Guillaume's Blog

Des nouvelles.

2009-05-30T16:30:33Z

Peu de temps pour écrire, pourtant j'en ai des articles en stock.

Mon temps de blogging, déjà fort réduit ces derniers mois, est consacré pour le moment à la plateforme de blog d'Intrinsec. Je vous laisse regarder ce que ça donne. Le mérite du contenu et de la bonne tronche du blog revient à Camille, la dircom d'Intrinsec.

Le reste de mon temps est partagé entre mes obligations d'étudiant à SUPINFO, et surtout l'infrastructure d'Intrinsec et de ses clients. Beaucoup à en dire, beaucoup à partager, les derniers mois ont été très productifs, surtout du point de vue de l'expérience sur les dernières réalisations techniques. Les projets qu'on a dans les cartons sont très intéressants, et je pense en parler, ici ou ailleurs.

Dans le rang des geekeries, ce week-end, j'ai acheté lesur.tel ! J'ai hâte de voir comme ça se gère... Je suis impatient que le registrar crée l'enregistrement. (Feed the geek inside...)

Edit : ça y est ! http://guillaume.lesur.tel

Loi HADOPI : Attali donne son avis.

2009-03-15T09:48:43Z

Je viens de lire un poste de Jacques Attali qui me semble tout à fait juste pour résumer ce projet de loi.

Je vous laisse le découvrir, il n'y a pas de commentaire à faire, tout est dit.

Une loi scandaleuse et ridicule par Jacques Attali.

Ca chauffe, ça chauffe !

2009-03-12T17:36:19Z

Intrinsec, l'entreprise dans laquelle je travaille depuis 2007, a produit une pièce de théatre sur la vie d'une Direction Informatique, "Coup de chaud".

Les collab' ont été conviés hier soir à une représentation de la pièce. C'était JUST AWESOME. :)

Drôle, caricaturale, on ne peut pas s'empécher de rire devant des situations qu'on a déjà rencontrées au taffe, dans la vraie vie.

Allez, un extrait de la pièce :)

Via Intrinsec.

A little trip to China

2009-03-09T09:06:22Z

Dans un mois, si tout se passe bien ( ie. que le consulat de Chine me donne un Visa...), j'irais rejoindre des amis en Chine pour 15 AWESOME DAYS. :)

Je vais donc rejoindre Stéphane, Fabien, Cyril et Canard à Tianjin Beach City où ils sont installés depuis Novembre dernier.

Je ne raconte plus trop mes geekeries ici, je ne servirai pas le plat habituel de justification bon marché et d'espoir déçus, non non, ne vous inquiétez pas. Juste que je suis très pris, et que ce que j'ai à raconter est techniquement un peu compliqué, ça prend donc du temps à mettre en forme.

Je travaille depuis ce week-end sur un projet de blog awesome, technique, pointu, comme on aime. Dés que le projet est montrable, j'en parle, promis.

Et si mon Téléphone faisait aussi Hotspot Wifi ?

2009-01-23T13:23:49Z

Etant en extérieur aujourd'hui, et loin de tout accès potable à Internet (dur), il m'a été absolument indispensable de me procurer un accès. J'ai acquis il y a quelques moi de ça un Nokia E71, qui est au passage un super téléphone. Je me suis pris un forfait Orange 3G+ illimité, je surf donc régulierement sur mon portable. Mais soyons clairs, c'est mieux sur un PC.

Il m'a donc été tout à fait indispensable d'utiliser un logiciel qui existe pour Symbian, et autre téléphones, JoikuHotspot. Le principe est simple : votre téléphone devient Hot Spot Wifi, et se connecte à Internet via sa liaison 3G+.

Awesome.

Le réseau Wifi est sécurisé (seulement en WEP), mais pour de l'appoint, c'est largement suffisant. Vous pouvez bien evidemment partager la connexion avec vos amis. Le téléphone se comporte alors comme un routeur et un point d'accès Wifi. Il assure le DHCP, sur un subnet, par défaut, en /24. Le subnet par défaut est mal choisi (192.168.2.0/24), mais il est configurable. Joiku propose des packages Pro pour le déploiement massif en entreprise, et la possibilité d'établir directement une connexion VPN jusqu'à l'entreprise.

En ce moment, nous sommes 4 à se partager 512 kbps. Le ping est correct, le confort de surf aussi. Rien à redire. Awesome.

