont plutôt des hyperviseurs – où le système hôte doit être adapté.


Win4Lin VDS est une solution logicielle qui se distingue plutôt des autres solutions de virtualisation qui existent sur le marché. En effet, la plupart des produits de virtualisation de type serveur fournissent simplement un affichage à distance au client, tandis que Win4Lin VDS fournit son propre système de type client/serveur X. Si le client ne peut pas lire des messages issus des protocoles de X, des méthodes alternatives d’affichage peuvent être employées par l’intermédiaire de l’interface réseau virtuelle ou de Tarantella, qui ouvrent vraiment la porte pour n’importe quel client équipé d’un navigateur Web récent.
Une des tâches les plus importantes pour beaucoup d’administrateurs Windows est de maintenir l’OS à jour afin de protéger leurs clients contre les nombreuses attaques de spywares et de malwares commises quotidiennement contre les machines non convenablement protégées. Comme déjà mentionné, Win4Lin VDS a pour avantage d’exposer au monde extérieur une seule copie de Windows et sa mise à niveau prendra non seulement moins de temps, mais offrira également plus de simplicité que la mise à jour d’un ensemble de postes de travail répartis un peu partout dans l’entreprise. De plus, parce que l’environnement des utilisateurs est le produit de la combinaison de l’image principale de Windows et de ses propres préférences stockées localement, le simple fait de sortir et de rentrer sous une nouvelle session régénèrera l’image principale et éliminera ainsi n’importe quel malware ou spyware qui se serait immiscé lors de la précédente session.


Les clients

Win4Lin recommande d’employer le client natif Win4Lin Terminal Services pour pouvoir bénéficier de toutes les fonctionnalités avancées qu’une connexion client/serveur Win4Lin peut offrir. Cependant, vous disposez d’une pléthore de manières pour vous relier à un serveur Win4Lin VDS, et à moins que vous ayez désespérément besoin d’imprimer en local, presque n’importe quel client obtiendra un excellent résultat.

La connexion à un serveur Win4Lin VDS est possible avec telnet, rlogin ou même SSH (avec l’option activée du forwarding X11). Dans le cas de telnet et de rlogin, la variable d’environnement {$DISPLAY} doit être correctement garnie au préalable. Généralement, pour effectuer un login à distance, il est nécessaire de travailler dans un environnement à large bande, tel qu’un réseau LAN. Les solutions de raccordements large bande passant par Internet, ou de type WAN, ne fournissent pas assez de largeur de bande pour employer ces méthodes. Les connexions sont également envisageables en utilisant le client RealVNC, le client de NoMachine, ainsi que Tarantella.

En bref, si vous ne pouvez pas trouver à votre convenance une manière de vous relier au serveur, c’est que vous n’avez simplement pas essayé.


Téléchargement et installation

La version actuelle de Win4Lin VDS est la 3.0, mais la 3.5 est en cours de test et sera probablement sortie avant que vous ne preniez connaissance de cet article (Note du traducteur : c’est le cas). Puisque c’est un non sens de publier un test concernant un logiciel encore en cours de développement, nous avons testé la dernière version 3.0 stable.
Win4Lin pro et Win4Lin VDS sont en fait constitués de binaires identiques, mais les types de licences ouvrent le logiciel à des fonctionnalités différentes. Il existe des paquets DEB et RPM pour les systèmes Linux 32 et 64 bits. Durant l’installation, l’utilisateur est invité à rentrer un code de licence, et c’est alors que le produit se transforme en pro ou en VDS. Il n’existe pas de procédure de mise à niveau de Win4Lin pro vers Win4Lin VDS. Ainsi, si vous avez une « pro » installée, vous devrez obtenir une nouvelle licence pour travailler en VDS. Les clients de Win4Lin VDS sont disponibles pour Linux, Solaris et Windows, mais le code source du client est également disponible en téléchargement, ce qui permet aux utilisateurs modérément habiles sous Linux de compiler leur client pour presque n’importe quelle plate-forme/distribution cible.


Les licences
Une licence de base débute au prix de 2 500 dollars US pour 25 postes clients. Des licences plus importantes peuvent être obtenues avec divers incréments de prix pour permettre à Win4Lin VDS de gérer jusqu’à 1 000 utilisateurs. Il est important de noter que ce sont des licences d’utilisation de Win4Lin VDS et non d’utilisation de Windows. Les entreprises devront fournir leurs propres licences Windows qui répondent à certaines conditions bien précises de Microsoft. Dans la plupart des cas cependant, les licences existantes pourront être employées.




Installer le serveur

Nous avons téléchargé nos paquets à partir du site ftp de Win4Lin (ftp.win4lin.com-/pub/releases/linux/pro/3.0/index.html). Vous y trouverez des paquets logiciels DEB, RPM et tarball (code source) en 32 et 64 bits. Nous avons téléchargé le paquet logiciel 32 bits RPM pour notre plate-forme d’essai, un noyau dual-core Centrino cadencé à 1,83 GHz avec 1GB de Ram, dont l’OS au départ était une bêta d’Ubuntu Edgy Eft. Mais nous avons dû finalement migrer vers une SUSE 10.1, parce que le kernel d’edgy eft posait un problème avec le client natif de Win4Lin. Nous avons été gênés en utilisant une distribution bêta sur notre serveur. Nous signalons ceci car le lecteur avisé repérera des copies d’écran issus des deux systèmes d’exploitation, SuSE et Ubuntu.


Ressources nécessaires à l’installation de Win4Lin VDS
• Intel Pentium 4 ou Xeon, cadencé à minimum 1,4 GHz (2,0 GHz est hautement recommandé), ou Intel Pentium "M"/Centrino cadencé à minimum 1,3 GHz ou plus, ou AMD Athlon XP ou Athlon 64 2000+ ;
• 256 Mo de Ram (512 Mo recommandé) ;
• un lecteur de CDRom ;
• 20 Mo d’espace disque pour le logiciel en lui-même ;
• 4 Go d’espace additionnel pour l’installation d’une image Windows (10 Go recommandés).



Le paquet win4linpro_6.3.0-07_i386.deb pèse seulement 3,7 Mo et a été installé sans accroc. Le manuel d’installation de Win4Lin VDS conseille l’installation préalable de certains paquets sur les distributions supportées pour pouvoir compiler le module KQEMU, avant d’installer proprement dit Win4Lin VDS. Le raisonnement qui se cache derrière cela est que tous les produits de Win4Lin sont fournis avec le module spécialisé KQEMU, afin de fournir une vitesse d’exécution satisfaisante lors de l’émulation. Mais si vous avez fait le nécessaire, la construction et l’installation de ce module spécialisé se déroulera de manière transparente.

sudo apt-get update
sudo apt-get -y install libgtk1.2 linux-headers-$(uname -r) gcc


Maintenant, il est temps d’installer une instance de Windows. Nous utilisons Windows XP Home, l’avons installé et l’avons patché avec le service pack 2. Pour procéder de cette manière, nous avons inséré notre CD de Windows XP et avons exécuté la ligne de commande suivante :

sudo loadwinproCD


Si vous n’avez pas encore déclaré votre licence d’utilisation de Win4Lin VDS, vous serez invité à le faire maintenant. Vous pouvez choisir de ne pas encoder cette licence à ce stade et vous pourrez ainsi tester le logiciel pendant une période de 14 jours, mais aucune fonctionnalité du serveur ne sera activée, vous laissant seulement la possibilité de tester la solution avec un seul poste de travail individuel.

Vous devez procéder en deux étapes pour installer Win4Lin VDS. D’abord, le super-utilisateur doit copier le média d’XP sur le disque dur, ce qui se réalise à l’aide de la commande loadwinproCD. La prochaine étape est réellement d’installer Windows, ce qui peut se faire sous l’identité d’un compte utilisateur non privilégié. Le processus d’installation de Windows et de création du profil principal, dont tout autre utilisateur héritera dans son environnement, sont étroitement liés. Les prochains paragraphes vont s’attacher à décrire entièrement ce processus.

À la base, un seul profil sera créé. Les utilisateurs de Win4Lin VDS hériteront tous d’un profil de base. En un mot, ceci signifie pour vous qu’un seul profil principal doit être configuré. C’est ce profil dont tous les autres utilisateurs hériteront, et c’est également le seul profil où des rustines logicielles, ou des mises à niveau, ou encore des applications seront installées. Une fois qu’un profil principal a été configuré comme bon vous semble, les différents profils des utilisateurs en seront dérivés.

Photo_ecran_3.jpg

Mettez à jour votre image principale de Windows pour la cadenasser dans un état stable et connu.



Création du profil principal

Win4Lin VDS s’installera sous un compte d’utilisateur normal. Comme dans bien d’autres situations en informatique, quelques moments passés maintenant à soigner convenablement cette création de profil pourront vous sauver plus tard de maux de tête innombrables. J’ai décidé d’installer mon profil de base sous mon compte d’utilisateur principal « jdw ». J’ai en outre décidé de mettre à disposition deux autres comptes utilisateurs sur mon système nommés jwatson et dwatson. Ma première étape, alors, a été de créer les deux comptes jwatson et de dwatson. Les entreprises utilisant déjà un système Linux ont probablement déjà tous leurs comptes utilisateurs établis et peuvent s’en servir pour créer le profil maître. Pour créer le profil principal, j’ai d’abord ouvert une session sur mon système en cours et exécuter les commandes suivantes :

sudo adduser jwatson

et
sudo adduser dwatson


Après la génération des comptes avec de nouveaux mots de passe associés, nous sommes prêts pour l’étape suivante. Maintenant, il est temps de créer le profil principal. Cela implique d’installer Windows, d’indiquer cette installation comme maître, et puis enfin de la configurer au besoin. Ainsi, je me déconnecte et me reconnecte sous l’identité de mon compte principal d’utilisateur jdw, et j’exécute la commande installwinpro. Les diverses options de cette commande dicteront les caractéristiques principales de la machine virtuelle à partir de laquelle Windows sera installé. J’accepte ici les paramètres par défaut, ce qui comprend une taille d’image du disque de 4 Go. Selon la quantité d’applications que vous avez l’intention d’installer, 4 Go ne pourront peut-être pas suffire. Cependant, il n’y a aucun besoin de tenir compte de l’espace utilisateur, parce que les documents et les paramètres de chaque utilisateur individuel seront stockés sur le système de fichier de chaque poste de travail respectif du côté Linux et non dans l’image.

Le nom du profil par défaut sera winpro, à moins que vous ne le changiez à l’aide du paramètre -d. Gardez bien à l’esprit que si vous renommez le nom de cette configuration, vous aurez besoin de cette information pour exporter le profil principal dans la prochaine étape. Prenez ce que je vais vous dire au pied de la lettre : sauvegardez votre image maintenant. Le processus d’installation de Windows est assez douloureux, et vous ne voudriez pas répéter l’opération une deuxième fois. La sauvegarde de votre image se réalisera simplement en copiant le fichier GUEST.IMG à un autre endroit. Si vous avez accepté les options d’installation par défaut, vous trouverez le fichier GUEST.IMG sous l’arborescence /home/jdw/winpro/ (évidemment vous devez indiquer votre propre nom d’utilisateur dans ce chemin). Une fois que l’installation est terminée, indiquez cette installation comme maître en exécutant la commande

/opt/win4linpro/bin/export-profile<nom_de_votre_configuration>


Si vous avez changé le nom de votre configuration lors de son installation, c’est ici que vous devrez encoder cette nouvelle appellation. Si vous n’avez pas indiquer un nouveau nom de configuration, c’est winpro qui sera employé, et vous n’avez pas besoin de le renseigner en paramètre pour exporter le profil principal. Il est critique que vous lanciez et arrêtiez l’image au moins une fois afin de créer le profil principal correctement. Lancer le profil principal de Windows, en double-cliquant sur l’icône de Win4Lin sur votre  bureau, ou en exécutant winpro en ligne de commande.

NdT : c’est l’option -g qui détermine la taille de l’image. Ainsi, la commande installwinpro -g 64 créera une image de 64 Go.



Paramétrons l’image

Puisque les utilisateurs reçoivent une copie fraîche de l’image principale à chaque fois qu’ils ouvrent une session, il n’est pas critique que vous configuriez entièrement votre image de suite. En théorie, vous pouvez sauter cette étape de création de vos profils utilisateurs pour y revenir plus tard. Dans la pratique, cependant, il y a quelques raisons pour lesquelles vous devriez le faire probablement maintenant.

1. En raison de l’environnement familier. Il est tout à fait logique de penser que votre entreprise acceptera de travailler avec Win4Lin VDS à condition que l’impact de son emploi sur les utilisateurs soit réduit au minimum. Par conséquent, le bon sens semble indiquer que tous les efforts devront être fait pour fournir aux utilisateurs un environnement de bureau et un ensemble d’applications le plus familier possible.

2. En raison de la sécurité. Les sessions des utilisateurs sont régénérées avec une copie de l’image principale à chaque nouvelle ouverture. Il est donc facile d’appréhender que la sécurité est ici renforcée. Si l’OS est régénéré à partir de l’image principale au moins une fois quotidiennement, quels sont les dommages que les spywares, malwares, ou même que les virus pourraient quand même engendrer ? C’est une bonne question, mais considérez ce qui pourrait se produire si le malware ou virus prenait le contrôle de votre image principale… Fermez donc la porte à clé maintenant en mettant à jour (voir la photo ci-dessus).
3. Pour une question de technique : le profil principal ne peut être modifié lorsqu’un quelconque profil utilisateur est en cours d’exécution. Puisque vous devez empêcher l’utilisation de l’image par les utilisateurs client afin d’effectuer des changements, adaptez-vous aux besoins du client maintenant ; ce qui vous fera gagner de très nombreuses heures dans un avenir proche (les utilisateurs seront forcés de fermer leur session tandis que vous serez occupé à travailler sur l’image principale).

Il est maintenant temps de prendre une autre copie de votre image. Chaque fois que vous modifiez le profil principal, il est sage de créer une autre sauvegarde de l’image. Rappelez-vous que si votre image se corrompt, un tas d’utilisateurs ne pourront plus effectuer leur travail jusqu’à ce que vous l’ayez reconstituée. Cela prend seulement quelques minutes pour copier une image de 4 Go, mais cela prend beaucoup plus longtemps pour réinstaller Windows ou pour remettre à jour une ancienne image.

Le service de Win4Lin VDS doit déjà s’exécuter en tâche de fond. Si ce n’est pas le cas, ou si vous devez le remettre en marche pour une quelconque raison, vous pouvez le faire ainsi :

/opt/win4linpro/etc/mergepro_rc start

ou
/opt/win4linpro/etc/mergepro_rc restart



Création des profils individuels

Seuls des utilisateurs déclarés pourront employer le profil principal. Les utilisateurs normaux du système qui n’ont pas été déclarés comme usagers de Win4Lin VDS ne pourront pas l’utiliser. Si vous avez seulement quelques utilisateurs, il sera plus rapide pour vous de passer en mode super-utilisateur pour déclarer manuellement chacun d’entre eux. Si en revanche vous avez de nombreux utilisateurs, un script pourra vous faciliter la vie. Dans mon cas, j’ai dû ouvrir une session en tant qu’utilisateur jwatson, (puis dwatson) et exécuter la commande suivante :

/opt/win4linpro/bin/import-profile /home/jdw/winpro


Le profil principal a été créé, et les utilisateurs ont été déclarés. Le travail du côté du serveur est donc terminé, et tous les changements liés au profil principal à partir de maintenant – comme l’ajout de nouvelles applications ou de rustines logicielles – se propageront à l’ensemble des utilisateurs déclarés à chaque fois qu’ils ouvriront une session. Mais comment ces utilisateurs ouvriront-ils une session ? Il est temps d’installer un client.


Installer le client

Comme mentionné précédemment, vous avez à votre disposition plusieurs techniques pour vous connecter au serveur. Nous allons examiner le client Win4Lin qui est libre et facile à installer. En outre, l’emploi du client natif deWin4Lin impliquera une bonne vitesse d’accès et l’utilisation de toutes les fonctionnalités.

Photo_Ecran_5.jpg

Le client de Win4Lin ne présente qu’une seule application au lieu de l’environnement de bureau Windows complet.


Le client Win4Lin peut être téléchargé sur le site de l’éditeur à l’emplacement www.win4lin.com/component/option,com_repository/Itemid,76/func,fileinfo/id,2.
Vous en avez pour tous les goûts : Linux, Solaris, Windows et code source. Étrangement, bien que le serveur VDS lui-même soit disponible dans le format DEB, le client Linux n’est pas disponible dans ce format. Puisque d’installer un code source me force habituellement à sauter un repas, nous allons rapatrier le RPM, le convertir en DEB, puis employer la commande dpkg pour l’installer sur un système basé Debian.

Voici les étapes :
1. télécharger le RPM de Win4Lin ;
2.  exécuter sudo alien wtsclient_1.0.0-4_i386.rpm ;
3. exécuter sudo dpkg -i wtsclient_1.0.0-4_i386.deb ;
4. exécuter la commande wtsclient pour se relier au serveur.
Le serveur Win4Lin VDS peut être configuré pour ne livrer au client qu’une seule application, ou bien un bureau complet sous Windows. Nous avons examiné ces deux possibilités et il en résulte les deux photos d’écran ci-jointes. La première photo (n° 4)  nous montre une configuration complète d’un bureau sous Windows, et la seconde (n° 5) exécute uniquement Internet Explorer.


