4ans déjà, retour d’expérience!

FourthBirthdayCela fait 4 ans que l’histoire de ce blog a commencé, au début c’était une idée passagère qui m’a traversé l’esprit, une volonté de partager des choses utiles (ou pas) qui rendront service à la communauté internet, j’ai commencé donc à écrire des articles techniques, des tutoriaux sur un domaine qui me passionne énormément qui est la sécurité informatique, après j’ai consacré quelques articles à Internet au Maroc en partageant mon modeste avis sur l’usage de cet outil par les marocains et le rôle des opérateurs telecom dans l’évolution de ce dernier.

Pendant ces quatre ans, j’ai reçu des centaines d’emails, les sujets différent entre demandes bizarres (Oui j’ai reçu une dizaine de demandes bizarres), des offres d’emploi, des encouragements, des critiques et des remerciements.

Au début je pensais qu’un blog ne servira pas à grandes choses, je l’ai créé juste pour partager ce que je sais faire. Aujourd’hui en faisant le bilan je me rends compte que ce blog m’a été d’une très grande utilité et m’a permis de vivre beaucoup d’expériences enrichissantes, voici quelques petites histoires que j’ai vécu grâce à mon blog!

Moroccan Cyber Security Challenge

Moroccan Cyber Security Challange
MCSC est le fruit de l’effort de deux amis Yasser Aboukir et Jalilos qui m’ont contacté à travers mon blog en début 2011, ils m’ont parlé de l’idée des challenges et j’étais super partant dès le début, ma contribution était la mise en place d’une plateforme de challenge sous symfony et la préparation de quelques épreuves de cryptographie, j’ai publié un article parlant de la première édition et les passionnés de sécurité informatique se sont rapidement manifestés, j’étais agréablement surpris par succès du projet qui est devenu un événement incontournable au Maroc (en sa 3ème éditions déjà). Depuis d’autres challenges tel que « JNS Security Challenge » à Marrakech », « SupInfo Hackathon » ont vu le jour, chose qui manquait vraiment au domaine de la sécurité informatique au Maroc et qui va permettre de le promouvoir! Tout ça ne peut être que bénéfique pour faire sortir les zombies cachés derrières leurs machines pour se manifester et se retrouver dans un cadre convivial et surtout partager, et c’est le plus important!!

Un jour j’ai trouvé ma CIN grâce à mon blog!

En janvier 2013, j’avais perdu ma carte d’identité nationale à Rabat, et je m’en rappelait plus où!! J’ai déposé une déclaration de perte et passé quelques jours frustré à chercher sans résultat, jusqu’à ce que je reçois un e-mail sur mon blog depuis le formulaire de contact!

CIN

Oui, Hakim un gars sympa qui l’a retrouvé et a eu le réflexe de me chercher sur Google, il m’a reconnu de vue et puis m’a envoyé un e-mail! J’ai rencontré Hakim après 2 jours, et il s’est avéré qu’il est le chauffeur d’un taxi que j’ai pris la semaine d’avant quand j’étais de passage Rabat! J’étais agréablement surpris par le service qu’il m’a rendu et je le remercie encore une fois de m’avoir épargner des allez-retours pour refaire une autre CIN!

Mes articles recommandés par des enseignants!!

En 2012, j’ai participé aux JNS Security Challenge organisé par l’ENSA de Marrakech, avec une équipe de 2 fou-furieux de sécurité informatique, on a pu remporté le premier prix, c’était différent des MCSC, la plateforme de challenges a été conçu par ACISSI, une association spécialisée dans la sécurité informatique qui forme et certifie en la matière, j’étais surpris après l’événement lorsque j’ai reçu un message de Sébastien, un ami qui enseigne dans cette association:

Quelques chiffres

Voici quelques chiffres

Ce que j’ai appris de cette expérience

J’ai certainement appris beaucoup de choses grâce à mon blog, à défaut de ne pouvoir les citer toutes je me contenterai de dire que :

