GuiGui's Show

La Commission européenne publie un rapport sur l’impact de l’open source [ et open hardware ] sur l’économie. En 2018, 1Md€ investi par les entreprises UE, 65 à 95Md€ de retombées économiques.

Je trouve ça cool, néanmoins, je rappelle que les externalités positives sont difficiles à chiffrer / évaluer (quel que soit le sujet). Donc il faut prendre ce chiffre avec des pincettes.

De plus, dès l'abstract, on a la vieille rengaine de l'open source comme moyen de réduire le coût d'acquisition des logiciels par le secteur public… Open source ne signifie pas gratuit (et il faut arrêter de vouloir optimiser le prétendu coût des services publics).

Il y a plusieurs formats de favicon, et plusieurs autres icônes (site épinglé sur le bureau ou dans le menu démarrer ou…). Le testeur et générateur pointé est intéressant.

Un manifest pour personnaliser l'affichage sur mobile.

OpenSearch pour proposer d'ajouter le moteur de recherche de son site web dans la barre de recherche d'un navigateur. Shaarli a la balise « meta » kiVaBien.

Le format du fichier security.txt a été normalisé depuis la publication de cet article.

La spécification du fichier robots.txt a été mise à jour pour refléter la réalité des usages.

Association.

Interface graphique de gestion d'un keystore (magasin de certificats x509) Java. Licence GNU GPL.

Outil pour détecter des erreurs de syntaxe dans des scripts shell. Paquet Debian du même nom.

Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.

Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…

La joie des alertes de sécurité inutiles. Dommage que l'auteur n'aborde pas le ratio signal / bruit qu'il obtient dans son contexte, car de là découle (ou non) la lassitude qui amène à ignorer toutes les alertes.

Tester son serveur DNS récursif (UDP / TCP, IPv4 / v6, RPKI, variation du port source et du numéro de requête, validation DNSSEC, prise en charge EDNS et QNAME minimisation).

Pour tester la QNAME minimisation, il existe également : dig TXT qnamemintest.internet.nl.

On le sait, l'attribution d'une cyber-attaque (« c'est les Chinois ! ») est un exercice difficile. Il faut analyser l'attaque, parvenir à une certitude et, ensuite, assumer de révéler publiquement l'origine. Comme le répète souvent Guillaume Poupard « L'attribution, c'est politique ». Le livre de Mark Corcoral étudie cette question de l'attribution notamment sous l'angle des accusations par les États-Unis : comment se fait l'attribution publique et suivant quels méandres politiques ?
[…]
La phrase de Guillaume Poupard, citée plus haut, a un amusant double sens. Elle dit que ce n'est pas à une agence technique comme l'ANSSI d'attribuer une attaque ; cette attribution publique peut avoir des conséquences et c'est donc au pouvoir politique de prendre ses responsabilités. Mais la phrase dit aussi qu'accuser publiquement tel ou tel pays est aussi un choix politique. Plus cyniquement, on pourrait reprendre la phrase d'un collègue de Topaze : « les coupables, il vaut mieux les choisir que les chercher ». Eh oui, quand un État en accuse un autre, l'accusation n'est pas forcément sincère…

Les auteurs tranchent clairement la question : ils proposent de dire que l'Internet est l'ensemble connecté des adresses IP publiques qui peuvent joindre plus de la moitié des adresses IP publiques actives. Il y a, en plus de l'Internet ainsi défini, des iles (des réseaux connectés entre eux mais qui ne peuvent pas joindre l'Internet) et des péninsules (des réseaux qui peuvent joindre certaines des machines de l'Internet mais pas toutes).
[…]
La définition des auteurs fait qu'il n'y aura pas d'ambiguité : si un réseau a plus de 50 % des adresses IP publiques actives, il sera l'Internet. Si aucun réseau n'atteint ce seuil, on considérera qu'il n'y a plus d'Internet.
[…]
Les auteurs notent qu'aucun pays n'a à lui seul plus de la moitié des adresses IP publiques (même les États-Unis en sont loin) et que toute sécession d'un pays le laisserait donc en dehors de l'Internet ainsi défini. Ah, et en cas de coupure de tous les câbles sous-marins laissant d'un côté un bloc Amérique et de l'autre un bloc Eurasie, c'est ce dernier qui serait l'Internet, il aurait bien la majorité des adresses. [ trololololo ]

Rigolo. :)