Monday, February 20, 2017

Citoyenneté numérique des entreprises en Estonie

Présentation sommaire, pour ceux qui ne connaissent pas, du programme estonien de citoyenneté numérique des entreprises. D'autres programmes du même genre sont à venir.
Les pays baltes, sous la pression russe, avec les débouchés européens, et face au constat rédhibitoire de leur petite taille, sont obligés de mettre au point des stratégies ambitieuses, et ne peuvent se complaire dans le populisme décadent des politiciens d'Europe de l'ouest. Ces pays sont champions, notamment, dans l'efficacité numérique des processus administratifs.
Exemple en Estonie encore : vu l'état de leur réseau téléphonique, le pays a décidé de ne plus mettre en place d'infrastructure filaire, il n'y aura plus que des téléphones mobiles ou IP, et zéro téléphone fixe.

NB : La Moldavie les talonne.

Saturday, February 18, 2017

Décodex est mort dans l'œuf. Pour le moment.

Décodex est mort dans l'œuf. Pour le moment.
Ils se tirent une balle dans chaque pied en choisissant de lister les domaines (ou débuts d'URL dans certains cas) :
  1. Ils vont se décrédibiliser à catégoriser le tout quand une partie seulement correspondra à la catégorisation.
  2. Techniquement, rien de plus simple que remplacer un domaine (ou une URL) par une autre. Les faussaires en information n'en auront que pour quelques jours pour contourner, voire tromper, le décodex.

Toutes réflexions qui avaient été menées lors de la création d'outils beaucoup plus malins tels que hoaxbuster. Sur un plan plus théorique, il est évident qu'il existe plus de moyens de disséminer les fausses informations que de fausses informations elles-mêmes, ainsi le travail de hoaxbuster, qui liste les fausses informations et non pas leurs moyens de diffusion, est-il des centaines ou milliers de fois plus simple (et donc efficace) que celui du décodex.

Décodex est donc déjà mort. Il faudrait la force de l'État (ex : une haute autorité avec des moyens dédiés + des lois liberticides anti-diffusion de l'information) pour arriver à maintenir une liste de qualité suffisante pour attirer les foules. Espérons que nous n'en arriverons jamais là !

The innovation the industry talks about so much is bullshit, says Linus Torvalds

"The innovation the industry talks about so much is bullshit," he said. "Anybody can innovate. Don't do this big 'think different'... screw that. It's meaningless. Ninety-nine per cent of it is get the work done."

I encourage you to read the whole article at theregister.co.uk.

Sunday, September 4, 2016

The Alliance: Managing Talent in the Networked Age

(Repost de mon LinkedIn du 1er juillet.)

J’ai fini ma lecture de The Alliance: Managing Talent in the Networked Age écrit principalement par Reid Hoffman, l’un des dirigeants-fondateurs de LinkedIn. Les pratiques décrites ont été mises en place chez LinkedIn puis copiées par d’autres et font même désormais l’objet de consulting pour leur implémentation auprès de dizaines d’entreprises. La démarche proposée m'intéresse et si vous souhaitez en parler, contactez-moi.


Constat de départ

  • L’emploi à vie n’existe plus, l’accroche de recrutement « vous entrez dans une grande famille » est hypocrite, les employés eux-mêmes n’hésitent pas à changer de poste s’ils trouvent mieux ailleurs et, s’ils font des projets professionnels, leur employeur est la dernière personne à qui ils vont en parler.

Proposition

  • Indépendamment d’un contrat de travail qui reste tel quel, on met en place des « tours of duty » qu’on pourrait traduire par « tours de garde » ou simplement « missions », qui sont des engagements écrits mais moraux, non-signés, non-contractuels, entre l’employeur et l’employé.
  • Leur durée est, selon les cas, de 2 à 5 ans.
  • Ils décrivent factuellement et dans le détail les attentes de l’employeur et les bénéfices pour l’employé (y compris bénéfices vendables ailleurs, compétences à mettre sur son CV, coup de main pour un prochain job, etc.)
  • Ils sont de trois catégories :
    • les « rotations », sur des postes bien définis où il y aura toujours du travail, ex : analyste-programmeur en maintenance évolutive => qui permettent aussi à l’employé de « voir » un poste pour acquérir rapidement des compétences de base,
    • les « transformations », sur des missions de changement de fonctionnement de la boîte, ex : déploiement d'une nouvelle méthodologie de testing auprès d'une équipe dédiée => qui permettent à l’employé d’acquérir des compétences neuves et (idéalement) d’aligner ses envies de projets avec les projets de l’entreprise
    • les « fondations », sur des personnes-clés qui sont très alignées avec les valeurs de l’entreprise, souhaitent rester, et constituent une mémoire vivante de l’entreprise. D’après l’auteur, la majorité d’un comité de direction devrait être composé de personnes en « fondation » => qui permettent à l’employé de se sécuriser dans son poste et de continuer sur sa lancée.