L'application utilisée :

JoikuSpot Premium : www.joikushop.com , pour 15€.

Il est magnifique : je l'aime.

2008-11-11T23:08:30Z

Cisco a décidé d'écraser la concurrence, d'expurger totalement et completement toute possibilité de penser qu'on pourrait potentiellement dans un avenir proche se passer de leurs services. Non content d'être LA référence absolue en terme de routage et de commutation, ils ont sorti un châssis encore mieux que ce qu'ils faisaient déjà.

Pire : il est terriblement beau. Je veux avoir ça dans une baie, c'est hautement nécessaire, incontournable même !

L'engin peut gérer jusqu'à 6,4 Tbps de trafique, c'est monstrueux ! Il est prévu pour gérer les applications vidéos, avec un engagement de service Carrier Class ( 99,999%).

Ça rigole pas, c'est bien, c'est beau, c'est Cisco.

D'ailleurs, rien qu'avec la vidéo de présentation, vous VOULEZ en acheter un :).

PS : Oui, j'ai bien peur que pour comprendre en quoi ce châssis est beau et génial, il faut travailler dans un NOC et être geek.

My.BarackObama : un portail collaboratif pour la victoire.

2008-11-08T11:28:14Z

Obama est élu, tout le monde en parle, tout le monde est heureux. Bravo.

Il y a cependant une chose qui m'a intéressé dans la campagne d'Obama, tout particulièrement : le portail qui a été mis à disposition par ses équipes pour aider ses sympathisants à organiser leur campagne localement.

Il est simple d'accès, et fournit au militant tout ce dont il a besoin pour supporter son candidat, de l'outil de gestion des voisins, un portail communautaire avec des groupes de supporters, jusqu'au système de gestion des donations.

]]> Le militant peut faire sa petite fiche de supporter, mentionnant pourquoi il a rejoint le mouvement Obama, ce qu'il attend de son président, ses convictions politiques... Comme sur votre Facebook, oui oui, sauf que là vous êtes obligatoirement démocrate.

Le système de groupe, similaire encore à Facebook, vous propose de chercher des amis dans votre région, votre ville, de créer votre propre groupe, et ce sur n'importe quel sujet qui vous intéresse. Le portail inclut aussi des outils de gestion de vos voisins. Il trouve vos voisins inscrits sur le site, vous permet de créer la liste de vos voisins, d'imprimer la liste de ces mêmes voisins à qui vous devez rendre visite pour les démarcher, d'imprimer des Flyers, et finalement de rentrer sur l'interface du site le résultat de vos prospections, avec les intentions de vote.

Tout ceci coûte cher... mais le portail rapporte ! Et oui ! Nul besoin de pub pour cela ! Le militant va créer sa propre page "FundRaising". Cette page a pour but d'attirer le plus de donations possibles, en utilisant la rhétorique particulière de chacun des supporters, afin qu'ils convainquent leurs proches, amis, famille, de donner pour Obama. Et c'est efficace. Il a été levé pour la campagne d'Obama plus d'argent, et il a dépensé le double de McCain, et sans avoir particulièrement recourt aux lobbys.

Il faut dire que le portail des donations encourage à donner : il est sympa, c'est bon enfant, et le thermomètre instaure une compétition entre militants. Vous donnez pour aider votre pote à remplir ses objectifs, et il fera de même avec vous.

Rajoutez qu'un portail sympa va capter plus de militants, que c'est tout à fait dans l'air du temps, et que ça motive vos troupes à aller sur le terrain pour démarcher. Vous avez plus de monde dans les rues, vous avez plus d'argent, vous avez plus de motivation et d'adhésion à votre campagne.

C'est très intelligent, c'est très sérieux, c'est très bien fait. Les équipes techniques d'Obama sont à quelques années lumières devant celles de nos chers politiques Français et de leurs belles idées de démocratie participative, de télévision non-stop : un outil collaboratif de gestion de campagne, ouvert à tous, vous facilitant la vie, et réduisant à néant toutes les petites contrariétés qui vous font rester dans votre canapé à regarder un SitCom au lieu d'aller militer.

Si vous voulez voir l'outil, une vidéo de démonstration est disponible sur le site d'Obama.

IPv6 - Let's go Baby !