Comment fournir une seule application Windows au bureau Linux ?


Jusqu’ici, tout ce dont nous avons discuté tourne autour de la livraison d’un bureau complet sous Windows XP à un utilisateur travaillant avec un environnement Linux. Bien que cette situation réponde déjà à de nombreuses situations, il y en a d’autres qui ne nécessitent l’accès qu’à une seule application Windows à la fois. Comment Win4Lin VDS peut-il procéder pour n’ouvrir qu’une unique application au lieu d’un plein bureau ? En manipulant la base de registres de Windows. Le manuel de Win4Lin VDS est le meilleur endroit pour rechercher des instructions sur la façon de réaliser ceci, mais pour que vous puissiez réaliser cette manipulation rien qu’en lisant cet article, nous allons vous décrire les étapes appropriées.

Modifiez la base des registres
(valable pour toutes les versions de Windows)

Indépendamment de l’application ou de la version de Windows employée, une clé Win4Lin du registry doit être créée ou vérifiée.
1. Ouvrez l’application regedit.
2. Dirigez-vous vers l’entrée HKLM\Soft-ware\Microsoft\Windows NT\ Current-Version\Winlogon.
3. Assurez-vous que la valeur de la variable Userinit soit exactement «B:\mrgpro32.exe». Si cette valeur n’est pas exacte, vous devez la changer.

Fixez l’autologin (Windows 2000)

1. Lancez le panneau de commande.
2. Lancez l’applet concernant les utilisateurs et les mots de passe.
3. Décochez la boîte de dialogue qui indique qu’un utilisateur doit entrer un nom et un mot de passe pour utiliser l’ordinateur, et cliquez sur OK.
4. Une fois que vous y êtes invité entrez le nom d’utilisateur et le mot de passe du compte sous lequel vous voudriez que Windows se lance.

Fixez l’autologin (Windows XP)

1. Lancez le panneau de commande.
2. Ouvrez la catégorie « comptes d’utilisateurs ».
3. Cliquer sur « modifier la manière dont les utilisateurs ouvrent et ferment une session ».
4. Décochez « utiliser l’écran d’accueil ».
5. Cliquez sur « appliquer les options ».
6. Lancer l’éditeur alternatif des comptes utilisateurs en cliquant sur démarrer
->exécuter et en encodant la commande « control userpasswords2 ».
7. Décochez la case qui indique qu’un utilisateur doit entrer un nom et un mot de passe d’utilisateur pour vous connectez sur cet ordinateur.
8. Une fois que vous y êtes invité, entrez le nom d’utilisateur et le mot de passe du compte sous lequel vous voudriez que Windows se lance.

Indiquez l’application cible que vous voulez exécuter (toutes versions de Windows confondues)

1. Lancez l’éditeur de la base des registres en cliquant sur démarrer->Exécuter « regedit ».
2. Dirigez-vous vers l’arborescence HKLM\Software\Win4Lin.
3. Cliquez sur le panneau de droite pour créer une nouvelle variable en lui choisissant le type string.
4. Encodez « SingleAppStart » (en conservant la casse).
5. Double-cliquez sur la variable SingleAppStart que vous venez de créer et attribuez-lui la valeur de l’application à lancer (avec son chemin d’accès complet).

Par exemple, pour exécuter Microsoft Word, l’encodage de « WORD.EXE » n’est pas suffisant. Vous devez indiquer le chemin complet tel que C:\Program Files\Microsoft\word.exe. Maintenant à partir du moment où un utilisateur exécutera son client en ouvrant une session, Microsoft Word s’exécutera et s’affichera à côté de vos autres applications Linux.

Exécuter Word n’est sans doute pas un bon exemple parce que la suite de Microsoft Office est déjà exécutable à l’aide de CrossOver Office, mais si à la place vous avez le choix d’exécuter n’importe quelle application, la puissance de cette fonctionnalité devient évidente. Puisqu’une copie complète de Windows est employée pour livrer à l’utilisateur une seule application, le nombre d’applications verticales de Windows pouvant être ainsi servies sous Linux est presque illimité.


Quelques réflexions personnelles pour terminer


La technologie de virtualisation n’est pas nouvelle. IBM a joué avec elle depuis les années 60 (*). Aujourd’hui, la virtualisation est une technologie qui suscite beaucoup d’intérêts, car nous avons à notre disposition des réseaux à large bande et des serveurs puissants. L’utilisation de Linux pour délivrer une application compatible Windows est rentable en termes de matériel, de gestion et de formation. Les logiciels tels que le serveur virtuel de bureau de Win4Lin rendent la technologie facile à installer et à employer. En fait, la technologie de virtualisation est à ce point mature qu’il est devenu beaucoup plus difficile de concevoir une stratégie de virtualisation plutôt que d’en implémenter une techniquement parlant.



Jon Watson (www.jonwatson.ca) est un utilisateur canadien enthousiaste de GNU/Linux. Il contribue régulièrement à la rédaction d’articles pour la communauté Linux. Quand il ne rédige pas, ou ne s’occupe pas de son blog et de son podcast sur des sujets tournant autour du logiciel libre, Jon est souvent à son bureau (…), pour peaufiner ses connaissances sur Linux.
Indexation & Recherche
Réduire
2007 : l’année de la recherche
Par Bertrand Garé - Copyright L'Informaticien, tous droits réservés

Branle-bas de combat chez les éditeurs. Après la guerre du « Desktop Search », les grands acteurs du logiciel poussent désormais leurs solutions d’entreprises. Quels sont les nouveaux enjeux de cette recherche d’entreprise ? Sur quels critères baser vos choix ? On fait le point…

Google MINI Apliance.jpg
Depuis longtemps, Google a opté pour la diffusion de solutions de recherches sous forme d’appliances. Longtemps considérées comme des solutions Intranet simples, elles visent désormais ouvertement la recherche d’entreprise au sens large avec l’apparition de la gestion avancée des sécurités et des connecteurs OneBox.
Brique fondamentale du Content Management et du Knowledge Management, le moteur de recherche s’impose désormais comme une composante fondamentale des systèmes d’information modernes. Jusqu’à présent, le sujet était en partie négligé : les entreprises qui adoptaient des technologies de portails, de CM ou de KM utilisaient simplement le moteur livré en standard avec la solution adoptée. Certaines entreprises cumulent ainsi aujourd’hui de multiples moteurs de recherche installés par diverses solutions d’entreprises, auxquelles elles viennent même parfois ajouter un énième moteur de recherche pour leur Intranet à travers des solutions embarquées comme celles de Google.


Vers la fin des redondances


Une redondance qui soulève désormais de nombreux problèmes. Tous ces moteurs ont un fonctionnement en recherche plein texte qui impose une indexation intégrale des documents. Avec l’explosion volumétrique des données, cette indexation suit une courbe identique. Plus il y a de données, plus il y a d’éléments à indexer, plus l’occupation disque des index devient problématique.

Toutefois, l’espace disque est loin d’être la préoccupation principale des administrateurs. D’autres aspects sont induits par la multiplication des moteurs : un problème de consommation des ressources serveurs (une indexation intégrale est un processus algorithmiquement lourd pour les processeurs), des problèmes de sécurité, notamment induits par la multiplicité des moteurs et la quantité d’information indexée, des problèmes de cohérence de résultats – chaque moteur retourne des données différentes –, et bien sûr des problèmes d’administration.

D’autant que cette redondance de moteurs se traduit aussi directement au niveau de l’utilisateur par une multiplicité d’interfaces pour accéder aux informations.

De l’avis de tous, cette situation ne peut perdurer… IBM, Oracle, SAP ou Microsoft qui, bien que n’ayant jamais été absents de ce domaine, ont lancé depuis 2006 de grandes offensives vers le développement de moteurs de recherche universels et omniscients. Avec un objectif avoué, celui de tout indexer, et un objectif moins avouable, celui de barrer la route à Google.


Les défis de l’indexation

L’information possède un double visage : elle peut être tirée de contenus structurés (bases de données, systèmes transactionnels, méta données…) ou de contenus semi ou non structurés (documents bureautiques, pages HTML, e-mails, documents XML).

Parallèlement, l’information réside aujourd’hui à des endroits très divers, tels que les serveurs de messagerie, les serveurs de fichiers, les serveurs Web, les serveurs de bases de données, les applications de CRM, ressources humaines, CM, KM, Supply Chain, les mainframes… et, bien évidemment, le poste utilisateur qui trop souvent encore demeure truffé de données jamais publiées sur un serveur.
L’information réside également à l’extérieur de l’entreprise, à commencer par le Web, mais aussi les sources d’informations qualifiées et payantes, comme les bases de données sur la santé financière des entreprises.

Cette complexité de l’information tend vers trois problématiques :
• en premier lieu, elle tend à complexifier les problématiques de pertinences des résultats ;
• en second lieu, elle pose l’éternel problème de l’interopérabilité des systèmes et des applicatifs ;
• en dernier lieu, elle transforme la gestion des sécurités en véritable cauchemar.

Le choix d’un moteur de recherche pour l’entreprise, adapté à ses besoins, revient à étudier ces trois problématiques et à vérifier que la solution envisagée les prend bien en compte – selon les besoins réels de votre organisation. D’où la nécessité d’en comprendre les tenants et les aboutissants.


Recherche et BI : le grand amour
Relier les outils de Business Intelligence aux moteurs de recherches de l’entreprise est une des grandes tendances du marché. Cognos et Business Object proposent des solutions de recherche. Ces éditeurs élaborent surtout des systèmes permettant d’agréger les informations issues de recherche sur les cubes et les documents de l’entreprise avec les sources d’actualité qualifiées comme Reuters ou Financial Times d’une part, et des sources d’informations financières. Ils popularisent l’idée d’une « recherche BI » qui incorpore actualités et documents bureautiques aux processus de prises de décision. Elle étend les concepts d’interaction avec les données propres à la BI (comme le Drill Down) à l’interaction avec l’information. Par exemple l’étude d’un historique de vente permet de rapprocher des pics à des événements de l’actualité.




Pertinence

Pour la plupart des utilisateurs, les concepts de recherche s’apparentent à la saisie de mots clés « comme avec Google ». Sauf que les concepts de « ratings » des pages de Google ne sont pas transposables directement à l’entreprise. La pertinence d’une page Web selon Google dépend de fréquentations volumiques et de popularités de liens qui n’ont pas véritablement leur place dans l’entreprise : les données de l’entreprise ne sont pas liées à la façon des pages Web, et la « fréquentation de la donnée » n’a, a priori, aucune signification dans ce contexte.

Calculer la pertinence d’un résultat en fonction d’une requête nécessite la mise en œuvre d’autres techniques intelligentes parmi lesquelles figurent les taxonomies, les analyses sémantiques, les metatags (tagging), et le clustering.

La taxonomie, c’est l’art de définir une classification intelligente des termes reflétant le métier de l’entreprise (ou d’une équipe), son vocabulaire et les objectifs visés par l’infrastructure de recherche. La taxonomie peut être une simple organisation par clients, une arborescence complexe de thèmes, ou un système plus dynamique adaptant la taxonomie selon le jeu de résultats.

Les métatags ont toujours joué un rôle fondamental dans l’indexation. La généralisation du XML d’un côté, la vulgarisation des systèmes de gestion documentaire et de CM, et les principes de bureautique « orientée serveur » (introduite par Office System 2007) contribuent à leur donner davantage de pertinence aujourd’hui.

Le clustering, c’est l’art de regrouper les résultats selon différents groupes ou critères (en général dynamiquement déduits du jeu de résultat) de sorte à remonter à l’utilisateur autre chose qu’une longue liste de résultats.

Quant aux analyses sémantiques, elles demeurent les parents pauvres de la recherche d’entreprise. Seules quelques solutions très haut de gamme y font réellement appel – à l’exception notable d’Exalead qui l’applique même sur son Desktop Search. Il est vrai qu’elles sont intimement liées aux spécifications linguistiques, mais elles permettent une mise en valeur contextuelle qu’aucune des « super plates-formes » actuelles (Oracle, IBM, Microsoft, etc.) ne met en œuvre par défaut.


Interopérabilité

La dispersion des informations dans des sources et des applications très variées imposent évidemment un haut niveau d’intéropéralibilité. Le moteur doit être capable de se connecter à ses multiples bases et d’en interpréter la structure des données. Les éditeurs font alors appel à des mécanismes classiques de connecteurs et d’interface de mapping de données. Il faut donc – au moment d’acquérir une solution de recherche – vérifier non seulement que les connecteurs sont disponibles (et livrés en standard car, très fréquemment, les connecteurs sont développés par des tierces parties), mais aussi s’assurer que les outils d’administration et de mapping ne tournent pas à l’usine à gaz.

L’interopérabilité ne se limite cependant pas à l’indexation des multiples sources. Mais également à celle des éventuels multiples moteurs de recherche déjà présents dans l’entreprise. L’idée est intimement liée aux problématiques de pertinence : un moteur de recherche adapté aux ressources humaines n’est pas nécessairement adapté aux services financiers. L’argument n’est pas aussi pertinent qu’il n’y paraît et plusieurs approches sont possibles. Mais l’une d’elles consiste effectivement à utiliser des moteurs différents, qu’il faut donc tenter d’unifier d’une manière ou d’une autre. IBM a proposé sa propre réponse à cette problématique d’interopérabilité de technologies de recherches. Publiées sur SourceForge, UIAM (Unstructured Information Management Architecture) est un framework XML qui sert de dorsale aux différents outils d’analyses et de taxonomies d’une entreprise. L’UIAM définit notamment un langage commun et un format de résultats commun qui peut être passé d’un moteur à l’autre.


Sécurité

Une recherche sécurisée, c’est un système de recherche qui permet d’offrir une vision large de l’information disponible dans l’entreprise tout en protégeant l’accès aux données confidentielles, autrement dit respectant les restrictions d’accès et d’usage. Lorsque l’utilisateur soumet une requête, il ne doit voir s’afficher que les résultats qu’il est authentifié et autorisé à voir.
Jusqu’à présent, les systèmes de recherche évacuaient les problèmes de sécurité laissant la gestion de cet aspect aux systèmes d’accès aux informations : typiquement, l’utilisateur en cliquant sur une occurrence se voyait refuser – par exemple – l’accès au document par le système de fichiers en raison de son appartenance à un groupe d’utilisateur non autorisé. Seul « hic » à une telle délégation de tâches : les systèmes de recherche affichent toujours un résumé, ou un extrait, du document pour permettre à l’utilisateur d’identifier les occurrences significatives… résumé ou extrait parfois terriblement divulgateur ! N’importe quel employé un peu malin pouvait saisir des mots comme « salaire M. X », « plan social », etc., et à l’aide de plusieurs requêtes judicieusement saisies, obtenir l’essentiel des informations qu’il recherchait sans même avoir eu à accéder physiquement aux fichiers qui les contenaient.

Les problèmes de sécurité des recherches n’est pas nouveau. Certains moteurs se prétendaient jusqu’ici sécurisés, soit parce qu’ils se contentaient simplement de ne jamais remonter de documents protégés, soit parce qu’ils n’affichaient aucun résumé sur les données protégées, mais se contentaient d’un lien « en voir plus », déclenchant alors un accès sécurisé vers la source.

Oracle SES.jpg
Oracle Secure Enterprise Search, dans sa dernière mouture, s’ouvre vraiment aux autres sources de données.
Désormais, les systèmes modernes qui se prétendent « sécurisés » sont obligés d’indexer les droits d’accès avec chaque donnée et utiliser cette information pour présenter ou non l’occurrence et son résumé à l’utilisateur. Dit ainsi, la chose semble bien aisée. En pratique, cela implique que le système d’indexation soit à même d’appréhender les mécanismes de contrôles d’accès des systèmes qu’il indexe. La chose n’est déjà pas évidente en pratique dans un système à 100 % Windows, dont toutes les applications pourraient reposer sur les ACL contrôlées par l’Active Directory (ce qui en pratique n’est que très rarement le cas – même sur des solutions à 100 % MS), alors imaginez ce que cela peut donner dans un univers hétérogène !

La faculté et la facilité avec laquelle une solution de recherche est à même de gérer et exploiter les différents contextes de sécurité des systèmes indexés constituent sans conteste l’un des critères de sélection fondamental dans le choix d’une solution de recherche. Il faudra donc y accorder toute votre attention.


XML et l’indexation
La multiplication des informations stockées au format XML constitue un atout formidable dans le contexte de la recherche de documents d’entreprise. Le XML apporte par le document des éléments de réponses concrets aux problématiques de pertinence et d’interopérabilité que nous évoquons. En matière de pertinence, le XML est la clé qui rend « semi structurée » l’information « non structurée ».




Vers une interface unique

Si le moteur est une composante fondamentale, il ne faut pas non plus négliger l’aspect « interface utilisateur ». C’est par elle que les requêtes sont émises, et par elle que les résultats sont présentés, mis en forme et manipulés.

Que l’entreprise opte pour une unique solution de recherche ou pour une fédération de plusieurs moteurs, l’objectif principal reste de fournir à l’utilisateur une interface de requête unique. C’est la grande tendance actuelle. La plupart des solutions proposent soit un portail de recherche sur le navigateur Web, soit des gadgets directement accessibles à partir du bureau, à l’instar de ce que les « Desktop Search » grand public proposent. Ces interfaces facilitent le regroupement des résultats, la sauvegarde de recherches fréquentes et la prévisualisation des documents directement dans l’outil de recherche.
En la matière, deux exemples méritent qu’on s’y attarde. Le premier n’est autre qu’IBM qui, dans son association avec Yahoo, adopte au passage la même interface utilisateur que celle de Yahoo, un outil populaire et pratique.