  1. Il faut toujours partager, continuer à partager, c’est en donnant plus sans compter qu’on apprend plus!
  2. Il ne faut pas avoir beaucoup de temps pour blogger, Créez votre blog d’abord, puis à chaque fois que vous jugez intéressant le fait de partager une idée, un avis, du savoir, faites le!
  3. Il ne faut pas avoir peur des retours négatifs, il faut admettre ses erreurs et accepter les critiques, c’est grâce aux retours des gens mieux expérimentés qu’on apprend et qu’on évolue
  4. Il existe bien beaucoup de personnes qui partagent vos passions, vos valeurs et vos ambitions, il faut en parler dans vos articles, et vous verrez beaucoup de monde qui y adhere
  5. Il faut être attentif vis à vis ses lecteurs, après tout c’est eux qui donnent vie à votre blog, il est important d’interagir avec eux dès que vous avez de la disponibilité

Sinon j’essaierai de consacrer plus de temps à mon blog, déjà à commencer par terminer les 10 articles en brouillon pour vous parler ensuite de mon expérience en tant que web entrepreneur!

Merci à tous mes lecteurs et à tous ceux qui ont contribué à la vie de ce blog!

Pourquoi Klout est foireux?

Klout est un outil de mesure de l’influence en ligne. Il mesure généralement l’influence numérique et l’engagement des individus, des célébrités et marques sur un score de 1 à 100 en fonction de plusieurs paramètres tels que le ratio Twitter Followers/Following et retweets, les « shares », les commentaires de Facebook et les « J’aime »s etc….

Klout a pour objectif de standariser le principe d’e-influence, en créant des profils basés sur les informations collectées depuis les réseaux sociaux tels que Facebook, Twitter, Google+, Foursquare et autres. ces mêmes informations sont exploitées pour générer le profil Klout de l’internaute.

Tout ça c’est bien, cependant Klout n’est pas aussi efficace qu’on le croit et reste contournable, voici quelques raisons:

Pour Klout, une grande gueule est une personne influente:

Ceci-dis, Klout est plus quantitatif que qualitatif, le calcul du score s’appuie plus sur la mesure de l’activité/réactivité sur les réseaux sociaux que sur la mesure de la réelle influence.

Lors d’une étude menée par l’agence RAAK (spécialisée en Social Media) , les résultats ont démontré qu’à partir d’un bot complétement anonyme, sans avatar, qui ne follow personne, et qui tweet toutes les minutes, le score Klout atteint 51/100

Selon Klout: « Je suis community manager.. donc je suis influent »

Klout offre aux utilisateurs la possibilité de connecter leur page facebook à leur compte Klout, le nombre de tous les fans de la page en question sera rajouté à l’audience réelle du score Klout (Le True Reach), et naturellement le score explose pour atteindre les environs de 60~70 si la page a une audience de 45k fans.

Cette approche est totalement fausse car Le « True Reach » concerne seulement les amis/followers.

Sans oublier les non-utilisateurs de Klout qui sont comptés plusieurs fois, une fois pour chaque réseau tant qu’ils n’ont pas relié leurs comptes sur ce dernier..

Klout est assez limité dans le temps

Klout s’inscrit en temps réel sur une courte durée et non sur l’activité complète de l’individu connecté sur une période donnée. L’influence n’a jamais été relative à notre capacité à rester en alerte de manière constante.

Du coup, si vous partez en vacances et que vous décidez de faire une petite pause, votre Score Klout va considérablement chuter. Oubliez donc les vacances, les pauses et ne tombez pas malades! compris? :p

Des problèmes de sémantique


Échanger avec certaines personnes n’est pas un signe d’influence. cependant, Klout prend en considération toute mention ou réponse à un Tweet sans en saisir le sens que ce soit négatif ou positif! un tweet du genre: « Si vous aussi vous êtes réveillés RT » n’engage en aucun cas une interaction, pourtant ce tweet peut faire objet d’une centaine de RT, est ce que cela signifie que la personne l’ayant tweeté est influente? absolument pas!

En quelques mots: Que l’échange avec les individus soit cordial ou pas, Klout ne fait que prendre en considération toute forme de réponse.

