wOueb by Romain DECKER / Another IT Guy Blog

Le cabinet d’audit PWC a publié en 2010 une étude relativement exhaustive sur les data centers existants au Luxembourg. Plus de la moitié d’entre eux sont qualifiés Tier IV, (presque) tous les autres étant qualifiés Tier III : une société (eBRC) possède même deux datacenters Tier IV.

D’ici à 2013, le Luxembourg totalisera un peu plus de 45 000 m² de datacenters (dont 70% de niveau Tier IV), répartis entre 15 sociétés, ce qui le classe au rang de 2ème pays européen le plus développé dans ce secteur.

Retrouvez l’étude ainsi que la liste complète des datacenters et de leurs caractéristiques dans le document de PWC que vous pouvez télécharger ci-dessous.

Liste des data centers au Luxembourg [PWC]

Pour être intervenu/avoir visité presque la moitié d’entre eux, je suis toujours étonné par le niveau de sécurité de ceux qui sont Tier IV…

Source : Data Centres Luxembourg.

Il est relativement facile d’installer un serveur MySQL, que ce soit pour faire un environnement de développement ou de production. En effet, un simple yum/apt-get/aptitude install mysql-server (suivant votre gestionnaire de paquets) vous installe en quelques minutes ce serveur de base de données avec une configuration par défaut.

Pourtant, un serveur MySQL n’est pas exploitable tout de suite : le mot de passe root n’est pas initialisé, des privilèges anonymes existent, etc. Il est préférable d’accorder de l’importance à la sécurité au début d’un projet, que d’essayer d’y revenir plus tard.

La commande mysql_secure_installation va apporter un minimum de sécurité pour vos nouvelles installations. Elle vous permet (selon vos choix) :

• de changer le mot de passe root,
• de supprimer les comptes anonymes,
• de désactiver la connexion du compte root à distance,
• de supprimer la base de données « test » à laquelle tout le monde peut avoir accès.

L’outil finit sur un rechargement des privilèges (« Flush privileges ») afin d’appliquer les changements de droits au serveur.

Pour lancer la commande : /usr/bin/mysql_secure_installation.

Sécurisation de base d'un serveur MySQL avec mysql_secure_installation

Bien entendu, ceci n’exclut pas une politique de sécurisation globale (présence d’un firewall, port MySQL changé, filtrage des privilèges par adresse source, etc.). Cette commande vous permet juste de passer sur les points critiques en quelques secondes.

Note : je traite uniquement de Linux, je déconseille l’utilisation de MySQL sur un OS Windows. Par ailleurs, je ne sais pas si la commande mysql_secure_installation existe sur Windows.

Au départ prévue pour stocker des liens que je jugeais intéressants, la revue de presse hebdomadaire me permet de partager mes découvertes avec vous. Pour cette 65ème édition : des petits CMS pour des projets simples, un script de backup FTP pour votre WordPress, des photos prises à partir de cerf-volants, quelques différences entre Windows et Linux, et une application qui vous permet de retrouver les vidéos Youtube tournées près de chez vous.

(Lire la suite…)

Trouvaille de la journée, un plugin jQuery qui permet d’encourager les utilisateurs masculins à créer des mots de passes plus complexes. Le fonctionnement est simple : « Sally », une pin-up de quelques pixels, se déshabillera au fur et à mesure que le mot de passe devient complexe. Astucieux non ?

Exemple d'utilisation du plugin "Naked Password"

Son intégration est hyper simple : elle ne nécessite qu’une seule ligne de code dans vos formulaires.

Plus d’info et téléchargement du plugin sur le site officiel : Naked Password.

Info via Manu.

Comment être certain de ne jamais se faire pirater les données de son compte Google ? C’est une problématique de plus en plus récurrente, surtout depuis que Google dispose d’un nombre important de services : documents, agenda, mail, etc. Récemment, j’ai encore reçu une tentative de phishing sur mon mail.

Google a sorti page proposant une checklist en 18 points des choses à ne pas oublier : Gmail Security Checklist.

La checklist est divisée en 5 chapitres :

• votre ordinateur,
• votre navigateur,
• votre compte Google,
• vos paramètres Gmail,
• conseils divers.

Certaines choses paraissent évidentes, mais mon avis sur la question n’est pas vraiment objectif :

• avoir un antivirus à jour sur son poste,
• avoir un mot de passe suffisamment complexe,
• avoir les informations pour la perte de mot passe renseignée,
• ne pas rester connecté sur un ordinateur public,
• etc.

La plupart des éléments de la liste on un bouton « Read More » qui permet d’en savoir un peu plus sur tel ou tel conseil. Globalement, je respecte tous les points, donc pour moi ça va.

Malheureusement pour les anglophobes, la page est uniquement disponible en anglais.

D’après Wikipedia, le phishing (ou hameçonnage en français) est :

…une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C’est une forme d’attaque informatique reposant sur l’ingénierie sociale (sécurité de l’information). L’hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.

La semaine dernière, j’ai eu un chouette courrier électronique sur mon adresse Gmail, envoyé par : service.comptes.courriers@gmail.com

Pour l’utilisateur ne faisant pas attention / n’ayant pas été un minimum averti sur ce type d’arnaque, ce serait relativement plausible : en effet, le mail écrit sans fautes d’orthographe, comporte les avertissements de sécurité habituel sur les navigateurs, etc.

Il y a cependant quelques erreurs :

• le logo GMail « beta » : ça fait quelques temps déjà que le service n’est plus en beta,
• le fait que Google ne vous demandera jamais vos identifiants,
• etc.

Je rappelle qu’aucun service en ligne ne vous redemandera vos informations, jamais ! Donc, même si un mail a l’air « officiel« , il faut réflechir à 2 fois avant de répondre.