Le second est celui de Microsoft. Avec Windows Vista, l’éditeur a fait de la recherche une fondation de son nouveau système. Omniprésente au sein de l’explorateur, elle est aussi accessible via l’option « Rechercher » du menu Démarrer. Mais dans le courant 2007, Microsoft introduira un nouveau « Centre de recherche », actuellement en bêta et dénommé « Windows Search Live Preview ». Ce centre de recherche unifiera les trois espaces que sont la machine de l’utilisateur, les espaces Sharepoint Server 2007 et le Web – en s’appuyant sur les extensions Open Search telles qu’elles sont déjà implémentées dans IE7.


Un vaste spectre de solutions

Les solutions de recherche de documents pour l’entreprise se sont multipliées ses derniers mois. Les acteurs historiques comme Hummingbird, Open Text ou Convera ont vu débouler d’un côté des appliances et de l’autre des « super plates-formes » signées par de grands acteurs du marché des solutions d’entreprise.
Oracle a lancé, il y a quelques semaines, sa solution Oracle Secure Enterprise Search 10g (r10.1.8), capable d’indexer des sources de données non Oracle, et plus particulièrement d’indexer en standard les espaces Microsoft Exchange, Microsoft Sharepoint, IBM Lotus Notes, EMC Documentum, etc. La plate-forme est évolutive via des connecteurs offerts par des tierces parties. La gestion des sécurités s’effectue au travers d’un répertoire d’identités virtuelles qui s’interface avec MS Active Directory, Novell eDirectory, Sun Java System Directory Server et OpenLDAP. Secure Enterprise Search 10g est amené à s’intégrer à toute la gamme applicative Oracle. Il est déjà livré en standard avec l’édition 8 de Siebel CRM.

Chez IBM, la gamme OmniFind a récemment été déclinée vers le bas, avec une solution entrée de gamme en partenariat avec Yahoo. « OmniFind Yahoo ! Edition » s’apparente beaucoup à « Windows Desktop Search for the Enterprise ». Elle est également gratuite, simple et rapide à déployer. Limitée à l’indexation de 500 000 documents, elle supporte plus de 200 types de fichiers, mais n’offre pas d’interfaçage avec les bases et applicatifs métier.  Pour des besoins plus étendus, il faut évidemment basculer sur les offres commerciales OmniFind Enterprise et OmniFind Discovery. Ces offres intègrent des solutions d’intégration sécurisée pré-définie, notamment vers l’environnement Domino et WebSphere.

Chez SAP, « Enterprise Search » dépasse les frontières de la recherche sur ses propres bases (même si ce moteur possède évidemment une connaissance  avancée de la structure des données dans les applications SAP ainsi que des permissions utilisateurs) et s’étend sur tout le périmètre informationnel non SAP de l’entreprise. L’application accorde une importance particulière au contexte dans lequel la requête est émise afin d’ajuster la pertinence des occurrences.

ballmer-2.jpg
Selon Steve Ballmer, le CEO de Microsoft, le moteur de recherche interne à l’entreprise représente un marché de plus de 13 milliards de dollars.
Chez Microsoft, « Windows Search » devient la plate-forme universelle d’accès à l’information. Existant sous forme d’extension du bureau Windows 2000/XP, incorporée en standard sous Windows Vista, Windows Search n’est pas limité – comme on le croit trop souvent – au poste de travail. Dès 2005, Microsoft en a proposé une édition entreprise pour serveurs et postes en réseau. Désormais, Windows Search est au cœur de toute la stratégie Microsoft en matière de recherche d’entreprise. C’est notamment le moteur qui sert de fondation à Office Sharepoint 2007. Microsoft propose d’ailleurs une édition entièrement dédiée à la recherche « Office Sharepoint 2007 for Search ». À noter que Microsoft étend le concept de recherche à celui de recherche des compétences : Office 2007 Knowledge Network se greffe au-dessus de SharePoint Server 2007 et automatise la découverte des « savoirs non documentés » en indiquant « qui sait quoi », « qui connaît qui » et « qui à la réponse à » au sein de l’entreprise. Avec quelque 35 partenaires ayant bâti des filtres pour l’indexation de documents (Autocad par exemple), des connecteurs vers de multiples sources métier et des « Protocol Handlers » pour appréhender les sécurités, Windows Search est probablement la plate-forme la mieux supportée à l’heure actuelle.

Vista.jpg

Windows Vista intègre le moteur Windows Search en standard. Contrairement à une idée répandue, son spectre de recherche s’étend au-delà du poste de travail à travers tout le réseau.


Chez Google, on reste fidèle à l’idée d’appliances. Si les solutions « Mini » sont désormais très fortement concurrencées par Windows Search ou Omnifind Yahoo Edition, elles bénéficient désormais des technologies Google OneBox (pour la connexion de l’appliance aux bases Cognos, Cisco, Netsuite, Oracle, Salesforce.com, SAS notamment) et de la prise en compte des sécurités grâce à une intégration aux annuaires LDAP et le support de NTLM. Des caractéristiques que l’on retrouve bien évidemment sur les solutions plus haut de gamme de Google, les « Google Search Appliance ».
Face à l’offensive de ces grands acteurs, les éditeurs traditionnels du marché de la recherche tentent d’offrir des solutions plus spécialisées, adressant des niches particulières, quitte à se greffer parfois sur les moteurs ci-dessus.

Les outils de Vivisimo se démarquent par leur affichage des résultats en catégories conceptuelles offrant une navigation plus visuelle et interactive avec le jeu d’occurrences retournées. Notamment à travers leur « Clustering Engine ».

La technologie Meaning Based Computing d’Autonomy ne se contente pas de joindre les occurrences provenant des différentes sources d’information, mais crée des relations de partenariats entre les données non structurées et a priori disparates.
FAST (Fast Search & Transfer) se spécialise de plus en plus vers des niches professionnelles comme l’investigation criminelle ou les problématiques issues des régulations Sarbanes-Oxley et consors, profitant notamment des capacités de recherche vidéo et de reconnaissance audio de son moteur.

L’éditeur français Exalead compte, lui, sur les spécificités linguistiques qu’il applique lors de l’indexation pour s’imposer sur un marché principalement dominé par des acteurs américains. Son « exalead one:workgroup » s’installe en un claquement de doigt sur les serveurs de fichiers Windows pour fournir un accès unifié et sécurisé aussi bien aux contenus des PC et des messageries qu’aux documents partagés par le groupe de travail. L’édition « exalead one:enterprise » utilise quant à elle un système exclusif de navigation dans les résultats s’appuyant sur une table des matières générée dynamiquement à chaque recherche et une taxonomie ouverte (capable d’importer les classifications existantes).

exalead.jpg
L’éditeur français Exalead impose la pertinence de ses solutions de recherche par une gestion avancée de la sémantique française et des idées originales de classifications et de critères de navigation dynamiquement générés pour chaque requête.


Il faut également ajouter à cette panoplie, les nombreux moteurs d’indexation Open Source tels que ht://Dig, Swish-e ou Jakarta Lucene (sans compter les moteurs « desktop » que sont Beagle, JIndex, metaTracker et Strigi) qui forment des solutions évidemment beaucoup plus « immédiatement opérationnelles » que les solutions commerciales, mais servent souvent de fondations à des solutions applicatives incorporant des fonctionnalités de recherche (CM, CRM, BI…).
p.3
Réduire
Gestion des identités
Comment à la fois sécuriser et ouvrir le système d’information

Comment répondre aux impératifs d’ouverture du système d’information et aux exigences des réglementations en termes de sécurité et de traçabilité ? Mieux gérer les identités et les accès constitue aussi le moyen de rendre plus efficace le système d’information.

Les entreprises ont maintenant l’obligation de faire évoluer leur système d’information pour le met-tre en conformité avec les nouveaux cadres réglementaires locaux et internationaux, notamment en ce qui concerne la traçabilité des données utilisées. De plus, elles doivent aussi s’engager dans un processus d’ouverture de ces mêmes systèmes d’information vers les utilisateurs extérieurs. Dès le début de la décennie, la plupart des grands comptes ont lancé des études afin de voir comment répondre à de nouveaux impératifs de sécurité. Ces audits ont parfois mis en évidence des failles, notamment en ce qui concerne la gestion des identités et des accès. Concrètement, on constate une multiplication des comptes génériques ou des comptes fantômes, ainsi qu’un manque chronique de suivi des habilitations en cas d’évolution des fonctions de l’individu dans l’entreprise.
Hassan Maad, directeur général d’Evidian, filiale du groupe Bull spécialisée dans la gestion des identités et des accès, apporte des précisions : « Sur les versions précédentes du système de Microsoft, l’éditeur ne fournissait pas un mot de passe réseau. On était à l’époque de la gestion des utilisateurs et, par extension, on est arrivé à une partie administration que nous connaissons aujourd’hui dans les produits du marché en provenance des États-Unis. Il est venu se greffer ensuite l’effet 11-Septembre et la collision avec des scandales financiers retentissants. On s’est rendu compte que c’était le souk et qu’il fallait mettre en place des règles pour avoir la possibilité d’ouvrir le système à d’autres et de savoir qui accède à quoi ? L’année 2007 sera celle de la transparence avec la LSF, Bâle 2 et les données de santé. Il faut y ajouter la protection des données contre le vol d’identité qui est en constante augmentation».

Dans ce contexte, les entreprises ont constaté que la mise à niveau de leur système d’information passait une organisation nouvelle avec l’utilisation d’outils dédiés à la gestion des accès et des identités. Parallèlement, elles ont observé que l’installation d’un nouveau système d’habilitation ne peut être portée par les seuls responsables de la sécurité, mais qu’il s’agit d’un projet d’entreprise, impliquant l’ensemble des services afin de roder méthodes et nouveaux outils.  

La plupart des applications informatiques nécessitent une gestion des utilisateurs à des fins d’allocation des ressources propres à chacune d’elles (comptes applicatifs, espaces disques, etc.), de sécurité et de droits d’accès, ainsi que de personnalisation des services en fonction des profils et des tâches imparties aux individus. Il est donc nécessaire de disposer d’une base d’utilisateurs et d’un service de gestion des comptes applicatifs, que ce soit pour gérer les utilisateurs d’un réseau local d’entreprise, les clients d’un site de commerce électronique, les extranets, les portails d’entreprise, les progiciels de gestion intégrés (PGI), les progiciels de gestion de la relation client (CRM), ou encore les solutions d’authentification à l’aide de PKI.

identite2.jpg
Le token SecurID en situation avec un utilisateur mobile.

Qu’est-ce que la gestion des identités ?

Lorsqu’on parle de gestion des identités, on entend par là celle des utilisateurs d’un système d’information. Il s’agit de la gestion des accès aux applications informatiques auxquelles ils accèdent. Ces applications sont diverses et concernent aussi bien l’individu en tant qu’employé d’une entreprise, que client d’une autre. Un même individu pourra donc disposer de plusieurs identités en fonction du travail qu’il effectue.
L’entreprise, pour faire face à son développement doit ouvrir son système d’information vers l’extérieur, qu’il s’agisse des fournisseurs, des sous-traitants ou des clients, tout en étant en conformité avec les nouvelles réglementations, de traçabilité. On évoque et confond souvent la gestion physique des accès (contrôle des entrées de personnel) et le contrôle des identités pour l’accès au système d’information. Elle n’est pas en elle même trop complexe, mais elle doit impérativement s’inscrire dans une démarche plus large.
 

Authentication Authorization Accounting

Le contrôle d’accès à un système d’information est généralement étudié suivant le protocole AAA (Authentication Authorization Accounting). Cette première phase consiste à vérifier que l’utilisateur correspond bien à l’identité qui cherche à se connecter. Vient ensuite la phase d’autorisation. Elle consiste à vérifier que l’utilisateur maintenant authentifié dispose des droits nécessaires pour accéder au système. Pour lutter contre les usurpations de droits, il est souhaitable de suivre les accès aux ressources informatiques sensibles (heure de connexion, suivi des actions…).


Modes de contrôle d’accès

Le contrôle d’accès à une ressource du système d’information est exercé selon deux modes : le mode a priori qui consiste dans l’audit et la configuration des droits d’accès attribués aux utilisateurs (on parle de « Gestion des identités et des habilitations » ou « Identity & Access Management ») et le mode a posteriori qui consiste dans le contrôle des droits d’accès attribués aux utilisateurs au moment de l’accès au système.


Droits étendus

Il existe d’autres droits spéciaux, rendant possible une gestion plus poussée des permissions. On citera, par exemple le droit SUID, qui s’applique aux fichiers exécutables, il permet d’allouer temporairement à un utilisateur les droits du propriétaire du fichier, durant son exécution. Lorsque ce droit est positionné sur un répertoire, il interdit la suppression des fichiers qu’il contient à tout utilisateur autre que le propriétaire.


Authentification unique

L’authentification unique – Single Sign-On, ou SSO – est un système permettant à un utilisateur de ne procéder qu’à une seule authentification pour accéder à plusieurs applications informatiques – ou sites Web sécurisés. Cela permet de simplifier pour l’utilisateur la gestion de ses mots de passe.
Il existe trois grandes classes pour la mise en œuvre de systèmes d’authentification unique : les approches centralisées, les approches fédératives et les approches coopératives. Le principe de base de l’approche centralisée est de disposer d’une base de données globale de tous les utilisateurs.
Dans l’approche fédérative dont le système Liberty Alliance est un bon exemple, chaque service gère une partie des données d’un utilisateur (l’utilisateur peut donc disposer de plusieurs comptes), mais partage les informations dont il dispose sur l’utilisateur avec les services partenaires. Ce système à été développé pour répondre à un besoin de gestion décentralisée des utilisateurs, où chaque service partenaire désire conserver la maîtrise de sa propre sécurité.

Enfin, La vision coopérative part du principe que chaque utilisateur dépend d’une des entités partenaires. Ainsi, lorsqu’il cherche à accéder à un service du réseau, l’utilisateur est authentifié par le partenaire dont il dépend. Cela répond aux besoins de structures institutionnelles dans lesquelles les utilisateurs sont dépendants d’une entité (universités, laboratoires, administrations).

Normes et outils pour l’authentification unique

Différents protocoles ont été proposés pour échanger des informations liées à la sécurité. On retiendra SAML ; qui a été développé par le consortium OASIS et qui constitue un protocole ouvert ; WS-Fédération proposé par Microsoft, de son côté, constitue une solution concurrente; NuFw, basé sur des logiciels libres, permet la mise en place une solution indépendante du protocole.

D’autres solutions très solides existent comme :

• Kerberos qui est un protocole d’identification réseau créé au MIT. Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs. L’ensemble repose sur des clés secrètes (chiffrement symétrique). Kerberos limite le nombre d’identifiants. Les identifications sont uniquement nécessaires pour l’obtention de nouveaux tickets d’accès au serveur de tickets.
• OpenID, quant à lui, est basé sur un système d’authentification décentralisé qui assure l’authentification unique. Il permet à un utilisateur de s’identifier auprès de plusieurs sites sans avoir à retenir un mot de passe pour chacun d’eux mais en utilisant à chaque fois le même identifiant OpenID. Chaque utilisateur est identifié par une URL.

Windows Live ID

Windows Live ID (anciennement .NET Passport et Microsoft Passport Network) est un service destiné à faciliter l’identification sur les sites Internet. Il permet, grâce à une unique adresse de messagerie et à un mot de passe, de se connecter sur tous les sites Web autorisés. C’est un système centralisé de gestion des authentifications.


NTLM

NTLM (NT Lan Manager) est un protocole d’identification utilisé dans diverses implémentations des protocoles réseau Microsoft et supporté par le « NTLMSSP » (Fournisseur de support de sécurité NT LM). Le NTLM est utilisé dans les systèmes de Microsoft comme un mécanisme de signature unique (single sign-on). Il utilise un mécanisme de « stimulation/réponse » (« challenge-response ») pour l’authentification, dans laquelle les clients sont capables de prouver leur identité sans envoyer un mot de passe au serveur.

thinkpad_lense_r2.jpg
La biométrie est une méthode en vogue pour sécuriser les accès à des périphériques ou des postes de travail.

Les annuaires LDAP et les outils spécialisés

Afin d’entreprendre une démarche cohérente, il est nécessaire de constituer un référentiel qui va contenir l’ensemble des informations partagées entre différentes applications. Ces informations vont être associées à un utilisateur. Elles vont contenir un ou plusieurs identifiants qui serviront d’index pour y accéder. La constitution de ce référentiel nécessite habituellement un annuaire, basé sur la technologie LDAP (Lightweight Directory Access Protocol). C’est un protocole permettant l’interrogation et la modification des services d’annuaire. Ce protocole repose sur le TCP/IP. Un annuaire LDAP respecte généralement le modèle X.500 édicté par l’UIT-T : c’est une structure arborescente dont chacun des nœuds est constitué d’attributs associés à leurs valeurs.

Un client entame une session LDAP en se connectant sur le serveur. Le client envoie ensuite des requêtes d’opération au serveur. Le serveur envoie des réponses en retour. Une méthode pour sécuriser les communications LDAP est d’utiliser un tunnel SSL. Cet usage est visible lors de l’utilisation d’URL commençant par « ldaps ».
 