2008-10-10T20:44:11Z

Je présente d'ors et déjà mes plus plates excuses aux malheureux lecteurs égarés qui tomberont bien malencontreusement sur cette note tout à fait geek et tout à fait incompréhensible pour une personne pour qui ARP n'évoque rien de plus qu'un instrument de musique mal orthographié. J'ai bien peur que vous ne compreniez rien à ce qui suit :

Juillet 2011 - La fin annoncée d'une époque : le RIPE ne distribuera plus de nouveaux préfixes IPv4, ce qui signe donc l'arrêt de mort de ce cher bon vieux protocole qui a eu son heure de gloire, et son âge d'or.

IPv4 ( ou IP tout court ), dont la représentation la plus connue est l'adresse IP , si facile à comprendre car décimal, est en fin de vie. Le pauvre protocole est victime de son succès !

]]>
But why ? So simple ! Les adresses IPv4 sont encodées sur 32 bits, ce qui permet d'avoir quelques 4 294 967 296, disons 4,3 milliard pour faire simple. Sans rentrer dans des calculs farfelus, le Vulgum Pecus remarquera tout de suite que 4,3 milliards d'IP possibles sur un protocole sensé permettre à l'ensemble de l'humanité de communiquer (6 Milliards, +/-), ça pose un " léger " soucis. Surtout qu'une personne n'a pas qu'une seule adresse !

Woops.

Trop peu d'adresse ou trop de gens. Soit on réduit le nombre de gens ( ce qui est moralement inconcevable ), soit on augmente le nombre d'adresses disponnibles. A prioris, augmenter le nombre d'adresse est la solution qui a été retenue.

Un groupe d'ingénieurs, mathématiciens et autre gurus IT américain a donc plancé sur la nouvelle mouture d'IP : v6 !

Alleluia. Quoi de neuf ? Tellement de choses ! Pour le fonctionnement global, je vous conseil d'aller faire un tour sur Wikipedia, c'est bien expliqué. Les bouquins O'Reilly sur le sujet sont aussi très bien faits, et très complets.

Je retiens cependant un point important : le bannissement du NAT, du fait de la surabondance d'adresses IP.

Prenons un cas très courant, que l'on connait tous à la maison. Vous disposez d'une MachinBox. Cette MachinBox est un modem-routeur avec un petit commutateur quatre-ports intégré. L'interface modem ADSL porte l'IP publique qui vous est assignée par votre fournisseur d'accès Internet. Vous branchez sur le commutateur vos machines personnelles. Les machines ont des IP "privées", c'est à dire conformes à la RFC1918 qui décrit les plages non routables sur Internet, pour usage interne. La MachinBox vous assigne un bail DHCP, via son service embarqué. Vous voilà avec une IP privée, capable de surfer sur Internet sur plusieurs machines, et ce via une seule et unique IP routable; Par quel miracle vous retrouvez vous ainsi protégé ? Par la translation d'adresse !

La translation d'adresse, c'est une anomalie, une tache rouge et dégoulinant sur une nappe blanche : c'est une hérésie dévoreuse de ressource et créatrice de business pour vos chers consultants IT qui jouent avec depuis la maternelle. :) La translation d'adresse permet de "forger" un paquet, c'est à dire modifier les champs sources, destination, les ports utilisés, etc... Vous modifiez votre horrible petit paquet 192.168.1.10 en une jolie IP tout aussi unique que routable sur le web (91.121.156.20 ?). L'horrible paquet avec sa source en IP RFC1918 ("IP privées") n'aurait pas eu de réponse de l'IP avec laquelle il essayait en effet de communiquer : la dite IP ne sachant pas où se trouve 192.168.1.10 sur le web. Rajoutez à ça que des 192.168.1.10, yen a un paquet !

Ce système a permis à IPv4 de survivre tant bien que mal quelques années de plus, en cachant les grands réseaux "privés" derrière des IP "privées", un grand nombre d'IP privées pouvant ensuite sortir avec un tout petit nombre d'IP publiques.

Génial. Superbe. Hum. A un bémol près. Quand vous avez un backbone trop gros, que vous le concentrez, vous allez avoir un phénomène horrible : l'overlaping. C'est-à-dire quand deux entités veulent communiquer entre elles, mais avec les mêmes IP. "Oops". Ou plus communément, pour vos VPNs. « Oups, je veux aller sur du 192.168.1.1, mais ici AUSSI je suis en 192.168.1.1 ».

Point ne marche.