« Klout score » est facilement contournable:

Le Klout score est composé de trois parties:

  • Le True Teach: l’audience réelle (Followers, Amis..) note de 1 a 100
  • l’Amplification: L’écho numérique (Total des RT, nombre de @, total des “J’aime”, total des commentaires) note de 1 a 100
  • Network: l’autorité de ton audience

Intéressons-nous au deuxième point: L’amplification et plus précisément le « Total des j’aime » et « total des commentaires ».

Avec Facebook, l’utilisateur peut contrôler la visibilité de ses publications. Étant donné que Klout possède l’accès à toutes vos publications il ne dépend pas de ces paramètres. Voici donc un scénario qui a un impact considérable sur l’Amplification et qui permet avoir un Klout Score > 50 facilement.

  • Publier un statut sur son mur
  • Changer les paramètres de confidentialité à « Moi seulement »
  • Aimer la publication
  • Commenter n fois sa publication
  • Aimer chacun de ses commentaires

Pour Klout ça fait n « J’aime reçu » et n « Commentaires » et au bout d’une cinquantaine de commentaires vous verrez votre score exploser..

Conclusion

Klout est une belle initiative qui vise à standariser le concept de l’e-influence, il permet de vous donner des indicateurs par rapport à votre activité sur les réseaux sociaux. La manière dont il calcule l’influence est très flou et a besoin d’améliorations surtout au niveau de la sémantique.

Si vous vous basez sur votre Klout Score pour dire que vous êtes influent, alors vous êtes foireux aussi, Le concept de l’influence va plus loin qu’un RT ou partage sur Facebook :)

L’EMI organise Linux Party le 06 et 07 fevrier 2010

Linux Party EMI 2010

Linux Party EMI 2010

Sous le thème « L’Open Source, Bilan Ouvertures et Horizons », et comme chaque année depuis 5 ans, les étudiants de l’École Mohammadia d’Ingénieurs organisent la 6ème Edition de Linux Party, une édition qui durera 2 jours pendant lesquels 12 ateliers de démonstration seront ouverts au public, encore un évènement incontournable qui aura le mérite de rassembler les Linux Addict et geeks du royaume!

Des membres de la communauté Ubuntu Maroc seront également présents, et contribueront à leurs tour dans cet édition!, une table ronde aura lieu et sera marquée par la présence des personnalités éminentes dans le domaine informatique et plus particulièrement par les adeptes du libre!

Je trouve que le thème « L’Open Source, Bilan Ouvertures et Horizons » est très réussi comme choix! Le déploiement des solutions libre dans les SI au Maroc est de plus en plus répondu, et permet un gains énorme en terme de coût et de performances! Plusieurs solutions OpenSource ayant prouvé leurs efficacité seront présentés et mises en pratique durant l’évènement..

Le monde du libre retrouve de plus en plus sa place au Maroc ;), Linux Party est LIBRE à tous, je vous invite donc à venir nombreux!

Source: http://www.emi.ac.ma/linuxparty/

Mettez à jours vos anciennes versions de mootools!

logo_mootoolsSi vous êtes utilisateur de mootools, je vous invite à mettre à jour vos versions de Mootools et aussi Mootools More, Vos scripts risquent de ne pas marcher sur les prochaines version de Firefox 3.6!

Pourquoi?

En fait, pour savoir si le navigateur est basé sur le moteur Gecko, mootools effectuais un test en s’appuyant sur la méthode document.getBoxObjectFor, cette méthode sera retirée de Firefox à partir de la version 3.6 ! Et comme Firefox est basé sur Gecko, tous les sites utilisant une ancienne version de mootools peuvent avoir des problèmes de compatibilité avec les prochaines versions de Firefox >= 3.6!

La détection du moteur Gecko avec document.getBoxObjectFor est utilisé 2 fois dans mootools, les deux sont reliées à la gestion des évènements, la première affecte la méthode Event.relatedTarget qui est utilisée dans plusieurs parties du noyau et la deuxième affecte l’évènement mousewheel qui est utilisé dans la classe Fx.Scroll.

Mettez à jours vos sites!