Structure de l’annuaire
 
Les annuaires LDAP suivent le modèle X.500 : C’est un arbre d’entrées constitué par un ensemble d’attributs. Un attribut possède un nom, un type et une ou plusieurs valeurs. Les attributs sont définis dans des schémas. Chaque entrée a un identifiant unique, le Distinguished Name (DN). Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son parent. C’est une définition récursive.

La technologie LDAP constitue l’un des pivots de la normalisation et de l’authentification. Il est relativement aisé de programmer un module d’authentification utilisant la LDAP à partir d’un langage possédant une API LDAP. De plus en plus d’applications Web possèdent un module d’authentification prenant en charge la LDAP.


L’identification et l’authentification électronique

Ce service est l’un des principales utilisations de la gestion des identités. Il constitue le premier niveau de sécurité à mettre en place afin de contrôler l’accès aux ressources de l’entreprise. L’authentification consiste à s’assurer de l’identité de l’utilisateur à l’aide d’un mot de passe, mais aussi à l’aide d’autres moyens plus sécurisés, comme un certificat électronique, une carte à puce ou encore une signature biométrique (empreinte digitale, photo de l’iris, etc.).


Authentification forte

On considère que l’authentification forte est essentielle pour garantir le contrôle d’accès, le chiffrement, l’intégrité, l’audit.
L’authentification forte est une procédure d’authentification qui requiert la concaténation d’au moins deux éléments ou « facteurs » d’authentification qui sont globalement ce que l’utilisateur connaît (un mot de passe, un code NIP, une phrase secrète, etc.) et ce qu’il détient (carte magnétique, clé USB, PDA, carte à puce, etc., soit un « Authentifieur » ou « Token ») ou des informations de biométrie (empreinte digitale, empreinte rétinienne, structure osseuse du visage ou tout autre élément biométrique). À cela peut s’ajouter de la biométrie comportementale, telle que signature manuscrite, la reconnaissance de la voix…

Parmi les technologies d’authentification forte on citera également les « Authentifieurs » ou « Token » de type OTP. Ce type de « Token » est basé sur un secret partagé unique. Le « Token » contient le secret. Le serveur d’authentification contient le même secret. Grâce au partage de ce dénominateur commun, il est alors possible de générer des mots de passe à usage unique, ou One Time Password. Du fait que ce type de Token utilise un secret partagé il n’est pas possible d’assurer la non-répudiation. Certains Token peuvent être basés sur le temps. Ces Token sont définis comme une technologie dite synchrone. Par exemple, à chaque minute, ces Token affichent un nouveau « Token Code », le One Time Password (SecurID de la société RSA).

S’appuyant sur un jeton polyvalent, nCryptone et Inteligensa ont choisi une autre solution de token. L’authentificateur proposé diffère par le mode d’authentification, un mot de passe dynamique affiché sur un écran à l’instar de SecurID ou un mot de passe dynamique acoustique. Le produit propose en option des radiofréquences permettant une identification ou des paiements sans contact.

Outre la mise en conformité avec les législations, la mise en place de systèmes de sécurité élaborés ne doit pas être considérée par l’entreprise comme uniquement un poste de dépenses mais aussi comme un poste de profits. Le premier gain concerne les coûts de la gestion des habilitations. Si l’on travaille à « l’ancienne », c’est-à-dire manuellement, ce travail mobilise dans une grande entreprise plusieurs personnes à plein temps, alors qu’il peut être réduit à un demi poste. Le retour sur investissement est également très concret en ce qui concerne la diminution de la charge de travail pour le support aux utilisateurs.
Recherche
Réduire
Microsoft et l’INRIA
Ensemble pour faire avancer la recherche en informatique
Par Yann Serra - Copyright L'Informaticien, tous droits réservés

Microsoft et l’Institut national de recherche en informatique et automatique (Inria) ont ouvert près de Paris un laboratoire commun. Quand public et privé s’associent pour une cause noble… ou industrielle.

inria02.jpg
Cédric Fournet projette d’inventer un compilateur qui détectera les failles de sécurité d’un programme.
«Une formidable opportunité pour la recherche française ! » Michel Cosnard, président du conseil d’administration de l’Inria, ne manque pas d’arguments forts pour décrire l’enthousiasme qui l’étreint lors de l’inauguration du laboratoire commun entre l’institut national et Microsoft, le surpuissant éditeur américain de logiciels. À commencer par la fluidité du mécénat, d’une hauteur de dix millions d’euros : « En général, nous dépensons le budget investi par nos partenaires industriels avant même que ceux-ci n’aient pu débloquer les fonds ! Avec Microsoft, le chèque a été remis tout de suite, ce qui donne un extraordinaire coup d’accélérateur au démarrage de nos travaux. »
Cela dit, Microsoft n’est pas qu’un financier dans le monde de la recherche. Depuis 1991, une filiale, Microsoft Research, est dédiée à cette activité et dispose déjà de cinq laboratoires dans le monde, réunissant quelques sept cents ingénieurs. Son axe de travail concerne la métamorphose des techniques scientifiques en applications utiles au commun des mortels. En ce qui concerne la collaboration avec l’Inria, il s’agit d’exploiter les capacités mathématiques reconnues des chercheurs français au profit d’outils informatiques plus performants. Entre autres axes, on trouve ainsi le formalisme des preuves en mathématiques adapté à la compilation des programmes ; plus clairement, il s’agit de créer des langages informatiques capables d’identifier des erreurs de logique dans un algorithme – ils se bornent aujourd’hui à détecter des erreurs de syntaxe dans un code source. À titre d’exemple, Cédric Fournet, chez Microsoft, planche ainsi sur un compilateur qui alertera automatiquement le programmeur lorsque son code présentera des failles de sécurité.
Un autre axe consiste à ramener les théories mathématiques à un assemblage de composants, comme le sont les langages objets en informatique.
inria03.jpg
Georges Gonthier espère parvenir à démontrer tous les théorèmes mathématiques en s’inspirant du modèle objet des langages informatiques.
Selon Georges Gonthier, chez Microsoft Research, « Le défi scientifique consiste ici à démontrer des théorèmes mathématiques, notamment ceux qui attendent de l’être depuis longtemps. » Le premier succès de ce chercheur fut de démontrer en 2005 le théorème des quatre couleurs – sur n’importe quelle carte géographique, il suffit de quatre couleurs pour peindre toutes les régions sans qu’aucune ne se confonde avec sa voisine, pourquoi ? – en suspend depuis 150 ans ! Il veut désormais s’attaquer au théorème de Kepler – pourquoi le système cristallin est-il le meilleur moyen d’empiler des sphères avec un maximum de densité ? –, lequel est une affirmation sans preuve depuis… 350 ans. Ici aussi, les méthodes de conception qui seront découvertes pour les mathématiques devraient servir à améliorer l’empirique modèle objet des langages. Cependant, aucun résultat concret n’est attendu avant dix ou quinze ans. De quoi voir venir l’usage qui en sera fait.


La main mise de Microsoft sur la recherche ?
Nombreux sont ceux qui voient dans cette collaboration un « pillage » probable de la science au profit des sacro-saints brevets de Microsoft. Lorsque l’on regarde la liste des projets sur lesquels besogne Microsoft Research, on s’aperçoit en effet que beaucoup ont trait à des fonctions multimédias potentiellement déjà mises en œuvre ailleurs, mais sur lesquelles l’éditeur de Windows n’a pas de propriété intellectuelle. La capitalisation intéressée est donc une possibilité, certes. Pour l’heure, l’Inria a pu s’arranger pour que les travaux du laboratoire commun n’aillent que dans le sens de la recherche fondamentale et chaque ingénieur conserve le droit de publier librement le fruit de son labeur. Une habitude de l’institut national consiste d’ailleurs à distribuer sous licence CeCILL ses exécutables et bibliothèques de fonctions, afin qu’ils soient réutilisables par quiconque sans contraintes. Toute la nuance se situera entre les exemples types et les produits commerciaux qui en dérivent.




La télé s’invite dans la formation


On ne présente plus le groupe Pigier, qui est toujours la première école de formation professionnelle privée, avec 44 établissements en France et qui accueille plus de 4 000 étudiants et 5 000 stagiaires par an. Le groupe continue d’innover dans les méthodes pédagogiques.
Récemment, il a confié à C2iS un projet pédagogique de Web TV. Cette télé new look propose des témoignages d’étudiants et de professionnels en activité sous forme de vidéos réalisées par des étudiants. Elle vise à donner aux visiteurs des notions concrètes des formations proposées par Pigier et des métiers auxquelles elles conduisent. Des cursus de BTS en informatique de gestion ou associés à la formation de comptable profitent de ce nouveau vecteur de communication. Le BTS d’informatique de gestion propose deux options : développeur d’application, administrateur de réseaux locaux d’entreprise et administrateur de système.
Depuis son lancement, la Web TV a généré plus de 500 demandes d’informations. À terme, le but est de doubler le nombre de visiteurs et d’atteindre les 250 000 visites mensuelles.
La solution s’appuie sur les technologies .Net et Flash. À l’occasion de ce projet, Pigier a renforcé son partenariat avec C2iS en lui confiant la gestion de l’ensemble de ses sites Web. La SSII a conduit le projet de bout en bout, du conseil à la mise en œuvre technique, en passant par la création et le design en adéquation avec la charte graphique institutionnelle.

pigier.jpg
Système d’information et comptabilité : l’un des parcours de formation proposés par Pigier TV.





Management du SI : la session MSI 2007 a démarré

La session 2007 de cette formation de l’Université Paris-Dauphine réalisée en partenariat avec le Cigref a démarré le 19 janvier dernier sous la parrainage de Pascal Buffard, le DSI d’Axa France. Cette troisième promotion sera l’occasion de développer les sujets majeurs de managements des systèmes d’information et d’en illustrer certains aspects avec les retours d’expérience de plusieurs DSI.
L’intervention de Pascal Buffard a permis de mettre en exergue trois missions essentielles du DSI : le devoir d’éducation des utilisateurs, la création des conditions favorables à de la création de valeur, savoir tirer profit des investissements passés et accompagner les services métier pour atteindre les objectifs fixés.
Cette formation s’adresse aux informaticiens professionnels, aux gestionnaires de projets et aux contrôleurs ou aux auditeurs informatiques. Aucun diplôme pré-requis n’est exigé pour accéder à la formation. En revanche, une expérience professionnelle de trois ans est requise.
La formation concerne en premier lieu des salariés inscrits dans le cadre du plan de formation de leur entreprise, même s’il est possible d’accueillir des candidatures individuelles.
La formation qui accueille entre 20 et 30 participants dure 78 heures au total. Elle s’achèvera le 6 avril prochain. Le coût de la formation est de 3 500 euros par participant.
Livres
Réduire
Les bases d’une politique de sécurité
Par Bertrand Garé et Noé Barat - Copyright L'Informaticien, tous droits réservés

Couv_Eyrolles.jpg
Sécurité informatique : principes et méthode
Auteurs : Laurent Bloch et Christophe Wolfhugel
Éditeur : Eyrolles, 262 pages, 35 euros
Il est parfois difficile de savoir par où commencer lorsque l’on se retrouve à gérer la sécurité informatique d’une entreprise. L’ouvrage « Sécurité informatique : principes et méthode » que présentent les Éditions Eyrolles permet de reprendre les fondamentaux du domaine et de repréciser des éléments qui, bien que connus des spécialistes, doivent régulièrement être rappelés.
Reprenant les bases des politiques de sécurité et les éléments de vulnérabilité, le livre se révèle très complet pour ceux qui souhaitent se former rapidement aux problématiques de la sécurité. Pour les responsables de terrain, il est peut-être un peu trop « conceptuel » et donne l’impression de traiter le sujet « vu d’avion ». Sur ce point, l’ouvrage ne rate pas sa cible puisqu’il s’adresse principalement aux administrateurs réseau et système, et aux DSI ou responsables de projets. Plus vaguement, il intéressera tous ceux qui doivent concevoir ou simplement comprendre une politique de sécurité.
De ce fait, ce livre est accessible à toute personne qui souhaiterait se mettre à jour sur cette problématique, grâce aux dernières avancées technologiques et aux technologies les plus « à la mode », comme le P2P ou les technologies de ToIP.
Avec cet ouvrage, le lecteur se retrouve suffisamment armé, avec une méthode claire et rigoureuse, pour mettre en place la politique de sécurité la mieux adaptée à son contexte. La réflexion des auteurs est de plus appuyée par des exemples techniques, lesquels sont hélas trop peu nombreux à notre goût. Le dernier chapitre donne des pistes de réflexion sur l’avenir des menaces et des outils de sécurité. Comme toute projection, ces pistes sont sujettes à caution, mais il est intéressant de voir comment des spécialistes du domaine voient l’avenir de leur activité.



Publiez vos premiers formulaires avec Infopath

INFOPATH_2003.jpg
InfoPath 2003 « Pour des solutions collaboratives via XML,de la bureautique au développement »
Auteur : Jean-François Fustec
Éditeur : ENI, collection Ressources Informatiques, 360 pages, 27 euros environ
D’abord, qu’est-ce exactement qu’infopath ? Infopath est un nouveau logiciel accompagnant Office 2003 professionnel – et Office 2007 –, au même titre que Word, Excel ou Powerpoint. En deux mots, Infopath permet de créer de manière rapide des « formulaires électroniques ». Autrement dit, il s’agit d’un outil qui vous aidera à développer très rapidement des applications à base de formulaires. Et comme le démontre l’auteur, il est possible de mettre en pratique des fonctionnalités assez avancées sans écrire une seule ligne de code. Cependant, pour construire un applicatif d’entreprise à l’aide d’Infopath, vous devrez bien maîtriser au préalable le XML. Jean-François Fustec, après avoir situé le contexte et décrit la stratégie de Microsoft en la matière, nous explique comment créer un formulaire, notamment sous Word. Vous pouvez ensuite facilement lui associer une base de données, ce qui est souvent le but du jeu dans un contexte d’entreprise.
Une fois le formulaire établi vous pouvez le « publier » sur intranet ou extranet. Les utilisateurs pourront remplir les données en mode on-line ou en mode déconnecté, ce qui représente un atout considérable pour collecter des informations.
Il est enfin possible de combiner InfoPath avec Windows SharePoint Services et d’utiliser des outils pour développeurs afin de construire un applicatif complet.  L’auteur passe en revue l’aspect sécurité d’un tel applicatif et liste des outils et des techniques de workflow.
L’ouvrage est pratique et s’accompagne de nombreuses illustrations. Il s’agit d’un excellent point de départ si vous voulez vous initier à Infopath.
Edito
Réduire
La Nouvelle Star de la Techno

Une fondation financée par des capitaux-risqueurs vient de lancer aux États-Unis un concours sur le principe de la Nouvelle Star. Un télé-crochet de la high tech…

newstef26526_Copier5.gifVous connaissez sans doute l’émission La Nouvelle Star. Télé-crochet des temps modernes, l’émission consiste à récompenser un aspirant chanteur au bout de longues semaines de concours. De 25 000 au départ, il n’en reste qu’un, ou une, à l’arrivée. Cette émission est, à l’origine, britannique, puis américaine, avant d’arriver en France voici 4 ou 5 ans.

Mais pour ce qui suit, racontée en détail par nos confrères du New York Times, l’initiative est américaine et il serait opportun que les Français ou les Européens s’en inspirent rapidement si nous voulons combler notre retard en matière de technologies.

Une fondation composée de capitaux-risqueurs vient, en effet, de lancer un concours sur le principe de la Nouvelle Star (American Idol, aux États-Unis) pour tout ce qui concerne de nouveaux projets technologiques, dans les domaines aussi divers que la médecine, ou la réduction de la consommation de carburant, avec 50 millions de dollars à la clé ; ce qui représente une coquette somme…
L’intérêt de cette initiative est qu’elle fait des petits et les concours se multiplient aux États-Unis pour encourager les apprentis entrepreneurs. L’ancien vice président Al Gore et le milliardaire britannique Richard Branson viennent d’annoncer qu’ils offrent 25 millions de dollars pour récompenser une technologie qui réduirait les gaz à effet de serre ; et les projets similaires sont légion, financés par des sociétés de capital-risque, des universités, voire les deux. L’engouement semble tel que des émissions télévisées sont d’ores et déjà programmées, le tout pour obtenir le maximum de retentissement, y compris avec les projets qui ne gagneront pas mais qui pourraient, par ce biais, trouver des débouchés commerciaux. Le président de la fondation Xprize affirme qu’« un trophée peut aider à créer un marché. C’est une évolution intéressante pour le capital-risque car, au lieu de parier sur une entreprise, on parie sur un secteur ».
Quels que puissent être nos jugements sur la Société américaine et son fonctionnement, on ne peut qu’être admiratif devant le dynamisme sans cesse renouvelé et la constante originalité des techniques employées pour toujours encourager un secteur qui tire la croissance du pays depuis maintenant plus de trente ans et auquel les États-Unis doivent, en grande partie, leur rang de superpuissance.
Par ailleurs, ce qui me semble intéressant dans ce concept est que les gagnants de ces émissions sont d’abord les apprentis entrepreneurs – y compris ceux qui ne remportent pas le trophée – plutôt que les chaînes de télévision qui les diffusent. À l’inverse de nos concours de chant pour lesquels le seul véritable gagnant est le diffuseur, notamment avec les SMS surtaxés qu’envoient frénétiquement les spectateurs, ilotes des temps modernes.