Maintenant avec IPv6, tout ces problèmes sont résolus d'un coup, d'un seul : il y a tellement d'adresses IP globales (routables), qu'il est possible d'en mettre sur à peu près tout. Vous voulez pinger votre PC, pas de problème : on a la route vers celui-ci.

Notez tout de même le problème de sécurité sous-jacent : vous avez IPv6, donc tout le monde est à un clic de pouvoir entrer sur votre machine et faire tout ce qu'il veut, et ce très facilement, c'est natif !

Il va donc falloir que tout le monde se munisse d'une passerelle filtrante pour éviter le problème. Vous interdisez tous les flux entrants vers vos PC, et hop, vous êtes aussi bien protégé qu'avec un NAT. Notez d'ailleurs que Cisco a totalement revu l'ergonomie de ses ACL IPv6, et c'est pas mal du tout.

Attention cependant lors du déploiement de V6: les piles IPv6 actuelles ont été très peu utilisées - elles sont dans le même état que les piles IPv4 il y a 15 ans -. Concrètement, il est très prévisible que quelques personnes malintentionnées puissent avec un Ping faire rebooter votre cher Windows Vista, voir même votre plateforme de filtrage. Il va falloir que les piles v6 soient plus largement utilisées pour qu'elles puissent être débuggées et corrigées. Il vaut donc mieux aller doucement sur le déploiement de V6 sur les populations à sensibles.

Good bye Promethee, Hello Prometheus !

2008-08-23T09:53:57Z

Et bien voilà, c'est fini ! Movable Type a été le dernier service à migrer de Promethee à Prometheus, mon nouveau serveur dédié de la mort qui tue.

Ce petit projet fort sympathique a été assez instructif sur les temps nécessaires au déplacement de services et aux effets de bord des déplacements de MTA ( donc de mon MX ), et de mon authoritaire DNS principal.

Was so cool !

Comment bannir une fois pour toutes une adresse IP indésirable ?

2008-07-13T21:00:42Z

Amis bloggeurs,

Vous avez un serveur dédié pour votre blog ? Vous l'hébergez chez vous peut-être ? Et vous avez une IP indésirable qui envoie constemment du spam, ou un visiteur qui dépose des commentaires agaçant ? Et vous en avez assez ? Vous aimeriez bien bannir ces vilaines adresses IP de votre serveur ? J'ai quelque chose pour vous !

Un collègue de travail m'a enseigné une technique aussi old-school qu'efficace pour dégager de la vie paisible de votre serveur chéri un indésirable : l'interface loopback. La technique consiste à créer une route statique qui enverra les paquets à destination de l'adresse IP que vous haïssez dans le trou noir de l'interface loopback.

Explication technique :

]]> Le méchant envoie le premier paquet de sa requette sur votre serveur, le paquet est réceptionné par le serveur, qui va envoyer le second paquet de bonne réception. Si vous n'avez rien fait pour modifier le comportement de la machine, il va le transmettre à sa passerelle par défaut, et le méchant va réceptionner l'accusé de réception, et continuer à émettre : la connexion TCP monte !

Maintenant, vous en avez assez de le voir trainer sur votre serveur. Vous décidez donc de le dégager. La solution la plus simple, la plus indolore pour le serveur, et la moins consommatrice en ressource, est de créer une route statique sur le serveur qui va envoyer les paquets à destination de l'@ IP du méchant dans les limbes. Reprenons donc l'action où nous l'avions abandonnée :

Le méchant envoie son premier paquet sur votre serveur. Le serveur va donc répondre. Ca passe dans le kernel, qui va appliquer la gentille route statique que vous avez configuré, qui envoie sur l'interface loopback tous les paquets à destination de l'IP du méchant : les paquets sont détruits, la session TCP ne va jamais pouvoir être établie, il enverra tout le temps le premier paquet sans jamais recevoir de réponse : il est filtré, et n'y peut absolument rien, le socket ne s'ouvre pas, et sur tous les ports : il est power-owned.

Démonstration entre mes deux serveurs dédiés OVH

Sans route spécifique dans la table, le socket s'ouvre, j'ajoute la route envoyant l'ip dans la loopback, il ne s'ouvre plus, je la retire, ça s'ouvre de nouveau.

C'est old-school, c'est une vraie technique de tueur, et il n'y a aucune parade, si ce n'est changer d'IP :). Notez que ça fonctionne aussi sur des subnets entiers ( si vous voulez bannir la Corée ou la Chine, par exemple ;) ), et ça ne prend absolument aucune ressource sur le système, contrairement à un filtrage intégré à Apache. Elle est pas belle la vie ?