Si vous avez des sites en production utilisant mootools pensez à les mettre à jour! A noter que tous les sites propulsés par Joomla! 1.5 sont affectés vu que cette dernière intègre mootools de façon native!

  • Pour les anciennes versions mootools 1.1* par ici
  • Et pour mootools 1.2.4 par ici

Happy Update ;)

mcherifi Blog passe à Page Rank 3

Bonjour!

Mes amis! j’ai le plaisir de vous annoncer que mon blog vient de passer à pagerank 3, tous cela gràce à vous! Un grand merci à tous ceux qui me lisent, à ceux qui me laissent des commentaires ainsi à tous les aboonées au flux RSS, un GRAND merci également à Abdelkader ELKALIDI pour ses backlinks=)

Je vous rappelle que je suis toujours ouvert à vos suggéstions et vos propositions, n’hésitez pas à me faire part de vos avis!

CSP un nouveau système de protéction contre les XSS implementé par Firefox

MozillaContent Security Policy, baptisé CSP, est une nouvelle technologie créée par la fondation Mozilla dans le but de se protéger contre les attaques XSS!
Dans les trois dernière années, l’exploitation des attaques XSS et CSRF Injection a connu une très forte croissance, on a vu pas mal d’incidents et des hackages de sites populaires et de grands comptes comme facebook , ImageShack, DomainTools, Godady…, les ingénieurs de mozilla security team ont pensé à une solution et nous ont inventé CSP!

CSP, c’est quoi au juste?

En principe, les attaques XSS sont possibles car toutes les données chargées depuis un serveur http sont interprétées par le navigateur avec les droits que le client possède, le code JavaScript et tout le contenu chargé (y compris les scripts externes) sont combinés dans un même conteste de sécurité (Policy) et permettent l’accès à la totalité du DOM. Content Security Policy nous apporte un mécanisme pour indiquer explicitement au navigateur quel contenu est légitime, de cette façon le navigateur pourra interrompre l’exécution et restreindre l’accès au DOM de tout contenu non autorisé et sans perdre des fonctionnalités dans le site!

CSP est destiné aux web designers et administrateurs système afin de designer la façon avec laquelle les données doivent interagir avec leurs sites, son implémentation permettra la détection des attaques de type XSS et injection de code HTML et minimiser les risques d’une potentielle exploitation d’un de ces deux vecteurs d’attaque

Comment ça marche ?

Le principe de CSP est d’appliquer un ensemble de restrictions sur l’exécution des scripts et les autoriser seulement à partir d’une liste blanche créée par le webmaster, ainsi toute exécution de script ou de code chargé depuis un site non figurant dans cette liste sera bloquée. On pourra par exemple autoriser seulement les scripts provenant de Google API, et Youtube et restreindre l’accès à tout autre domaine externe!

Voici une liste de quelques actions bloquées par CSP:

  • les balise <script>
  • les URI javascript:fonction()
  • les évènements placés dans les attribut (<a onclick= »return foo() »>)
  • les fonctions avec le constructeur var f = new Function(« code malveillant… »)
  • data URI genre : data:text/plain;base64,ZXZpbGNvZGU=

Une liste complète de restrictions est disponible sur le wiki officiel de mozilla

Comment activer CSP sur son site?

Pour activer cette protection sur votre site, il vous suffit d’ajouter X-Content-Security-Policy dans l’entête HTTP de vos pages, voici un exemple simple pour autoriser l’exécution des scripts seulement depuis le même domaine :

X-Content-Security-Policy: allow 'self'

Un exemple pour autoriser le chargement des images depuis tous les domaines et les scripts seulement depuis api.google.com:

X-Content-Security-Policy: allow 'self'; img-src *; \
script-src api.google.com

Notifications

L’avantage de CSP c’est qu’il possède un mécanisme de notification permettant de notifier le webmaster lors de la violation d’une règle, la notification est sous forme d’un rapport que le navigateur envoie via une requête HTTP POST formatée en XML, et contient les entêtes HTTP de la requête effectuée par le client, l’url bloqué, la directive violée et le site de provenance! de cette façon administrateur du site pourra détecter les défaillances et d’éventuels problèmes de sécurité qui peuvent menacer son site!

