SHA-1 c’est la fin, place à SHA-2

Algorithme SHA-1C’est fini pour l’algorithme SHA-1, comme pour MD5 en son temps. La sécurité informatique évolue, les défenses doivent s’adapter à des vecteurs d’attaque plus puissants.

Il en est ainsi pour Secure Hash Algorithm 1er du nom, trop faible désormais devant la puissance de calcul brute des contrefacteurs, bandits des internets ou agences gouvernementales. Cet algorithme de condensation (hashage) est obsolète, et est poussé vers la sortie par les éditeurs majeurs du marché des navigateurs Web.

Passons donc à SHA-2 (au moins la déclinaison SHA-256) au plus vite, la sécurité du web s’en portera mieux. (image de wikipedia).

Read More

OpenXML, ce format de document pas open

keep-calm-and-free-softwareTout le monde connaît le format de document « .docx », moins de monde sait qu’il s’agit du sulfureux « OpenXML » de Microsoft.

Sulfureux, parce que le terme Open de OpenXML est mensonger, l’éditeur a bien gardé sa stratégie de format privateur.
Ainsi, utiliser du docx c’est mal pour notre vie numérique, démonstration ci-après avec quelques arguments éthiques, techniques, fonctionnels et même réglementaires.

OpenXML et l’éthique, un désamour

Nous étions pourtant sensibilisés à la façon particulière dont Microsoft traite ses clients. Qu’ils paient et se taisent, peu importe les considérations non éthiques sur l’obsolescence programmée (y compris celle des logiciels).

Read More

eIDAS vu de l’ANSSI

signatureelectronique1er juillet 2016, le règlement eIDAS devient applicable, après son adoption le 23 juillet 2014 par le Parlement européen et de Conseil de l’UE et son entrée en vigueur le 17 septembre 2014.
« eIDAS » c’est précisément le règlement n°910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

L’ANSSI a publié un article à ce propos, je m’y suis intéressé et ai pointé quelques éléments dans ce billet.

Read More

Nuxeo Community après les 30 jours

logo-nuxeo-496pxDans le monde fermé des plateformes de GED (ECM pour les anglophiles), les solutions libres de niveau « entreprise » se comptent sur les doigts de la main gauche. Nuxeo en fait partie, et ça donne envie de tester.

Le modèle c’est: « télécharge-moi! Tu as 30 jours pour te régaler ». waouh, trop génial, essayons et téléchargeons: profitons aussi du cloud « Nuxeo Connect ». La découverte envoie du rêve: l’administrateur se voit proposer auto-magiquement les mises à jour de sécurité (et leur installation est aussi auto-magique, bravo), le Nuxeo Studio pour modéliser et personnaliser, etc.

Ok, mais… au bout de 30 jours d’essai gratis, il se passe quoi ?

Read More

BeeCon’2016 à Bruxelles

WelcomeLes 28 et 29 avril 2016, à Bruxelles, s’est tenue la BeeCon dans un bâtiment tout neuf à conception écologique (le CIRB).
Les hashtags à suivre sur Twitter: #beecon2016 #beecon #Alfresco bien sûr.

BeeCon organisée par « The Order of The Bee »

beecon16-La communauté des enthousiastes d’Alfresco s’était trouvée un groupe: « the Order of the Bee », né à l’été 2014.

beecon16-queenBeePour rappel, il a vocation à faire grandir l’écosystème indépendamment d’Alfresco Inc. , qui entretient une relation parfois ambiguë et peu lisible avec la communauté.

Gouverné par méritocratie assumée, sa mission est de garantir l’existence d’une édition d’Alfresco Community en qualité de logiciel libre de GED, quels que soient les évolutions stratégiques de l’entreprise éponyme.

Ce groupe (une assoce qui ne dit pas encore son nom?) a donc organisé avec brio et succès sa première convention cette année à Bruxelles.
Environ 160 visiteurs, 25 nationalités différentes, un amphithéâtre, deux salles de conférence, des stands (avec les habituels Xenit qui jouent pratiquement à domicile), des sponsors, et le soutien de la société « Alfresco Inc. » avec la venue de quelques cadres techniques de l’engineering.

Read More

Proxy PAC sous Linux, c’est possible

Ubuntu LogoDans les grosses organisations, l’accès à Internet se fait souvent via un serveur mandataire (parfois proxy PAC).
Pour une machine sous Linux, configurer un service qui a besoin d’accéder à Internet est assez facile. La plupart du temps, il suffit de renseigner la variable d’environnement
http_proxy=http://monproxy:3128
(si 3128 est le numéro de port du proxy à attaquer), et zou!

Indispensable, ne serait-ce que pour permettre au système d’entretenir ses mises-à-jour (système apt sur Debian par exemple).
ET SI…. la « politique » de proxy pour l’accès internet est distribuée par un fichier « proxy.pac »? Qu’est-ce donc?

Read More

Echange de clés Diffie-Hellman en vidéo

Une petite vidéo pour montrer et expliquer simplement un des mystères du chiffrement à clé publique: l’échange de clés « Diffie-Hellman ».

Le commentaire est en anglais, mais la vidéo est très didactique.
L’exemple par les couleurs de peinture est brillant, on comprend tout de suite.

Voilà qui rend la science du chiffrement vachement plus accessible, non?

Découverte de la GED Nuxeo

Pour le projet d’un client, j’ai besoin de déposer des documents dans une GED « Nuxeo »…
Je ne connais ce logiciel libre que de (bonne) réputation, alors la perspective d’un test/découverte est plutôt réjouissante 🙂

Étant plus familier avec Alfresco, la prudence recommande quelques tests préalables en interne, n’est-ce pas?
Voici donc l’aventure d’un n00b sur cet outil, dont la découverte se révèle bien plus facile que prévu.
(mise à jour le 17/6/2016)

Read More

Recherche aisée dans GitHub

Octocat's githubDe l’auto-complétion dans la recherche sur GitHub.com, facile et instantanée: c’est la promesse de l’extension de navigateur éditée par Algolia. Disponible pour Firefox, Chrome et Safari.

Et ça marche du tonnerre! Qu’on aime ou pas ce dépôt (trop) centralisateur de projets Open-Source, il est devenu incontournable : sourceforge.com est démodé, la plate-forme GitHub.com a su s’imposer avec une utilisabilité jusqu’ici inédite pour les développeurs.
Effet de bord, c’est même devenu la vitrine des développeurs sur le marché de l’emploi, une alternative au CV qui a ringardisé les sites de recrutement comme Monster.fr 🙂
Et ouais, pas de triche, la production de code est directement accessible…

Bref, l’extension d’Algolia améliore encore drastiquement les fonctionnalités de recherche sur GitHub, avec des fonctions d’auto-complétion bluffantes.
Donc, c’est une réécriture de la barre de recherche qui apporte la recherche instantanée et des suggestions sur les « top repositories », « last active users » et « private repositories ».

Read More