Ce soir, je me moque.

2008-07-11T21:19:47Z

Bandwidth Limit Exceeded

The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.

Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8b mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www.cccp-project.net Port 80

Ha les noobs, les versions sont même pas cachées. Houuu !

I'm not dead meat !

2008-06-17T14:31:28Z

Hi there.

Je t'ai délaissé, blog, mais c'est pas ma faute, j'ai un peu la tete sous l'eau en ce moment. :'(

Passons sur mon inconstance postative pour parler sérieusement : twitter, c'est nul, plurk, ça roxe !

http://plurk.guillaumelesur.net/

Le concept de timeline, déroutant au départ, est en réalité vraiment très sympa ! c'est bien plus rigolo que Twitter. ( d'ailleurs j'ai jamais autant utilisé un service de micro blogging que depuis que je plurk ! )

Ha et je suis fan des switchs ProCurve. Ca va me passer, ne vous en faites pas. ( et puis j'aime toujours Cisco ).

Ils vont assiéger nos PCs !

2008-05-26T18:05:13Z

On parle sur le Net d'un plan global anti-piratage, discutté actuellement par le G8. Grosso-modo, ce plan prévoit que les FAIs vont être obligés de fliquer leurs utilisateurs, en transmettant aux authorités compétantes l'ensemble des trames qui transitent par leurs petits boitiers posés chez leurs clients.

Ca paraît compliqué, mais c'est très simple : la police ( ou la gendarmerie ) va scruter toutes les trames que vous emettez sur le net, repérer les contenus illégaux, et vous tomber dessus... et ce sans qu'une plainte ne soit déposée.

Voici les termes de la dite négociation :

- Aucun besoin de plainte déposé par les ayant-droits
- l'action judiciaires sera déléguée à des organes privés (RIAA, ...)
- obligation des FAIs de surveiller les utilisateurs, de donner leurs infos, sans preuves ni requisition judiciaire.

Est-ce techniquement réalisable ? Tout est réalisable avec l'équipement adequat.

On se prépare des lendemains qui déchantent, avec des flics aux fesses.

Plus d'infos : http://www.9to5mac.com/orwellian_nightmare

Are you ready for France ?

2008-05-17T20:52:58Z

Je suis tombé par hasard, en lisant le site de ma banque, HSBC, sur un site très sympathique et particulièrement bien fait, que propose la banque aux étrangers souhaitant s'installer en France : www.readyforfrance.com

Une bonne idée de cette banque. Good job guys.

Internet n'est pas une boîte de poulet fri.

2008-05-08T19:51:25Z

Depuis quelques semaines, une débat passionnel a lieu sur la mailing list FRnOG ( French network Operator Group ), concernant un point particulièrement central sur la culture Internet, que tout un chacun devrait connaître et avoir en tête : la neutralité du réseau.

Grosso-modo, certains FAI (Virgin pour ne pas les citer) ont pris l'habitude de faire payer les fournisseurs de contenu pour bénéficier d'une qualité d'accès accrue aux abonnés du dit FAI. C'est à dire :

Monsieur A, fournisseur de contenu (par exemple un réseau tel que celui de Clubic), souhaite faire son travail, c'est à dire mettre en ligne, rendre accessible au plus grand nombre, un contenu, une information, un produit, une offre, ce que vous voulez...

Monsieur B, fournisseur d'accès, qui se gargarise de ses 3.5M d'abonnés. Monsieur B se dit que, damned, ça coûte bonbon de faire son travail, et qu'il aimerait bien faire un peu plus d'oseille sur le dos de ses abonnés qui paient somme toute 30 € / mois pour 5 mbps sur son super réseau.

Monsieur B va voir Monsieur A et lui dit " Je vais faire une upgrade de mon réseau pour que ça aille plus vite encore pour mes abonnés ! par contre il faut que toi tu paies pour en profiter ! ".

Monsieur A a donc le choix entre : payer et être au plus près des abonnés, ne pas payer et avoir une qualité d'accès dégradée par rapport à ses concurrents...

D'où la question sur la neutralité d'Internet, d'où la page ci-dessous qui en parle :).

http://lumiere.ens.fr/~guerry/trads/tim_wu_pourquoi_neutralite_reseau.html