Voici le schéma d’une requête de notification :

<?xml version="1.0" encoding="ISO-8859-1" ?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="csp-report">
<xs:complexType>
<xs:sequence>
<xs:element name="request" type="string" use="required" />
<xs:element name="request-headers" type="string" />
<xs:element name="blocked-uri" type="string" />
<xs:element name="violated-directive" type="string" use="required" />
<xs:element name="original-policy" type="string" use="required" />
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>

Exemple de rapport lors de l’appellation d’un script depuis un domaine non autorisé (attacker.ltd)

<csp-report>
<request>GET /page.php HTTP/1.1</request>
<request-headers><![CDATA[
Host: domain.ltd
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9) Gecko/2008061015 Firefox/3.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr-fr,fr;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
]]></request-headers>
<blocked-uri>http://attacker.ltd/evilscript.js</blocked-uri>
<violated-directive>script-src self</violated-directive>
<original-policy>allow none; script-src *, allow self; script-src self</original-policy>
</csp-report>

On peut placer l’entête dans une balise méta dans le <head>:

<meta http-equiv="X-Content-Security-Policy" content="listedesrestrictions" />

en PHP

Header("X-Content-Security-Policy: listedesrestrictions");

CSP est une très bonne initiative pour luter contre les attaques XSS, il est nativement implémenté dans le navigateur Firefox à partir de la version 3, c’est principalement conçu pour nous assurer une meilleure sécurité, tout de même il ne faut pas penser que c’est la fin des XSS! il y aura sans doute des méthodes pour le contourner, sinon je trouve que c’est bien pensé de la part des équipes Mozilla, c’est du beau boulot!

Viva Firefox ;)

Aid moubarak said à tous!

Bonjour à tous!

Il fait beau aujourd’hui, j’ai pas dormis pendant toute la nuit, une nuit blanche à attendre l’arrivé du jour pour sortir acheter un demi kilo de beignets marocains, voir le sourire sur les visages des petits enfants, s’échanger le salut avec mes voisins et savourer ces instants de félicité et de bonheur, enfin chez soit! toutes les familles se rassemblent, tous les êtres chers sont là: c’est aîd alfitr!

Et oui! un jour pas comme les autres, c’est la fin du RAMADAN, c’est le retour du rythme habituel! on voie clairement la joie sur tous les visages! certains attendais ce jour avec impatience.. pour enfin se permettre de faire la fête! Il est évident que c’est également le jour des meilleurs ventes d’alchool dans les supermarchés ^^ , d’autre part les gentils se sont réveillés tôt pour la prière de l’aîd!

Bref! Que vous soyez parmis les gentils ou les « zehwanis » , joyeuse fêtes à vous tous ! faut pas faire la fête tous les jours ^^

AID MOBARAK SAID!

Retour des flammes: La police australienne piratée

La police fédérale australienne vient de traverser une crise de sécurité, au sein d’un combat « titanesque » contre un groupe de pirates. Lancée sur les traces d’un site regroupant des milliers de personnes autour de technique de « hacking », la police a fini par mettre la main sur de nombreuses preuves, mais a du subir un retour de flammes conséquent.

Le site en question est le forum « r00t-y0u », célèbre dans le monde des pirates puisqu’on y trouve des outils et des techniques pour permettre différentes fraudes via Internet notamment. Tout récemment, les habitués du forum ont eu la surprise de voir un message sur la page d’accueil : un joli texte écrit par la police elle-même et déclarant que le site était sous la surveillance des forces de l’ordre et que les adresses IP des membres avaient été enregistrées. Au moment de la publication du message, les identifications étaient en cours. Bien entendu, le forum n’était plus accessible.

74607-hackers
Mais selon des informations révélées par The Age, les pirates ont réagi. Peu de temps après la saisie du forum, un hacker s’est introduit dans les ordinateurs de la police, et c’est là que les choses deviennent « amusantes ». L’AFP (Australian Federal Police) a indiqué qu’il n’y avait eu qu’une seule machine touchée, mais l’auteur de la manipulation s’en est clairement donné à cœur-joie au rayon moquerie.