À un moment où d’aucuns cherchent de nouveaux programmes ou débouchés pour la télévision publique, encourager la création technologique et la promouvoir à l’écran à des heures de grande écoute ne me semble pas totalement imbécile.
   
Stéphane LARCHER


Sommaire
Réduire
MAGAZINE

• Supercalculateurs : SGI équipe le plus grand centre de calcul allemand


DOSSIER sécurité

• Protégez-vous de vos utilisateurs

• Sniffing, ou quand le pirate espionne le réseau de l’intérieur

• Gestion des identités : comment à la fois sécuriser et ouvrir le système d’information


RÉSEAUX & SÉCURITÉ

• Bonnes feuilles : les bonnes pratiques pour votre serveur DHCP


LOGICIELS & APPLICATIONS


• CMS : les intranets, c’est de la dynamique !

• Intranet et gestion de la connaissance

• Gestion des configurations logicielles – GCL : l’outil de cohérence des projets


POSTE DE TRAVAIL

• 2007, l’année des appliances et des outils de recherche pour l’entreprise

• LINUX JOURNAL – WIN4LIN Virtual Desktop : fournir Windows aux clients sous Linux
        

ITINÉRAIRES

• Microsoft et l’Inria : ensemble pour faire avancer la recherche en informatique

• Livres – En vitrine ce mois-ci : les principes et méthode d’une politique de sécurité informatique et la réalisation de vos premiers formulaires avec InfoPath
Magazine
Réduire
SUPERCALCULATEURS
SGI équipe le plus grand centre de calcul allemand

Tout juste sorti d’une procédure de redressement judiciaire (« chapitre 11 », aux États-Unis) grâce à une réorientation vers l’informatique d’entreprise, le constructeur Silicon Graphics n’en oublie pas pour autant son cœur de métier initial : les supercalculateurs.

LRZ-02.jpg

Crâne rond, lunettes carrées, moustache coupée à la règle, menton en triangle et pull-over bleu électrique avec chaînes d’ADN arc-en-ciel en guise de motif… Le Docteur Heinz-Gerd Hegering n’a pas besoin de se présenter : on devine tout de suite que c’est lui, le directeur du Leibniz Rechenzentrum (le LRZ, pour les intimes), le plus grand centre de calcul allemand, situé à l’université de Munich. Son dernier jouet se nomme « Höchstleistungsrechner in Bayern II » – ou HLRB-II –, un supercalculateur de marque Silicon Graphics qui fonctionne sous le Linux de SuSE et se compose de 4 096 processeurs Itanium 2 Madison (à cœur simple avec 6 Mo de cache), 17 To de mémoire et 330 To d’espace de stockage. En installation depuis l’été dernier dans son propre immeuble cubique, la machine a démarré en septembre et a atteint son rythme de croisière un bon mois avant les fêtes de fin d’année : « Les défaillances initiales que nous avons rencontrées étaient moins dues à des bogues logiciels qu’à des barrettes mémoires défectueuses… Il faut dire qu’il y en a tout de même près de 20 000 ! », témoigne le Docteur. Mais il ne regrette pas d’avoir fait le choix de Silicon Graphics : « Grâce à leur technologie réseau unique, NUMAlink, les nœuds Altix 4700 peuvent s’agglomérer en un clin d’œil pour former une seule machine – avec un seul OS – équipée de centaines, voire de milliers de processeurs. Sur des solutions concurrentes, attribuer un certain nombre de nœuds à un calcul, ou modifier les quantités de mémoire allouées suppose de tout arrêter, tout reconfigurer et tout relancer, ce qui peut prendre des heures. Une telle perte de temps de production est inconcevable pour un centre comme le nôtre où des milliers d’utilisateurs doivent pouvoir suivre 24 heures sur 24 des dizaines d’applications qui concernent plus de 200 projets de recherche. »

tablo1.jpg


L’Itanium, suite logique des architectures vectorielles

Les projets de recherche, justement, sont variables : « Il peut s’agir de n’importe quel sujet étudié par les 120 000 universitaires qui ont accès au supercalculateur – simulations physiques, météorologiques, géologiques, chimiques, etc. Selon les cas, nous pouvons allouer jusqu’à 64, 128 ou 256 processeurs à un seul projet. Mais dans un premier temps, il s’agit surtout d’effectuer des simulations de test pour optimiser nos algorithmes. » À ce sujet, la plupart des programmes de recherche sont encore écrits en langage Fortran et une maigre poignée en C : « Ach… ne me parlez surtout pas de C++ ou de Java !, s’insurge Herr Doktor Hegering, ces langages sont certainement très bien pour modéliser une application, mais ils sont tout bonnement impossibles à optimiser – notamment lorsqu’il s’agit de prendre en compte le nombre de cœurs mis à contribution ! Par ailleurs, nous travaillions jusqu’ici sur un supercalculateur vectoriel de Nec et nous nous félicitons de voir combien le code écrit pour cette machine est très facilement portable sur l’architecture EPIC de l’Itanium ; les choses auraient été bien plus compliquées avec des processeurs RISC (Power...) ou CISC (Opteron, Xeon). » Autre avantage de l’Itanium, le compilateur qu’édite pour lui Intel est ici distribué en licence universitaire, laquelle permet à chaque étudiant d’en récupérer gratuitement une copie pour l’utiliser chez lui : « Il s’agira de cross-compilation, évidemment, mais l’avantage est que les PC de tous nos étudiants sont déjà sous Linux. »

tablo2.jpg


Une mise à jour déjà prévue

Pour l’heure, la machine se compose de 128 armoires rack qui embarquent chacune quatre châssis de huit serveur Altix 4700 au format blade. Les unités communiquent entre elles par l’intermédiaire de deux connexions NUMAlink de 6,4 Go/s chacune. La puissance maximale mesurée est de 26,2 millions de millions d’opérations par seconde (TeraFlops), mais les applications non encore optimisées n’atteignent de concert que 8,2 TeraFlops. « De toute façon, nous sommes encore en phase de test et, selon les mesures quotidiennes que nous effectuons, le petit échantillon d’outils que nous mettons à l’épreuve a un rendement moyen de 3,5 TeraFlops, indique le Docteur, mais l’utilisation du supercalculateur s’accroîtra rapidement dès lors que nous aurons peaufiné nos réglages, d’autant que toute la Bavière, voire toute l’Allemagne est susceptible de venir effectuer ses calculs chez nous. » De fait, le LRZ songe d’ores et déjà à mettre à jour son matériel : « Dès la mi-2007, nous allons progressivement remplacer chaque processeur Itanium 2 Madison par deux Itanium 2 Montecito (à double cœur), ce qui multipliera à terme par quatre les capacités de traitement du HLRB-II. Enfin… théoriquement. Car l’électronique d’Intel est faite de telle manière que deux Montecito, soit quatre cœurs Itanium, communiquent à la même vitesse avec la mémoire qu’un seul Madison (soit un seul cœur Itanium), c’est-à-dire 8,5 Go/s… »
Bonnes Feuilles
Réduire
Les bonnes pratiques pour votre serveur DHCP

7965.jpgTCP/IP et les services réseaux
La formation pour devenir opérationnel
Sylvain Caicoya et Jean-Georges Saury
Collection Ateliers Techniques, Micro Application
407 pages, 44,95 euros TTC
Dans leur ouvrage « TCP/IP et les services réseaux », Sylvain Caicoya et Jean-Georges Saury ont regroupé les éléments concrets pour se former et devenir rapidement opérationnel dans l’administration de réseau. Exemple pratique avec un extrait du chapitre sur l’administration et la maintenance des serveurs DHCP.

Analyser les performances des serveurs DHCP

L’installation et la configuration du service DHCP ne représentent qu’une partie d’une solution réseau. Le service DHCP doit être administré pour refléter les besoins changeants des clients en matière d’adressage IP. Ces besoins peuvent être multiples.

Performances d’un serveur DHCP

L’un des principaux objectifs de l’analyse des performances du serveur DHCP est de diagnostiquer les problèmes avant qu’ils n’empêchent les clients d’obtenir un bail DHCP. Par exemple, si l’implémentation DHCP ne fonctionne pas convenablement, les baux des clients risquent de ne pas être renouvelés, ce qui aboutit à exclure les clients du réseau.

Analyse des performances d’un serveur DHCP

Appliquez les instructions suivantes lors de l’analyse des performances d’un serveur DHCP :
• Créez une ligne de base de données de performances sur le serveur DHCP. Vous pouvez comparer la ligne de base avec des compteurs pouvant indiquer si le serveur qui héberge le service DHCP est surchargé ou si le réseau a cessé d’envoyer des demandes DHCP au serveur.
• Vérifiez les compteurs de performance de serveur standard (par exemple l’utilisation du processeur, la pagination, les performances de disque et l’utilisation du réseau). Comme le service DHCP est souvent installé sur un serveur qui héberge aussi d’autres services ou applications, il est important de connaître la charge totale du serveur et les circonstances dans lesquelles elle pourrait influencer le fonctionnement du service Serveur DHCP.
• Examinez les compteurs de serveur DHCP (par exemple les accusés de réception par seconde) pour rechercher les augmentations ou diminutions significatives dénotant un changement dans le trafic DHCP. Un accroissement soudain de l’activité peut être dû à l’ajout de nouveaux clients DHCP ou refléter un raccourcissement de la durée du bail DHCP. Une baisse d’activité soudaine peut indiquer un allongement de la durée du bail DHCP, une incapacité du réseau à transmettre les demandes DHCP ou une incapacité du serveur DHCP à traiter les demandes.
Note : Analyseur de performance
• Objet de performance : Dans le moniteur système, un objet de performance et un ensemble logique de compteurs associé à une ressource ou un service qui peut être analysé.
• Compteur de performance : Dans le moniteur système, un compteur de performance est un élément de données qui est associé à un objet de performance. Pour chaque compteur sélectionné, le moniteur système présente une valeur correspondant à un aspect particulier des performances qui est défini pour l’objet de performance.
• Instance d’objet de performance : Dans le moniteur système, l’instance d’objet de performance est le terme utilisé pour distinguer plusieurs objets de performance de même type sur un ordinateur.

chap07-2.jpg
chap07-3.jpg

Création d’alertes pour un serveur DHCP

À l’aide des compteurs disponibles pour l’objet de performance serveur DHCP, vous pouvez également créer des alertes. Si vous connaissez le niveau acceptable au-dessus ou au-dessous duquel un compteur peut passer avant qu’un problème ne survienne, vous pouvez créer une alerte qui vous prévienne et déclenche l’exécution d’un programme ou d’un script.

chap07-4.jpg

Comment créer des alertes

Il est recommandé d’appliquer les instructions suivantes lorsque vous créez des alertes pour un serveur DHCP :

• Avant de créer une alerte, définissez le niveau acceptable au-dessus ou au-dessous duquel la valeur d’un compteur DHCP peut augmenter ou diminuer. Pour ce faire, vous pouvez enregistrer le compteur DHCP pendant une certaine période de temps afin de créer une ligne de base. À l’aide de cette ligne de base, vous pouvez ensuite déterminer la plage de fonctionnement normal pour un compteur DHCP donné, puis créer des alertes qui vous préviennent lorsque l’activité pour ce compteur est en dehors de la plage de fonctionnement normal.

• Utilisez des scripts avec vos alertes. Utilisez des commandes Netshell pour DHCP dans un script pour répondre à l’alerte.

Exemple d’application des instructions :

Vous avez analysé l’activité de serveur DHCP à l’aide du moniteur système. Vous avez affiché le compteur ci-contre.

• Découvertes/s. Nombre de messages de découverte DHCP (DHCPDISCOVER) reçus par seconde par le serveur.

Les clients envoient ces messages lorsqu’ils ouvrent une session réseau et obtiennent un nouveau bail d’adresse IP. Une diminution soudaine ou inhabituelle du nombre de demandes DHCP par seconde peut indiquer qu’un routeur ou un agent de relais DHCP a cessé de transmettre les paquets DHCP, si bien que les baux des clients vont expirer.

Il suffit de créer une alerte qui vous prévienne de cette condition pour parer à toute éventualité et diagnostiquer le problème avant que les baux d’adresses IP ne commencent à expirer.
Note : Alerte (voir capture ci-contre)
Une alerte est un mécanisme qui détecte si un compteur prédéfini atteint une valeur supérieure ou inférieure à un nombre que vous spécifiez. Ce nombre que vous spécifiez est appelé seuil d’alerte.

chap07-4bis.jpg


Dépannage des clients DHCP

Cette partie constitue un guide procédural pouvant servir à dépanner des défaillances DHCP. Comme avec la majorité de ces guides, vous devez modifier l’ordre des procédures de dépannage recommandé pour l’adapter au besoin de votre situation particulière.

Activation du service DHCP Client

Sur les stations de travail, il faut que le service DHCP Client soit activé et configuré pour que le serveur DHCP délivre une adresse IP. Si un utilisateur a les droits et s’amuse à mettre une adresse IP fixe, vous, en tant qu’administrateur, risquez de rencontrer des problèmes de gestion du serveur DHCP et des problèmes de résolution d’incident si cet élément vous a échappé. Pour cela, quoi de mieux qu’un script applicable en masse afin d’être sûr que tous les ordinateurs sont configurés pour utiliser DHCP.

Utilisez le Bloc-notes Windows afin d’y renseigner le script suivant :

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colNetAdapters = objWMIService.ExecQuery _
("Select * from Win32_NetworkAdapterConfiguration where IPEnabled=TRUE")
For Each objNetAdapter In colNetAdapters
errEnable = objNetAdapter.EnableDHCP()
Next


Sauvegardez-le sous le nom ActiveDHCP.vbs et exécutez-le grâce à la commande :

wscript ActiveDHCP.vbs.


Vérification de la configuration du client

Un des premiers signaux de défaillance DHCP survient soit lorsqu’un client perd la connectivité à des ressources réseaux, soit lorsqu’un nouveau client ne peut établir cette connectivité. Vous devez en de tel cas déterminer si le problème provient du client ou d’ailleurs.
Commencez en employant la commande Ipconfig pour déterminer si le client dhcp a reçu un bail d’adresse du serveur DHCP. Si tel est le cas, la sortie Ipconfig /all montre que DHCP est activé et l’adresse IP est décrite comme adresse IP et non comme adresse IP autoconfigurée. Vous pouvez aussi vérifier le type d’adresse figurant sur l’onglet Prise en charge de la boîte de dialogue d’état de la connexion.
Vous pouvez ouvrir cette boîte de dialogue en double-cliquant sur la connexion concernée dans la fenêtre Connexion réseau. Lorsque l’adresse IP a été affectée par un serveur DHCP, le type d’adresse est décrit sur l’onglet Prise en charge comme Attribué par DHCP.
Si le client s’est vu affecter par DHCP une adresse compatible avec le reste du réseau est qu’aucun message d’avertissement ne signale de confits d’adresses, vous pouvez supposer que le problème réseau ne provient pas d’une erreur d’adressage sur le client local.

Conflits d’adresse

Si un ordinateur client s’est vu affecter une adresse employée par un autre ordinateur du réseau, un message d’avertissement vous informant de ce conflit apparaît dans la barre d’état du système. Vous pouvez également découvrir un conflit d’adresse dans le journal système, que vous pouvez examiner depuis l’Observateur d’événement.
Lorsque vous recevez un message d’avertissement à propos d’un conflit d’adresse, en ayant pu vérifier que le client à reçu sa configuration IP d’un serveur DHCP, ce conflit peut signaler des serveurs DHCP concurrents ou un soudain redéploiement d’étendue DHCP. Pour vérifier l’existence de serveur DHCP concurrent, vous pouvez recourir à l’utilitaire Dhcploc.exe (appartenant aux outils de support Windows) pour localiser des serveurs vagabonds (rogue) sur le réseau. Après la suppression des serveurs vagabonds selon les besoins, vérifiez que chaque serveur DHCP restant ne peut émettre de bail d’adresse dans la même plage d’adresses.
Pour récupérer en douceur après un redéploiement, augmentez d’abord les tentatives de détection de conflits sur le serveur, puis renouvelez les baux des clients. Pour ce faire, employez soit la commande Ipconfig /renew, soit le bouton Réparer de la boîte de dialogue d’état de la connexion concernée. Si vous devez renouveler de nombreux baux, vous pouvez recourir à la commande Shutdown /i pour redémarrer plusieurs ordinateurs distants.
Cette commande ouvre un outil graphique permettant de sélectionner les ordinateurs distants à éteindre ou à redémarrer (voir captre page suivante).

Travailler avec le bouton Réparer

Un clic sur le bouton Réparer de l’onglet Prise en charge de la boîte de dialogue de l’état de connexion accomplit en séquence les 6 fonctions suivantes :
1. Diffusion d’un message DHCP Request pour renouveler l’adresse IP actuellement affectée au client. Cette étape n’est effectuée que si le client est un client DHCP. Cette fonction est analogue à celle fournie par la commande Ipconfig /renew, la requête de renouvellement de l’adresse IP actuelle est envoyée par monodiffusion et non par diffusion au serveur DHCP ayant affecté l’adresse. Si aucune adresse (0.0.0.0) n’est actuellement affectée au client, la première action accomplie par le bouton Réparer est la diffusion d’un paquet DHCP Discover sur le réseau (comme par la commande Ipconfig /renew).
2. Vidange du cache ARP. Cette étape est l’équivalent fonctionnel de la saisie de la commande arp –d * à l’invite de commandes.
3. Vidange du cache NetBIOS. Cette étape est l’équivalent fonctionnel de la saisie de la commande nbtstat –R à l’invite de commandes.
4. Vidange du cache DNS. Cette étape est l’équivalent fonctionnel de la saisie de la commande Ipconfig / flushdns à l’invite de commandes.
5. Réenregistrement du nom NetBIOS et de l’adresse IP du client auprès d’un serveur WINS. Cette étape est l’équivalent fonctionnel de la saisie de la commande nbtstat –RR à l’invite de commandes.
6. Réenregistrement du nom de l’ordinateur et de l’adresse IP du client dans DNS. Cette étape est l’équivalent fonctionnel de la saisie de la commande Ipconfig /registerdns à l’invite de commandes.

