J’observe le monde de l’IT depuis plusieurs années, et dernièrement la mode est de balancer des PowerPoint remplis de « AI-first » : agents autonomes qui scalent l’infra, corrigent les vulnérabilités seuls, génèrent du code sécurisé en 30 secondes… et la promesse que dans six mois on n’aurait plus besoin ni d’ops juniors, ni d’équipe sécurité, ni même de devs « classiques ».

J’ai souri en voyant ces takes. Parce que j’ai déjà vécu ça. Je suis dans le monde de l’IT, et plus précisément de l’infra/secu, depuis presque 20 ans et je code encore pour mes équipes ou mes propres outils, je sais exactement comment ça finit.

Il y a quelques jours, la beta ouverte de Battlefield 6 était disponible.

Lors de l’installation du jeu, j’ai constaté, une fois de plus, que le programme anti triche (anti-cheat) d’EA s’installe au niveau du ring 0 (je reviendrai sur ce concept plus bas, pas de panique! 😄).

Les tricheurs étant de plus en plus prolifiques, les éditeurs de jeux vidéos ont du trouver de nouvelles parades pour identifier et bloquer le plus rapidement les nouvelles manières de tricher en jeu.

Le biais du survivant est une tendance à se concentrer uniquement sur les exemples qui ont survécu à un événement, en ignorant ceux qui ont échoué. En matière de cybersécurité, cela signifie que les entreprises ont souvent tendance à se baser uniquement sur les incidents de sécurité passés qui ont été résolus, sans prendre en compte ceux qui ont échappé à leur détection ou n’ont pas été correctement résolus.

L’un des exemples les plus connus est celui des avions durant la seconde guerre mondiale:

Oui, je sais, j’arrive après la bataille sur ChatGPT!

Pour une raison simple, j’aime me faire un avis et ne pas suivre aveuglément les modes dans la Tech, surtout que lesdites modes ont tendance à passer bien vite, on se rappelle (ou pas) de nua.ge qui a fait un grand coup de com’ à coup de vouchers chez des “influenceurs” et a disparu des ondes aussi vite qu’il est apparu.

Depuis quelques jours, suite au rachat de Twitter par Elon Musk, on entend beaucoup parler de Mastodon.
Certains se disent prêts à migrer de Twitter vers Mastodon, si nombre de billets de blog parlent de Mastodon vs Twitter du point de vue fonctionnel, on parle assez peu des aspects liés à la sécurité.
Ici, je ne vous parlerais pas de modération, de changements d’habitude, etc. simplement de mon point de vue lié à la sécurité.

Je travaille sur des environnements AWS depuis plus de 6 ans maintenant. Que ce soit en tant qu’Ops, architecte, ou architecte sécurité, il y toujours une constante que je constate autour de moi : l’IAM d’AWS est très souvent mal utilisé.

Dans ce billet, je vous propose de faire un petit tour d’horizon des raisons probables.

Parce que la doc vous indique de mettre du wildcard

La documentation est censée être le pilier sur lequel s’appuyer. Toutefois, force est d’admettre que la documentation d’AWS est loin d’être un exemple en ce qui concerne l’IAM.

Ça y est, vous êtes décidé! Vous allez démarrer blog!

Bon, maintenant, la vraie question : par où je commence ?

Pas d’inquiétude, je vais vous donner quelques astuces que j’ai apprises en presque 3 ans de blogging.

Pourquoi je peux en parler ?

Il y a 3 ans de cela, je publiais mon premier billet sur ce blog, après des mois et des mois d’hésitations.

Content d’avoir eu mes 10 premiers lecteurs (des amis et collègues de travail), j’ai continué à publier, en améliorant petit à petit mon contenu.

Février est trop court !

Certains l’ont remarqué, il n’y a pas eu de newsletter en février.

La raison est simple, le mois est tellement court que je n’ai pas eu le temps de la rédiger dans les temps ! Pour le coup, plutôt que de publier le 10 mars, je me suis dit que je pourrais vous partager le contenu de ces deux derniers mois en même temps.

La sélection du mois

Okta victime d’une intrusion

Le leader de l’authentification, Okta, a été victime d’une intrusion dans ses systèmes.

Bonne année 2022

Bienvenue pour cette première newsletter de l’année. J’en profite donc pour vous souhaiter à tous une excellente année 2022!

Comme le mois dernier, je sélectionne ce mois-ci 5 news liées à la tech que j’ai trouvé intéressante ce mois-ci.

C’est parti!

La sélection du mois

Quand saboter son projet devient une manière de se faire entendre

En fin d’année dernière, je vous avais parlé de la faille log4shell, une vulnérabilité dans la librairie de login Java très populaire log4j.

Héberger un blog ne demande pas forcément une énorme infrastructure et beaucoup de moyens. Il est possible de créer un blog simplement pour quelques euros par an (et encore).

Il y a quelques mois, j’avais écrit un billet indiquant l’importance de publier son contenu “chez soi”, que vous pouvez retrouver ci-dessous.

Pourquoi c’est important de publier chez soi

Je vois nombre de personnes que je suis publier des contenus sur les espaces prévus sur les réseaux sociaux, ou sur des plateformes comme YouTube, TikTok, etc. Je ne pense pas que ce soit forcément une bonne idée : plutôt que de mettre en avant votre contenu à coup de “like”

Teddy FERDINAND

Suite à ce dernier, beaucoup m’ont contacté pour me demander des exemples concrets de ce que j’entendais par là.

Cela fait quelques années que je fais passer régulièrement des entretiens techniques. Dans ce billet, j’ai voulu vous compiler un peu mes astuces/remarques/points (rayez la mention inutile) afin que ces derniers se passent au mieux pour vous.

Comme indiqué dans le titre, ce billet s’adresse plus particulièrement aux profils juniors (sans aucune condescendance), mais chacun peut y trouver des points utiles.

Avant l’entretien

1) Se renseigner sur l’entreprise

Lorsque vous allez en entretien, cela signifie que vous envisagez de rejoindre une entreprise. Le mieux dans ce cas est de vous renseigner un minimum sur celle-ci. Cela passe par le site institutionnel de cette dernière, son (ou ses) blog(s), mais aussi des sites tiers qui permettent d’avoir les avis des employés actuels ou passés.

Enfin une newsletter !

Bonjour à tous, plusieurs mois après l’avoir annoncé, voici ma première newsletter !

Tous les mois, je sélectionnerais 5 actualités liées au cloud, la sécurité ou l’open source que je commenterais et partagerais avec vous.

Sans plus attendre, voici la sélection du mois !

La sélection du mois

Log4j — Quand l’open source porte le web mondial

Mi-décembre, une faille majeure a été décelée dans la librairie Java très populaire log4j. Cette faille permettant l’exécution de code arbitraire via de simples requêtes sur un site web.