Passablement excité/agacé/vexé/amusé, le hacker ne serait autre que l’administrateur de r00t-y0u, un dénommé H1t3m, très connu dans le monde du piratage informatique. Il s’est introduit dans l’un des serveurs de l’AFP et leur a littéralement ri au nez en se moquant de leur configuration Windows mal paramétrée et surtout de leur base de données MySQL… qui ne possédait aucun mot de passe.

Via un site de publication anonyme de documents (Pastebin.com), le hacker a lancé un message de la police leur indiquant qu’il n’y avait pas de quoi parader après le blocage du forum r00t-y0u : au lieu d’une communauté internationale de pirates chevronnés, ils avaient surtout pris quelques « script kiddies » dans leurs filets, autrement dit des pirates débutants. Dans un autre message, il fournissait des captures d’écran prouvant qu’il avait bien pénétré le serveur de la police.

Pour la police, il n’y a aucun danger. Le serveur en question était apparemment un pot de miel, c’est-à-dire un leurre pour attirer les pirates. Les données contenues dans la base n’étaient que d’anciennes fausses identités ou des informations relatives à d’anciens cas de piratages. Mais cela n’a pas empêché le hacker de continuer à rire, indiquant qu’il ne lui avait fallu que 30 à 40 minutes pour entrer dans le serveur et se servir dans la base de données.

Actuellement, les identifications de l’AFP sont toujours en cours et les accusations officielles restent à déposer. Pour l’instant, H1t3m, si c’est bien lui, court toujours.

Source : PCIntact

Twitter victime d’une attaque DDOS

« Nous nous défendons actuellement contre une attaque par déni de service, et vous tiendront informés prochainement », explique Biz Stone , le Co-fondateur du célèbre service de micro-blogging Twitter, avant de signaler deux heures plus tard, la reprise du service. « Le site est de retour, mais nous sommes toujours en train de nous défendre et de récupérer de cette attaque », explique-t-il alors, tandis que le site reste inaccessible !.

Des millions d’utilisateurs sont donc privés de leurs outil de socialisation et doivent attendre que le problème soit résolu pour mettre de nouveaux messages!

Ce n’est pas la première attaque de ce genre sur Twitter, le site a subit une première attaque de déni de service le 8 mai 2009 qui a rendue ce dernier inaccessible pendant une heure, le site a également été victime de piratage par un hacker intitulé Hacker Croll qui a réussi à accéder aux différente boites mail des employés de Twitter, y compris celle de Evan Williams, le fondateur de Twitter, et celle de son épouse Sara Morishige Williams!

Des captures d’écran ont été publiées sur le blog de korben

UPDATE : Twitter a récuperé de l’attaque après 2 heures de mise hors service!

Ouverture du blog

Je m’appelle Mohammed, un jeune marocain passionné de l’informatique, du web, du monde *nix et de l’entreprenariat, je suis adepte des logiciels libre et du monde OpenSource, un grand fan du monde de la sécurité de l’information et accessoirement guitariste!

J’ai découvert l’univers du WEB dans les années 1999/2000, cet univers qui est devenu une passion, puis un métier qui m’a permis d’acquérir une expertise dans les langages de programmation Web et Système (PHP, PERL, .NET, C/C++, JAVA/JavaScript, etc..), dans l’administration des serveurs LAMP (Linux Apache MySQL PHP) et dans la sécurité des systèmes d’information, bref « un parmi les passionnés de l’informatique qui se sont formés de manière autodidacte »!

L’idée première de ce blog est le partage, c’est un endroit pour centraliser mes réflexions, mes tutoriels et mes bouts de codes qui sont éparpillés un peu partout!

Vous êtes tous invités à participer à la vie de ce blog, n’hésitez pas à me laisser vos commentaires, vos remarques, vos critiques et vos impressions!

Je tiens à remercier toutes les personnes qui m’ont encouragé, ces gens qui m’ont apporté beaucoup plus que de simples connaissances!