Échec d’obtention d’une adresse DHCP

Lorsque la sortie de la commande Ipconfig /all ou la boîte de dialogue d’état de connexion révèle que l’adresse du client est affectée par APIPA ou par une configuration alternative, vous pouvez d’abord tenter d’actualiser la configuration IP à l’aide de la commande Ipconfig /renew ou du bouton Réparer de la boîte de dialogue d’état de la connexion. Si le problème persiste, cette situation peut signaler soit l’absence d’un serveur ou d’un agent relais DHCP déployé à portée de diffusion, soit une brèche dans la connexion physique, soit une erreur de l’étendu ou du serveur DHCP. Si vous pouvez vérifier qu’un serveur ou qu’un agent relais DHCP est déployé à porter de diffusion, vérifiez ensuite que la connexion physique vers le serveur ou l’agent relais DHCP fonctionne correctement. Pour effectuer avec succès un ping vers le serveur ou l’agent relais DHCP, vous pourriez avoir besoin d’affecter temporairement une adresse manuelle plaçant le client sur le même sous-réseau logique que sa passerelle par défaut.

chap07-7.jpg

Note : Localiser les serveurs DHCP
Si vous ne connaissez pas l’emplacement ou l’adresse de votre serveur DHCP, entrez la commande netsh dhcp show server. Cette commande vous fournira les noms et les adresses de tous les serveurs autorisés dans Active Directory.

Après avoir éliminé les problèmes de connectivité physique, et si vous pouvez éliminer les problèmes de configurations ou d’état de l’agent relais DHCP, vous pouvez passer au dépannage du serveur et de l’étendue DHCP. Lorsque vous dépannez le serveur DHCP pour l’incapacité du client à obtenir une adresse IP, vérifiez que le serveur est parfaitement installé, configuré et autorisé. Lorsque vous dépannez la portée suite à l’incapacité du client à obtenir une adresse IP, vérifiez que l’étendue est active et que les baux disponibles ne sont pas tous déjà affectés à d’autres clients.

Adresse obtenue d’une étendue incorrecte

Si la sortie de la commande Ipconfig /all ou la boîte de dialogue de l’état de la connexion révèle que le client a obtenu une adresse d’un serveur DHCP et que vous déterminiez que cette adresse appartient à une étendue incorrecte, vérifiez d’abord l’absence de serveur concurrent sur le réseau. Pour vous y aider, il est possible de recourir à l’utilitaire Dhcploc.exe afin de déterminer si des serveurs vagabonds distribuent des adresses IP. S’il n’existe aucun serveur vagabond, vérifiez que tous les serveurs DHCP autorisés sur le réseau attribuent des baux à partir de plages d’adresses différentes. Il ne doit exister aucun recouvrement entre les espaces d’adresses affectables des serveurs DHCP actifs.

Le serveur DHCP correct peut également avoir fourni une adresse d’une étendue incorrecte. Plusieurs étendues peuvent être actives sur un même serveur DHCP, des étendues extérieures aux propres sous-réseaux du serveur pouvant servir à des clients distants. Le serveur DHCP ne peut toutefois faire correspondre des clients distants à l’étendue adéquate que lorsque le routeur compatible RFC 1542 ou l’agent relais DHCP par le biais duquel communique le client est correctement adressé. Dans ce scénario, lorsqu’un client distant se voit affecter une adresse incorrecte par le serveur DHCP, vérifiez que l’agent relais DHCP ou le routeur faisant suivre les messages DHCP est lui-même correctement adressé.


Libération de tous les baux DHCP

Côté client, vous pouvez facilement libérer les baux en masse pour, par exemple, régénérer une nouvelle distribution DHCP. Pour cela, utilisez le Bloc-notes Windows afin d’y renseigner le script suivant :

On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set objNetworkSettings =
objWMIService.Get("Win32_NetworkAdapterConfiguration")
objNetworkSettings.ReleaseDHCPLeaseAll()

Sauvegardez-le sous le nom LibBauxDHCP.vbs et exécutez-le grâce à la commande

wscript LibBauxDHCP.vbs.


Renouvellement de tous les baux DHCP

Après avoir libéré les baux en masse, vous pouvez les renouveler. Pour cela, utilisez le Bloc-notes afin d’y renseigner le script suivant :

On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set objNetworkSettings =
objWMIService.Get("Win32_NetworkAdapterConfiguration")
objNetworkSettings.RenewDHCPLeaseAll()


Sauvegardez-le sous le nom NewBauxDHCP.vbs et exécutez-le grâce à la commande

wscript NewBauxDHCP.vbs.



Check-list

DHCP est un protocole utilisé pour simplifier la gestion des clients TCP/IP sur un réseau. Avec DHCP, un client peut obtenir automatiquement une adresse IP, des masques de sous-réseaux et bien d’autres paramètres de configuration TCP/IP depuis un serveur DHCP. C’est une solution plus simple d’administration que l’approche consistant à configurer manuellement une adresse IP statique sur chaque client du réseau. Vous avez appris à maîtriser dans ce chapitre :

• l’administration des serveurs DHCP en mode Commande ;
• la gestion des étendues ;
• l’audit des serveurs DHCP ;
• les statistiques sur les serveurs DHCP ;
• la maintenance des serveurs DHCP ;
• l’analyse des performances des serveurs DHCP ;
• le dépannage des clients DHCP.   

Les auteurs : Sylvain Caicoya et Jean-Georges Saury
Ingénieurs système et formateurs Windows tous deux reconnus MCT (Microsoft Certified Trainer) et MCSE (Microsoft Certified Systems Engineer), Sylvain Caicoya et Jean-Georges Saury rédigent aussi des articles pour la presse professionnelle. Sylvain Caicoya est MVP (Microsoft Most Valuable Professional) Windows et a collaboré aussi au programme TAP (Technical Adoption Program) de Vista pour les entreprises. Il est notamment l'auteur de l'éditorial sur Vista pour le site de Microsoft. Jean-Georges Saury a participé pour Microsoft aux séminaires de lancement officiel de Windows Vista en France. Ces deux auteurs, experts techniques de Vista, vous font partager leur expérience et leur passion au travers des nombreux ouvrages qu'ils ont écrit sur le sujet.
CMS
Réduire
Les intranets : c’est de la dynamique !
Par Henri Gillarès-Caillat et Bertrand Garé - Copyright L'Informaticien, tous drits réservés

Les évolutions apportées par les technologies 2.0 arrivent désormais dans l’entreprise. Les outils de gestion documentaire, portails, intranets en profitent pour apporter aux utilisateurs des fonctions plus riches. Elles permettent aussi de s’affranchir de la difficulté de réconcilier contenus structurés et non structurés. Les intranets bénéficient d’une réactivité accrue et d’une instantanéité pour l’accès des données utiles aux utilisateurs.

Considéré principalement comme un outil de diffusion et de visualisation de données dans sa conception originelle, le Web comprenait des pages statiques qui étaient rarement mises à jour ou de façon très succinctes et aléatoires. On comptait le nombre de pages vues, l’esthétique était mise en avant. Le Web 2.0 représente donc un passage de l’univers isolé des sites Web fermés vers des flux de contenu libre et de services ouverts autorisant l’interaction entre le visiteur et le site. Même s’il n’est pas encore bien défini, le Web 2.0 diffère du Web traditionnel en plusieurs points. Le visiteur devient éditeur de contenus, il visualise l’information et par sa manière d’utiliser Internet, il crée des communautés d’intérêt.

dynamique1.jpg
La richesse des possibilités offertes par les technologies 2.0 : ici, le lien entre une carte et un commentaire.

Avec le Web 2.0, l’utilisation du Web s’oriente de plus en plus vers l’interaction entre les utilisateurs. Cela a pour conséquence la création de réseaux sociaux élémentaires, pouvant servir du contenu avec ou sans réel rendu visuel. En ce sens, les sites Web 2.0 agissent plus comme des points de présence – des portails Web centrés sur l’utilisateur – plutôt que sur les sites Web classiques.


De nombreuses technologies

L’infrastructure du Web 2.0 est complexe et évolutive, elle offre des logiciels de serveur, la syndication de contenu, les protocoles de messagerie, des standards de navigation et des applications clientes diverses. Ces approches complémentaires fournissent au Web 2.0 les capacités de stockage, de création et de diffusion qui vont au-delà de ce qui était précédemment attendu des sites Web.
Un site peut être considéré comme « Web 2.0 » s’il utilise massivement un certain nombre des techniques suivantes : l’utilisation de CSS, d’un balisage XHTML sémantiquement valide et des micros formats ; les techniques d’applications riches telles qu’Ajax ; la syndication et l’agrégation de contenu RSS/Atom ; la catégorisation par étiquetage ; l’utilisation appropriée des URL ; une architecture REST ou des services Web XML.

Le Web 2.0 est une évolution du Web comportant trois dimensions :
• une dimension dite « sociale » qui transforme le Web en média interactif dans lequel une part importante du contenu est produite par les utilisateurs ;
• une dimension architecturale : le Web devient une plate-forme autonome. Le Web 2.0 est indépendant des plates-formes matérielles et logicielles, ses applications tournent partout et les données ne sont plus cachées mais disponibles sur le Web ;
• une dimension technique : le Web 2.0 fait appel à des technologies classiques (HTTP, (X)HTML, CSS, XML…) suivant une combinaison connue sous le nom d’Ajax.

L’utilisation des balises – ou étiquettes ou mots clefs (tags) – améliorent la recherche sémantique. Ces étiquettes sont des petites formules de texte qui décrivent un concept auquel elles sont attachées. Elles sont utilisées pour chercher dans un contenu (un forum, un blog, un annuaire de blogs) et pour interconnecter les objets entre eux.
Les protocoles de communication Web sont un autre élément clé de l’infrastructure Web 2.0. Les deux approches principales sont REST et SOAP :
• REST (REpresentational State Transfer) indique une façon d’échanger et de manipuler des données en utilisant simplement les verbes HTTP GET, POST, PUT et DELETE ;
• SOAP implique de poster à un serveur des requêtes XML comprenant une suite d’instructions à exécuter.

Dans les deux cas, les accès aux services sont définis par une interface de programmation (API). Des interfaces de programmation Web standardisées (par exemple, pour poster sur un blog) sont en train d’émerger. La plupart impliquent une transaction sous forme XML (eXtensible Markup Language). On citera pour l’exemple quelques services Web 2.0 : Wikipedia, AdSense, Del.icio.us, Flickr (Yahoo!), LinkedFeed.


Des outils de développements spécifiques ?

« Ruby on Rails » (RoR) est un environnement de développement, de test et de déploiement pour applications Web 2.0. Ruby est un langage de programmation, mais il ne semble pas avoir de qualités vraiment supérieures par rapport à des langages tels que Python ou Perl, dont il est proche. Ce sont donc essentiellement les qualités de l’environnement RoR qui expliquent sa réussite.
Développé à l’origine comme une spécification plutôt destinée à être implémentée au niveau des navigateurs Web, XForms s’impose de plus en plus comme un langage de définition d’interfaces utilisateurs pouvant être implémenté en mode client/serveur. Dans ce cas, des pages XHTML/Ajax standard sont générées à partir des descriptions XForms et elles peuvent être exécutées à partir de n’importe quel navigateur.
XForms permet de faire des sites Internet, fonctionnels, rapides ; en favorisant certaines conventions, des technologies déjà intégrées comme Ajax, qui permettent d’offrir aux utilisateurs finaux une interface riche et plus ergonomique. De plus, tout a été conçu pour minimiser la partie développement d’un projet et maximiser la partie créativité et son originalité. Ainsi, il est possible de produire des sites Web sans pratiquement écrire une ligne de code !
Ajax n’est pas un langage de programmation à proprement parler, mais plus exactement l’utilisation combinée de plusieurs technologies :
• une représentation basée sur des standards utilisant XHTML et CSS ;
• un affichage dynamique et une interaction utilisant le modèle objet document ;
• la manipulation des champs de données en utilisant le XML ou le XSLT ;
• la récupération asynchrone de données en utilisant XM httpRequest et le JavaScript pour les mettre en œuvre conjointement. Cet ensemble permet de créer des interfaces riches sans avoir à rafraîchir la page.

Grâce à l’utilisation d’Ajax, le site Internet fonctionne plus en mode requête, rechargement, réponse. Entre le serveur et le client, un intermédiaire est ajouté à la manière d’une nouvelle couche logicielle. Au lancement de la session, le navigateur charge un moteur Ajax. Celui-ci est responsable à la fois du rendu de l’interface que voit l’utilisateur et de la communication avec le serveur au nom de l’utilisateur. Ainsi, la communication entre le visiteur et le moteur se fait de manière asynchrone, indépendamment de la communication avec le serveur. Grâce à cela, l’utilisateur n’est plus confronté à une fenêtre de navigateur en cours de chargement. Il permet donc de charger des données asynchrones dans un document, c’est-à-dire de faire communiquer une page Internet avec un serveur ou une base de données sans forcément recharger la page. Cela permet une totale transparence pour le traitement de données vis-à-vis du visiteur.


La syndication : les flux RSS

dynamique4.jpgLe Web 2.0 débarque sur les environnements mobiles. Ici, la vue de l’interface proposée par Verizon aux États-Unis.
La syndication Web aux flux RSS est un élément important du développement de cette nouvelle tendance. Plus les internautes sont mis à contribution dans différents sites et plus la quantité d’informations augmente. De plus, l’avènement du concept des blogs nécessite un moyen pour transmettre commodément ces informations afin de relier et informer les différentes communautés. Ce moyen devrait aussi permettre à tout internaute lecteur d’information de pouvoir consulter un ensemble des sites Web sans s’y rendre individuellement.
Techniquement, le flux RSS n’est rien d’autre qu’un fichier au format XML, composé de balises encadrant du contenu. Pour produire un fichier XML à partir d’une page Web statique, ou d’une base de données, il suffit d’un script approprié. Les outils de gestion de contenu ou de weblogs incluent souvent une fonctionnalité permettant de produire les flux RSS correspondant aux dernières entrées dans le référentiel de contenu.
Pour lire ces flux, plusieurs solutions existent. On citera par exemple une fonctionnalité directement intégrée dans les derniers navigateurs, comme Firefox ou IE 7, ou des outils gratuits de la galaxie Google. Une fois le flux ajouté à la liste, l’utilisateur peut consulter les derniers articles de chaque site auquel il s’est abonné. Les flux RSS représentent donc un médium de communication indispensable dans la sphère 2.0.



Des interrogations sur le modèle 2.0
Le modèle économique dominant du Web 2.0 est la publicité. À quelques rares exceptions parmi lesquelles ont trouve des sites à but non lucratif (Wikipédia), des sites marchands (Amazon, eBay…) et des sites payants (LinkedIn, Viaduc…), les revenus des sites Web 2.0 sont des revenus publicitaires. En outre, les utilisateurs des sites Web 2.0 commerciaux sont importants pour ces sites : ils créent le contenu qui sert de support publicitaire et ils sont les cibles des campagnes publicitaires. Il est donc particulièrement important de les retenir. La dimension architecturale du Web 2.0 facilite une fidélisation un peu forcée. Le Web 1.0 reposait sur l’idée selon laquelle il y a un éditeur, et l’acteur en bout de chaîne, qui est le client, le consommateur d’information. Ce qui est important avec le Web 2.0, c’est que ce modèle n’est plus toujours d’actualité. Ceux qui avaient l’habitude de consommer de l’information deviennent maintenant des éditeurs. La plupart des « Web applications » associées au Web 2.0 sont faites pour les aider à organiser et publier leur propre contenu. Un des enjeux de la tendance 2.0 est de générer du trafic sur un site Internet. Pour cela, plusieurs méthodes de marketing existent et la nouvelle bulle a vu se développer de manière exponentielle le principe de création de communauté. L’idée est simple : fidéliser et même fédérer les visiteurs d’un site autour d’un même centre d’intérêt ou d’un même service et ainsi les inciter à venir et revenir sur le site régulièrement.