Les discussions doivent être ouvertes, ouvertes aussi sur l’avenir hors de l’entreprise, ouvertes sur les valeurs personnelles, ouvertes sur les projets personnels. Le livre détaille des exemples de discussions, de points d’entrées pour parler de sujets ordinairement non-évoqués, etc.
Le livre consacre aussi un tiers de ses pages à la création d’un réseau d’anciens de l’entreprise (corporate alumni), qui favorise notamment le retour de personnes ayant déjà travaillé dans l’entreprise, tout en analysant l'investissement nécessaire et l'intérêt discutable selon la taille et l'ancienneté de l'entreprise.

N'hésitez pas à me contacter si vous souhaitez en parler davantage.

Monday, July 18, 2016

Raccourcis touchpad incontrôlables sur Toshiba

J'utilise depuis peu un laptop Toshiba Z30t-B-10V dont je suis parfaitement satisfait. A part... le touchpad qui possède au moins 5 variétés de raccourcis différents (2 on/off + 3 selon les mouvements reconnus). Ces mouvements sont particulièrement complexes à maîtriser, et il en résulte des comportements aléatoires et frustrants, exemple : quand vous écrivez un post sur une page web et que le mouvement touchpad déclenche un retour à la page précédente, et que vous perdez ce que vous avez écrit...

J'ai enfin trouvé où désactiver ces options (sous Windows 7) :

Démarrer > Panneau de configuration > Souris > Extension > Paramètres des fonctions d'extension

et là s'ouvre le sésame pour la configuration (ou simplement la compréhension) des raccourcis du touchpad. Voilà.

Toshiba touchpad configuration screen

Tuesday, December 9, 2014

Reloading NTFS permissions without logging out/in of your sessions

The command below lets you log out of your Windows session and in again, without closing your application. This, among other things, allows you to access a newly shared folder without logging off/on.

(It's of course better to make sure you're not using session related functions before restarting the explorer.)

taskkill /im explorer.exe /f & start "" "c:\windows\explorer.exe"

Sunday, September 28, 2014

Shellshock, Exploiting Bash Vulnerability Through Apache CGI

You may have read about it anywhere else, yet I insist on fixing this one straight on.
The story: a Bash vulnerability has been reported as CVE-2014-6271 and later as CVE-2014-7169 (as it was uncompletely fixed). It allows arbitrary code execution when the content of a variable is parsed, that is, every now and then in shell scripts. If the content of the variable comes from user input, then this is a way for the user to execute arbitrary code, with current local rights.

One way this can be exploited is via Apache CGI (or nginx CGI). These have been provenly found to be exploited on the web, so this is no unnecessary crying wolf. CGI uses shell (Bash) to parse web request headers such as Host or User-Agent and allows arbitrary code execution with the administrative rights of the web server daemon itself. I succeeded in exploiting it for audit purposes, showing there is no need to be a lifelong-expert to proceed.



Although exploits of this vulnerability have reportedly been spotted only by use of Apache/nginx CGI, there could very well be other exploits of any server that uses Bash to parse user input, which means virtually any server undex Unix/Linux (think: Apache without CGI, cups, postfix, databases...)

The following command, launched from a server Bash shell, let's you know if the server is vulnerable to this vulnerability. Unless you did something specific in the last days, it's highly unlikely that your server will not be vulnerable.

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

So, I dearly recommend to patch Bash itself. If you cannot patch or must delay patch application, making sure no CGI scripts are exposed or CGI is disabled is a temporary workaround.