Des recherches tenant compte du langage usuel


Les applications Web classiques permettent aux utilisateurs d’effectuer des choix – suivre un lien, remplir et valider un formulaire. Une requête est alors envoyée au serveur HTTP, qui agit en fonction de l’action et des données reçues, et renvoie une nouvelle page. Ce fonctionnement consomme inutilement une partie de la bande passante, une grande partie du code (X)HTML étant commune aux différentes pages de l’application. En outre, une requête au serveur HTTP doit être réalisée à chaque interaction avec l’application, le temps de réponse de l’application dépend fortement du temps de réponse du serveur HTTP. Cela conduit à des interfaces utilisateurs plus lentes que leurs équivalents natives. Les navigateurs actuels mettent les éléments communs en cache, donc le chargement de pages nouvelles n’oblige pas le serveur à redonner les mêmes éléments à chaque fois.
Les applications utilisant les techniques Ajax peuvent quant à elles envoyer des requêtes au serveur HTTP pour récupérer uniquement les données nécessaires en utilisant la requête HTTP XMLhttpRequest, et en utilisant la puissance des feuilles de style (CSS), ainsi que le langage Javascript côté client pour interpréter la réponse du serveur HTTP. Les applications sont alors plus réactives, la quantité de données échangées entre le navigateur et le serveur HTTP étant fortement réduite. Le temps de traitement de la requête côté serveur est également légèrement réduit, une partie du traitement étant réalisée sur l’ordinateur d’où provient la requête.
La promesse du Web 2.0 est donc d’ouvrir une ère nouvelle où les utilisateurs sont à la fois contributeurs et bénéficiaires. Dès lors, la notion d’intelligence collective prend tout son sens. Un nouveau départ, une multitude de nouveaux usages, de nouvelles applications sont encore à trouver. Cependant cette notion de 2.0 reste floue à définir, mais aussi à cerner. Paradoxal en soi, puisque tout le monde en parle mais peu de personnes ne saurait en donner une définition exacte. Dans un avenir proche, le Web 2.0 avec l’avènement du concept de Web sémantique va révolutionner la manière de faire ses recherches sur Internet ; celles-ci ne se feront plus sur la base de mots-clés mais sur la compréhension du langage usuel de chacun.


Une plus grande satisfaction des utilisateurs

L’Intranet est déjà un vieux concept. Présent depuis près de douze ans, il n’a pas encore rempli toutes ses promesses. La plupart du temps, l’Intranet n’est pas exploité à plein et les utilisateurs de l’entreprise vont chercher ailleurs ce qu’ils pourraient y trouver. Il est actuellement plus une vitrine interne pour certains services un peu moins frileux que d’autres sur les technologies.
Un des points noirs reste l’alimentation des intranets. Les informations mises en ligne changent peu souvent d’où un désintérêt pour les informations présentes sur ce site interne. Dans ce contexte, les apports des technologies 2.0 dans les intranets prennent tout leur sens. Elles permettent par des technologies maîtrisées et standardisées de mettre en ligne des informations rafraîchies de manière automatique.
Blogs et Wikis permettent de partager informations et savoir-faire. Les blogs favorisent les échanges et la veille sur des points spécifiques. Les wikis permettent d’avoir la dernière version mise à jour d’un document ou d’une expertise.
Dans ce contexte, les utilisateurs retrouvent un contenu plus dynamique et plus intéressant.
Certains outils comme « Connections », que vient de lancer IBM, permettent même de relier ce contenu dynamique avec les experts qui l’ont rédigé ou mis en ligne. Les utilisateurs peuvent ainsi avoir le contexte dans lequel le contenu a été rédigé. Ils ont aussi accès directement à l’expertise de l’entreprise.
L’apport d’Ajax autorise de plus d’avoir directement le rafraîchissement de l’interface de l’utilisateur avec les derniers éléments en ligne. Apportant l’information utile et à jour, l’intranet redevient un outil fédérateur. Les interfaces riches apportent un confort d’utilisation que le Web de l’ancienne génération ne peut apporter : glisser-déposer, formulaires extensibles, validation de données à la volée, auto complétion des formulaires, traitements sans rafraîchissements de page…

dynamique5.jpg
Si les outils se simplifient pour l’utilisateur, ils nécessitent cependant une administration consciencieuse.


Intranet « corporate » et intranet « métier »

Si tous ces avantages sont des « plus » pour l’intranet, le principal apport des technologies 2.0 provient de la possibilité d’utiliser des contenus issus de l’extérieur de l’entreprise sur la même interface. Les flux RSS permettent ainsi d’enrichir et de personnaliser pour chacun les informations délivrées. Pendant longtemps, les entreprises séparaient les intranets dits « corporate », des intranets dits « métier ». Avec ces possibilités de personnalisation, il devient presque spécieux de poser la question aujourd’hui. Un service pourrait avoir accès à certains flux RSS spécifiques à son métier tout en s’insérant sur un canevas de portail corporate. Il est tout aussi possible d’insérer des outils multimédias comme de la vidéo et de la voix.
Enfin, dans une interface unique, l’utilisateur de l’Intranet a l’accès à la fois aux éléments structurés (documents de la base documentaire, données issues des bases de données de l’entreprise) et aux éléments non structurés comme les échanges mail qui se rapportent à un projet ou à une affaire, des informations ou des documents issus d’autres sources que l’entreprise. Ces nouvelles technologies permettent de dépasser un des murs auxquels était confrontée depuis bien longtemps la gestion de documents. Les possibilités dans le domaine sont d’ailleurs multipliées par la présence dans la plupart des plates-formes de moteurs de recherche ou d’indexation automatique qui permettent de retrouver à la fois les deux types de contenus (lire notre article dans ce numéro).

La technologie n’est cependant pas tout. Elle demande pour arriver à ce niveau d’optimisation de bien organiser à la fois les processus de mise en ligne et d’automatisation, mais aussi de consacrer des ressources pour l’administration et le suivi de l’intranet. Les entreprises ont aujourd’hui les possibilités de redynamiser les intranets sous des formes plus vivantes. Y mettront-elles les moyens ?
CMS (2)
Réduire
Intranet collaboratif et gestion de la connaissance
Par Henri Gillarès-Caillat - Copyright L'Informaticien, tous droits réservés

L’échange de documents et le suivi de tâches constituent un enjeu stratégique pour l’entreprise. La publication en ligne de la connaissance et sa mise à jour revêtent une importance primordiale, notamment pour faire face à l’éparpillement géographique, à la mobilité et à l’optimisation des ressources.


Le collaboratif arrive en force

L’Observatoire de l’Intranet illustre, dans son étude 2006, l’intérêt croissant des entreprises pour les fonctions de collaboration et de gestion des connaissances.

Pour dialoguer avec leurs collaborateurs, 55 % des entreprises françaises utilisent un intranet. Dans 40 % d’entre elles, les sites verticaux ou métier se développent, notamment pour répondre à une direction ou une entité spécifique. De plus, les liens avec les partenaires progressent. Sur les 120 entreprises sondées par l’Observatoire, 33 % proposent des dispositifs de Groupware et 29 % des workflows génériques : 27 % des entreprises interrogées indiquent posséder des outils de workflow de nature spécifique. Les systèmes de gestion des connaissances, avec l’utilisation grandissante de moteurs de recherche indexés, sont évoqués par 30 % d’entre elles, au détriment des moteurs de recherche plein texte jugés moins précis. Même son de cloche pour les outils de gestion de contenus et les systèmes de structuration des connaissances – ou gestion des métadonnées. Selon IDC, le marché des logiciels de travail collaboratif devrait, en 2006, représenter 7,5 milliards de dollars de CA.

collaborativ.jpg

Apparu dès 1996, dans un rapport de Forrester Research, sous l’intitulé de « Full service Intranet », un des premiers concept de l’Intranet est illustré par une application dont le but était de répondre aux besoins des utilisateurs, de développer le travail collaboratif et la modélisation des connaissances. Adossé, au début, à des outils GED chargés de faciliter de simples partages, le collaboratif évolue afin de répondre au besoin constant d’instantanéité. D’un partage statique consistant à stocker des ressources et à les mettre à disposition, on se dirige vers un travail collaboratif en temps réel, dans lequel on partage aussi des applications multimédias. Statiques ou temps réel, les besoins de partage sont donc très différents, mais souvent conjointement présents dans une entreprise.
Le travail collaboratif permet d’organiser le travail en séquences de tâches parallèles et fournit aux acteurs de chacune des tâches une information utile et facilement exploitable sur les autres tâches parallèles et sur l’environnement de la réalisation. Il présente l’intérêt majeur d’associer les capacités de création et d’obtenir ce qu’il y a de meilleur avec les ressources disponibles. En outre, avec l’avènement du Web 2.0, le travail collaboratif prend une nouvelle dimension, et la notion de réseaux sociaux se développe.


Le collectif poussé par l’interactivité

Par travail collaboratif on entend aussi la coopération au sein de groupes d’acteurs dans le but d’atteindre un résultat précis. Définition simple, mais dont l’objet a pris un essor sans précédent avec le développement d’Internet, qui regroupe en un seul outil des fonctionnalités de consultation, publication et mise en relation qui vont permettre de fédérer et animer.
On rassemble donc l’ensemble des acteurs autour d’un espace proposant les outils et services qui leur permettront d’atteindre leurs objectifs, en offrant une information pertinente et ciblée. Des outils de communication simples d’utilisation permettent de s’affranchir des contraintes de temps, de distance – espace documentaire, annuaire, forum, chat, réunion virtuelle.
Parallèlement, le portail collaboratif améliore aussi la coordination et l’efficacité des différents acteurs impliqués grâce à des mécanismes de gestion de profil et d’animation. Ainsi, les collaborateurs se concentrent sur les tâches les plus productives tandis que les processus s’accélèrent et se sécurisent.
Dans ce contexte, OpenPortal Software propose une application Web dynamique multi-tiers s’appuyant sur un serveur d’applications. Cette architecture de type SOA (pour architecture orientée services) garantit l’adaptation du portail pour faire face à la montée en charge. En effet, OpenPortal peut être distribué sur différents serveurs, tant au niveau du frontal web, que du serveur d’application ou de la base de données. « Un portail collaboratif a pour but de mettre en œuvre des services qui sont là pour fédérer un contenu informatif, généralement non structuré, c’est-à-dire non contenu dans des bases de données classiques », indique Alex Landreau, directeur Produits, Qualité et Innovation chez Openportal. Il poursuit : « L’objectif d’un intranet sous la forme d’un portail d’entreprise est de pousser la bonne information à la bonne personne. Il ne s’agit pas de noyer un utilisateur sous un déluge d’informations, mais de lui apporter des informations pertinentes. Il s’agit aussi d’être plus productif en gérant les bonnes informations, les redondances d’informations, etc. »


IBM entre en force sur ce marché

Dernièrement, lors de l’édition 2007 de LotusSphere, IBM a poussé encore plus loin le concept. Le géant américain se renforce sur ce secteur avec une offensive sur le collaboratif et le « social networking ».
Parmi les nouveautés, deux concernent ce que l’on appelle la création d’un « réseau social ». IBM met en avant le « social networking » chargé de mettre en relation des salariés qui ne se connaissent pas forcément. S’appuyant sur Lotus Connections, cette application permet à des personnes et structures de mettre en commun, en mode collaboratif, des coordonnées ou encore des informations sur le Web. Mais dans le cas d’IBM, ces fonctionnalités sont adaptées pour un usage en entreprise. Ce type d’application intéresse de plus en plus d’entreprises qui cherchent à mettre en place des environnements dans lesquels les salariés peuvent échanger facilement des données et communiquer avec d’autres, quel que soit leur emplacement géographique.
L’offre IBM s’articule autour de Lotus Connections qui se compose de cinq applications : « profiles » – un espace où les salariés décrivent leur spécialité et leurs intérêts ; « communities », créées et gérées par des personnes ayant des intérêts communs ; « activities », espace de gestion des projets de groupe ; « bookmarks », espace de partage de documents et sites Web ; et « blogs », où l’on peut publier des commentaires.
Selon Roch Auburtin, Directeur de la R&D de Vdoc, cela répond « à une problématique de grandes entreprises où le travail est parfois très éclaté. Cela rejoint la problématique que l’on avait dans le Knowledge management qui était de trouver les bons experts, c’est-à-dire ceux qui ont la connaissance dont on a besoin ».
Comme on le constate, le travail collaboratif évolue en s’affinant. Il ne s’agit plus maintenant de ne faire appel qu’à des données brutes, mais à faire appel à des systèmes de gestion de la connaissance et à des communautés d’intérêt. D’autres éditeurs participent de la même approche, mais avec des offres plus adaptées aux PME-PMI comme VDoc, avec sa suite qui permet la mise en place rapide d’un portail collaboratif adapté à un service, une équipe, ou une communauté, et assure l’efficacité du travail collaboratif. Cela répond aux besoins des entreprises en matière de gestion documentaire, de travail collaboratif, d’automatisation des processus, workflow de business process management, dans un environnement intranet ou extranet. De la même veine, les produits de Sesin articulés autour de Poseidon, DiDYX, Hermes. Sesin, avec Posmail, introduit un système de gestion poussée des mails pour en faire des acteurs de la connaissance à part entière.

Cette connaissance – ce contenu – constitue le pivot central autour duquel s’articulent aujourd’hui tous les systèmes de l’entreprise. Il est donc primordial que le contenu soit le plus pertinent possible. Pour cela, on s’adresse à une catégorie de logiciels qui a vu le jour sous la dénomination de systèmes de gestion de contenu ou SGC (Content Management System ou CMS). Ils constituent une famille de logiciels de conception et de mise à jour dynamique de site Web qui permettent à plusieurs individus de travailler sur un même document. Ils fournissent une chaîne de publication (workflow) offrant par exemple la possibilité de publier (mettre en ligne le contenu) des documents, de séparer les opérations de gestion de la forme et du contenu. Enfin, ils permettent de structurer le contenu (utilisation de FAQ, de document, de blog, forum de discussion, etc.).

Au travers d’interfaces dites Web, les SGC sont accessibles quel que soit le type de système d’exploitation au moyen d’un simple navigateur. Ainsi, les utilisateurs n’ont pas besoin d’installer de logiciels spécifiques supplémentaires. Qui plus est, toujours grâce aux standards du Web, les SGC offrent donc un format de données lisible (HTML), imprimable et stockable par tous, ce qui facilite l’échange et l’accessibilité des documents.


Séparation entre contenu et présentation

C’est un principe de base de la gestion de contenu. Le contenu est stocké dans une base de données, structurée en tables et en champs. C’est le contenu des champs de la base qui est créé/modifié par le rédacteur, et non pas la page elle-même. On parle de site « dynamique ». La présentation est définie dans un gabarit qui définit la mise en page des pages Web (via le code HTML et les feuilles de styles css), et quelles informations sont extraites de la base de données. Du fait du principe de séparation contenu/présentation, les utilisateurs peuvent se concentrer sur le contenu. L’édition des pages est simplifiée.
Les SGC offrent en majorité la possibilité d’organiser l’information, de l’indexer et d’utiliser des méthodes pour améliorer les méthodes de recherche. On peut donc créer des catégories de contenus, des sections – ou rubriques –, voire des mots clés favorisant l’indexation.
La gestion de contenu constitue un tel enjeu que de nombreux professionnels officient sur ce terrain. Parmi eux, on citera notamment GFI Informatique, dont Olivier Ravel, le responsable du Centre de compétences e-business, indique que le savoir-faire acquis par sa société permet d’éviter les principaux pièges constituant les risques liés à tout projet d’intégration d’outil de gestion de contenu. Il poursuit, sur le thème de la simplicité. « Nous intégrons Ajax dans la partie dynamique, ce qui nous permet d’offrir une ergonomie extrêmement compétitive par rapport aux solutions classiques. Nous apportons une simplicité d’utilisation proche des outils traditionnels. Il ne faut donc pas être un informaticien chevronné pour pouvoir s’en servir ! »
Chez Jalios, on s’appuie sur CMS 5.6. Cette dernière version de la solution de gestion de contenu et de portail offre aux entreprises de nouvelles fonctionnalités de supervision technique et fonctionnelle. Bon spécialiste, Jalios, selon Alain Risbourg son VP Sales & Marketing, tire une partie de son expérience de l’Inria, « Notre société est issue d’un projet d’annuaire de Web collaboratif datant de 1998. L’objectif était de mettre à disposition d’une communauté d’intérêts business un annuaire dans lequel cette communauté pouvait recenser des ressources, les catégoriser, donner des avis, etc. Nous étions donc, déjà dans une logique de Web 2.0 ».

Dès que nous sommes dans le contexte de l’entreprise, la sécurité et la confidentialité des documents est nécessaire. Des éditeurs comme Dyctimatec se sont spécialisés dans cette protection. S’appuyant sur les technologies d’Alladin Knowledge Systems de chiffrement et de protection logicielle des droits numériques. La solution est fournie sous forme hébergée. Le module document Pro de l’éditeur chiffre, lui, en permanence les documents et permet ainsi une circulation totalement sécurisée de tous les documents. La solution prend en charge près de quatre cents formats de documents.

SGC et Open Source

L’Open Source a le vent en poupe, la gestion de contenu n’échappe pas à la règle. Ainsi, Olivier Deckmyn, directeur général d’Ingeniweb, travaille sur le modèle Open Source. « Nous participons à un très gros projet Open Source du nom de Zope & Plone, qui comptait déjà plus de 8 500 contributeurs en 2005. Nous intégrons donc pour nos clients des produits autour de solutions que nous créons. » Zope est à ce jour le seul serveur d’applications Open Source permettant à un utilisateur sans connaissances techniques de faire les mises à jour de son site Web.
Composant de Zope, Plone est un système de gestion de contenu Web basé sur le serveur d’applications Open Source Zope. Plone est issu d’un effort communautaire international, animé par plone.org. Avec Plone, on dispose d’une plate-forme pour toute la production Web, de modules pour la publication et la gestion de documents, de composants métier réutilisables, d’une interface utilisateur riche et ergonomique répondant aux standards du Web, de nombreux services additionnels et d’une très forte capacité d’ouverture. Plone est un composant intéressant pour tout type de portail collaboratif avec Workflows et gestion de contenu.
La plupart des projets CMS libres fonctionnant sur le Web proposent de créer des forums associés aux articles pour laisser les visiteurs réagir. Ils sont la base du succès des sites d’information « en fil ». On a pu constater sur des sites comme Slashdot que les commentaires des lecteurs apportaient eux-mêmes une valeur ajoutée à l’information. Elle se scinde généralement en deux blocs : l’information institutionnelle, qui apporte ce qui peut être émis par une source dite de confiance ; et l’information « officieuse » qui, par un mécanisme de retour, permet d’obtenir la validation, la correction, la discussion d’une information, et son enrichissement par tout lecteur. Le commentaire participe de l’évolution des outils logiciels d’édition vers des outils de communication. En effet, la communication est bilatérale, à la différence de l’information, qui est unilatérale.

Rentabilité pour une PME

La mise en place d’un système de gestion de contenu simple pour une petite entreprise représente un investissement conséquent. Dans cette optique, l’entreprise doit considérer certains points afin d’évaluer si l’implantation d’un tel système sera rentable. Parmi eux, on retiendra, la fréquence des modifications du site, l’étendue des modifications du site et l’urgence des modifications du site.
Globalement, le SGC s’inscrit dans cette évolution générale, en combinant la création de contenu avec sa gestion, son archivage, et la publication. Les systèmes les plus avancés à l’heure actuelle répondent déjà à ces besoins. En fonction des centres d’intérêt des lecteurs, certains SGC actuels permettent de présenter un contenu de manière personnalisée tout en exploitant le même contenu original. Par exemple, une organisation fournit toujours la même base documentaire, mais des présentations différentes à ses différentes parties.
Travail collaboratif et SGC exploitent de plus en plus les technologies 2.0, d’où leur gain en efficacité. Reste à « démocratiser » les outils, les architectures et les sources d’information afin que la puissance de ces concepts et de ces technologies soit accessible aux entreprises qui ont de petites infrastructures.
Développement
Réduire
GESTION DES CONFIGURATIONS LOGICIELLES (GCL)
L’outil de cohérence des projets
Par Bertrand Garé - Copyright L'Informaticien, tous droits réservés

Longtemps cantonnée à la gestion des versions, la Gestion des Configurations Logicielles a désormais droit de cité dans le processus de développement des applications logicielles. Assurant le suivi et le référencement de tous les éléments de la configuration logicielle, la « GCL » devient la garante de la cohérence du projet en reliant l’expression des besoins et la mise en production des applications.

ARCAD-schema-configuration.jpg
Le process suivi par la gestion de configuration.

logistique.jpg
La place de la GCL dans le processus de gestion des changements.

Contrairement à ce que l’on pense habituellement, la gestion des configurations est un outil ancien. Philippe Magne, président et fondateur d’Arcad Software, éditeur spécialisé dans la gestion des changements dans les environnements System i d’IBM, précise : « Le premier outil du genre a été développé au CNES en 1987. C’est à partir de ce produit que notre logiciel et notre société sont nés en 1992. » À l’époque, l’outil ne portait pas le nom ambitieux de gestion des configurations logicielles, mais de gestion des changements ou versioning. Il s’attachait à identifier, archiver et suivre les différents composants logiciels. De cette structure de départ, les outils de ce secteur ont évolué pour arriver aux outils actuels.
Jean Decramer, expert en gestion des configurations chez Astek Software, explique cette évolution : « Au fil du temps, la gestion des versions est devenue obsolète du fait de la plus grande complexité des organisations de projets. Il ne suffit plus de déboguer son système et d’entasser les révisions successives. La physionomie des outils a donc évolué pour suivre ces organisations. »
Bruno de Combiens, en charge du marketing chez Borland France, est du même avis : « La gestion de configuration est en effet l’épine dorsale, l’infrastructure de la gestion de projet.
La grande majorité des projets logiciels échoue par manque de clarté – définition des rôles, responsabilités et besoins – et par manque de traçabilité tout au long du cycle de vie des applications. Cette situation est aggravée par le caractère dynamique de l’environnement économique et la difficulté à prendre en compte, en cours de réalisation, les demandes constantes de changement qui en découlent. Ces multiples difficultés sont attestées par le rapport publié par Standish Group (Chaos Report).
En supportant les pratiques clés de la gestion du changement – processus décisionnel, outils d’estimation, etc. –, la gestion des configurations, et au-delà la gestion des actifs et des activités Projet, adresse les besoins de toute équipe de développement, quelle que soit sa taille, son organisation géographique et contractuelle, ainsi que ses méthodes de travail. »

Aujourd’hui, la définition habituelle de la gestion des configurations ne semble plus véritablement pertinente. « À la lettre, la gestion des configurations s’attache à la notion de version, de configuration et de l’état de cette configuration. En tant que telle, cela masque 90 % des fonctionnalités des produits actuels », explique Dominic Tavassoli de Telelogic.


GCL : la gardienne de la cohérence des projets

Il poursuit : « Les solutions de gestion de configuration sont non seulement les outils de la gestion de cohérence des projets, mais aussi le moteur de coordination et de communication, la colonne vertébrale du projet, garants du fait que les équipes travaillent bien ensemble. » Marc Boullier, directeur chez Vistali, une SSII spécialisée dans les projets d’intégration et des plates-formes SOA, y ajoute une nuance : « Plus que l’outil de cohérence d’un projet, c’est l’outil de la cohérence du processus entre les études et la production. La maturité se fait sur deux cycles parallèles, l’un sur le code lui-même ce qui est assez classique et l’autre sur les paramètres de la maîtrise d’ouvrage. Cette gestion des paramètres évolue vers une gestion des règles paramétrés par la maîtrise d’ouvrage. »
Si Compuware n’est pas offreur de solutions spécifiques, sa place dans le monde des outils de développement l’amène à se positionner auprès de ses clients dans le domaine. Guy Cartigny approuve l’idée de la gestion de configuration comme outil de la cohérence dans les développements informatiques. « C’est l’outil qui permet d’avoir des ensembles cohérents d’un applicatif, de pouvoir le faire évoluer et de le restaurer si besoin. »
Chez Quest Software, Éric Wigy, consultant avant-vente et spécialiste de la gestion des changements, y voit plus un outil de maîtrise des projets qu’un véritable outil de cohérence. « Dans notre métier, nous nous sommes aperçus que les grands outils logiciels, comme les ERP, ne possédaient pas ces outils pour gérer les modifications et les demandes de changements. Pourtant, ce sont aujourd’hui de véritables besoins métier comme le demande des réglementations telle Sarbanes-Oaxley par exemple. Les outils de gestion des changements permettent d’avoir une vision complète et une réelle maîtrise sur les cycles de demandes de changements et de savoir “le quoi, le qui, le quand”, ce qui est modifié, quels sont les demandeurs, qui réalise, qui approuve et dans quelle étape du cycle de modification nous sommes ? »


Les principales fonctions de la GCL

En fait, Éric Wigy nous détaille presque toutes les fonctions d’un outil de gestion de configuration logicielle. Le but est on ne peut plus simple comme l’explique Jean Decramer d’Astek Software : « Elle est là pour aider à maîtriser les projets, les coûts et les délais. Le premier acte est de définir une configuration de référence, celle décrite dans le cahier des charges ou dans les spécifications des besoins. Au-delà de la configuration référence, vos besoins vont évoluer, et vont se faire jour des propositions de modifications. Par un contrôle vous comparez cette configuration de référence et cette configuration applicable. Si vous n’avez pas un outil d’état de configuration, vous ne pourrez jamais comparer. À la suite de ces changements, vous avez la configuration réelle, celle avec l’état constaté lors des recettes associée à toutes les non-conformités. C’est la configuration réelle et connue. C’est l’outil de gestion des configurations qui donne les écarts entre ces différentes configurations. D’où la possibilité de justifier des écarts de coûts et de délais. Sans cet outil, vous ne pouvez justifier les écarts à votre client. »
Une forte tendance fonctionnelle dans les outils du marché propose de rapprocher la gestion des exigences (lire notre dossier dans l’Informaticien n° 41). Bruno de Combiens ajoute : « C’est un enjeu majeur, en effet. Car la gestion du changement s’applique naturellement à la gestion et à la définition des exigences. Ces dernières sont des processus collaboratifs de collecte, documentation et validation d’un ensemble d’exigences, constituant un contrat entre les parties prenantes. Mais ce sont – par essence puisque l’on parle de travail collaboratif – aussi et surtout un processus de gestion des changements tout au long du cycle de développement. »
Sur ce point, Marc Boullier est plus suspicieux. « Jusqu’à présent, cela reste juste un discours d’éditeur du fait de la vogue des process itératifs. Il est vrai qu’il est bon d’avoir la capacité de voir tout au long du process ce qu’on va livrer en production. Mais, là encore, ce n’est qu’un discours car il n’y a pas d’éditeur qui soit capable de le faire. En revanche, on assiste à un mouvement de fusion qui crée des offres globales pour offrir un environnement complet. Opérationnellement, nous en sommes loin. Il est déjà difficile à un architecte de traçer les exigences dans les outils UML. »
Les avantages sont innombrables. Le plus important est sans conteste le gain en termes de visibilité sur le processus de développement. Qui a fait « quoi, quand, pourquoi et comment » deviennent alors des informations objectives parce que traçables.
La traçabilité jusqu’aux étapes de validation et vérification des produits d’activité (besoins exprimés, conception détaillée, composants logiciels, cas et plans de tests) permet notamment de préparer et concevoir les différentes étapes de tests qui vont être mises en œuvre de façon proactive au cours du projet. Ce que nous appelons « Requirement Based Testing » (RBT). « L’objectif est d’augmenter les 54 % d’exigences initiales développées, et les 45 % d’exigences implémentées utilisées que l’on trouve en moyenne dans les projets. »
Pour Philippe Magne, l’outil est la base nécessaire pour réaliser des études d’impacts avec un contrôle automatique des versions avant les tests, afin de fournir des lots complets et cohérents. Les changements sont assurés de manières synchronisée et coordonnée avec une vue sur les dépendances entre les différents éléments du code.
Cette synchronisation se réalise à partir d’un référentiel et d’outils collaboratifs pour permettre de synchroniser et coordonner les différentes équipes de développement travaillant sur un projet. La globalisation du travail des développeurs pousse d’ailleurs à ces différentes fonctions.

Des questions techniques à bien gérer

Cette structure des produits avec un référentiel et des échanges entre différentes équipes ou développeurs posent différentes questions techniques sur les « check in/out » et sur les contrôles d’écriture dans la base et dans l’administration des différentes versions. Ces questions ne sont pas anodines pour profiter pleinement des fonctions des produits de GCL.
Le premier problème se pose sur la structure du référentiel. Doit-il être unique ou fédérer les différents référentiels déjà disséminés dans les équipes ?
Philippe Magne a un avis très tranché sur la question : « Mettre en place un seul référentiel est une gageure. Il est plus efficace de mettre en place deux niveaux, l’un derrière l’autre. Cela a l’avantage de respecter l’environnement des développeurs et les outils qu’ils utilisent tous les jours et d’éviter au référentiel unique de devoir être multi plate-forme. »
Il convient ensuite de gérer les priorités d’écriture dans le référentiel et de savoir qui a le droit de faire quoi sur les différentes versions enregistrées.
Dans le domaine, il ne voit que deux pratiques dominantes : « La gestion des locks optimiste ou pessimiste. » La gestion des locks optimiste, ce qui revient à pas de lock du tout, permet au développeur d’écrire quand il le veut sans s’occuper de ce que font les autres. Si la méthode a le mérite de la simplicité, voire du simplisme, elle demande cependant de réaliser de nombreuses opérations de fusions en aval pour arriver à la bonne version finale. Ce n’est pas forcément le plus facile. La coordination est alors fondamentale. La plupart des outils proposent cette approche. Elle n’est pas forcément la plus recommandée… « Nous sommes plutôt partisans de la version pessimiste », sourit Philippe Magne. « Si elle est plus centralisatrice, elle évite ce travail de fusion. D’entrée de jeu, nous regardons si la modification peut s’intégrer dans le lot d’un autre développeur. Le pendant, c’est qu’elle nécessite un chef d’orchestre ou un arbitre. Ce modèle est souvent le plus adapté aux entreprises utilisatrices. Il est même possible de mettre en place un supra référentiel qui assurera la coordination entre les GCL pour amener des développements en accord avec des packages. »
Jean Decramer complète cette vision en ajoutant : « Dans le check in/out, il existe différentes écoles. La première : celui qui écrit le dernier gagne. La deuxième : à chaque modification, il faut apposer son nom et l’entrée en base est réservée. Il est possible d’avoir des priorités par rôle où chaque développeur aura la priorité sur une partie du développement. Cette possibilité est importante lorsque les développements se font en plusieurs parties. »
Comme tout bon référentiel, il ne faut pas non plus négliger la qualité des données et l’administration de la base de données – doublons, orphelins, boucles dans les dépendances. Il ne faut pas négliger non plus l’aspect mémoire et domaine de stockage. Le principal apport de certains outils comme CVS était principalement de n’entrer dans le référentiel que les deltas entre les différentes versions ce qui faisait gagner beaucoup d’espace disque.
Guy Cartigny résume tout cela : « Dans tous les sérieux conflits, il faut gérer au maxima et il y a besoin d’arbitre. La mise en place systématique de ces outils et des process qui permettent la synchronisation sont nécessaire. La partie process ne peut être totalement automatisée, il faut synchroniser les différents espaces de travail de référence et sensibiliser les personnes à ne pas toucher ce qui ne leur appartient pas ! Si on met cela bien en place, cela fonctionne plutôt bien même si aujourd’hui ce n’est pas encore très utilisé. »


Qu’attendre de la GCL ?

Les outils de gestion de configurations logicielles sont souvent mis en place dans un but plus large que de simplement suivre les versions des codes sources produits dans les entreprises. Bruno de Combiens voient différents axes de réponses pour la mise en œuvre d’une GCL : « Les équipes qui la mettent en place tentent en général de répondre à l’un de ces problèmes : meilleure réactivité par rapport aux demandes client, réduction des coûts opérationnels amenant à travailler avec des équipes dispersées géographiquement (incluant également l’outsourcing, l’offshoring, etc) et la conformité à tout type de réglementation imposant une automatisation de la traçabilité, des audits et métriques. » Marc Boullier insiste sur le rôle de coordination entre les études et les équipes de production par le référentiel partagé. Philippe Magne note lui aussi ce point.
Si la mise en œuvre doit idéalement être le fruit d’une stratégie bien définie, un des moteurs importants de la mise en place d’une GCL reste souvent un douloureux échec. Dominic Tavassoli met en exergue le cas d’un de ses clients qui, arrivé à 90 %, de son projet ne réussissait pas à faire fonctionner les différents éléments de son code et ne savait plus ce qui avait été livré en production. Avec la réduction du cycle de rénovation des logiciels dans l’entreprise et les multiples demandes de changements ou d’améliorations, les outils de GCL devraient de toute façon trouver naturellement leur place dans les équipes de développements ou dans les services études ! Éric Wigy éclaire ce propos par l’exemple de la SNCF, client de Quest Software : « Avec cent livraisons par jour et 1 500 objets différents à gérer, quel moyen de faire autrement ?»
Lors de notre enquête, il est apparue que les outils, même s’ils sont structurants peuvent s’adapter à toutes les méthodologies de développements et à toutes les tailles d’équipes. Il ressort cependant que dans le domaine, les SSII ne sont pas très en pointe comparativement aux équipes de développements présentes en entreprise. Philippe Magne avance une explication : « Il y a l’impression d’un aspect “flicage” dans ces outils. Le cap est difficile du fait de la résistance au changement  des organisations mais quand les équipes y passent, elles ne peuvent rapidement plus s’en passer. Les plus values de l’outil font rapidement oublier le côté contrôle. »


Des retours quantifiables

Les retours de la mise en œuvre de solutions de GCL sont nombreux et le plus souvent quantifiables. Le retour sur investissement semble d’ailleurs assez facile à justifier. Bruno de Combiens détaille : « La qualité ne coûte rien. Mais la non-qualité des produits et services a, elle, un impact sur l’entreprise. En termes de productivité : l’effort de développement est à 40 % dépensé à corriger ce qui vient d’être produit. En termes de maintenance : celle d’une application en production coûte 2 à 4 fois son coût de développement. En termes d’exploitation et de satisfaction client ; et là les facteurs d’échelle peuvent être sans limite.
Le ROI peut donc porter sur les éléments suivants : meilleur contrôle (prévisibilité améliorée), réduction ou élimination de comportements incontrôlés ou erratiques, prises de décisions auditées, mesurées et contrôlées en conformité avec les objectifs métier, meilleure communication (réactivité améliorée) entre les équipes locales et les équipes externes, possibilité d’anticiper au lieu de réagir à un changement, réduction du temps nécessaire pour mesurer les progrès, définir les statuts/états, et la traçabilité. »

Philippe Magne perçoit lui la possibilité d’une augmentation de 20 à 30 % de la qualité. Il ajoute : « Ces outils contribuent à renforcer la fiabilité des développements. »
Dominic Tavassoli est encore plus précis : « Nous avons mené une étude approfondie chez un acteur du monde des télécommunications. Il en ressort un gain pour le chef de projet de cinq heures par semaine sur la gestion des ressources projet. Les gains de temps pour les développeurs sont estimés à dix heures par semaine et par développeur sur la gestion des fichiers. Cela s’accompagne d’un accroissement de 10 % de la productivité des développeurs. »