Archive pour septembre 2008

Dé-bizarrifions le protocole TCP/IP

samedi 20 septembre 2008

Il y a quelques jours, alors qu’il est en plein travail sur son ordinateur, un de mes collègues voit d’un coup ses logiciels se quitter et sa session se fermer. La machine a apparemment basculé en mode “prise de contrôle à distance”, et il lui est donc impossible de la débloquer autrement qu’en la redémarrant de force. Tout semble fonctionner à nouveau normalement, mais quelques minutes plus tard, rebelote. Cette fois, plus de hasard possible, il soupçonne ue attaque ou un virus. Réaction logique et saine : il débranche sa machine du réseau.

Pour ma part, jusque-là, j’observais la scène et j’ai tout vu. Il va être temps d’assumer ma casquette d’admin réseau. Comme il est peu probable qu’il s’agisse d’une attaque extérieure à la société (notre réseau est une forteresse dont la DMZ est inattaquable et le coeur insubmersible, toute la Team Rézo vous le dira, hé), nous allons voir ces messieurs de l’administration système, qui sont les principaux utilisateurs du protocole RDP, lequel permet de piloter les équipements sous Windows à distance via le réseau.

L’un d’eux étant précisément en train de pester contre une machine apparemment récalcitrante à toute prise de contrôle, nous lui demandons quelle est d’adresse de cette machine. “10.249.171.35”, nous répond-il. L’adresse du poste de mon collègue étant “10.249.171.29”, ça pourrait bien être une faute de frappe… Pour s’en assurer, mon collègue rebranche son poste et l’admin système tente à nouveau l’expérience : à nouveau c’est 10.249.171.29 qui est touchée et non 10.249.171.35.

Réflexe d’admin réseau, je vérifie les tables ARP (protocole qui permet d’identifier géographiquement une machine sur le réseau à partir de son adresse IP) des deux machines ainsi que des switchs situés entre elles. Sur celle de l’admin système, on y voit clairement l’entrée correspondant à 10.249.171.29, mais pas celle de 10.249.171.35. Conclusion : en “attaquant” l’adresse 10.249.171.35, l’admin touche en réalité 10.249.171.29. Quelle bizarrerie ! Son Windows est-il vérolé au point de perturber le fonctionnement de sa pile TCP/IP ?

Je demande à l’admin de me montrer exactement comment il s’y prend pour lancer sa prise de main à distance. Je le vois alors afficher un tableau Excel qui recense les adresses de tous les serveurs qu’il gère quotidiennement. Il copie l’une d’entre elles, 10.249.171.035, et la colle dans la fenêtre de connexion de Terminal Server. Une fois de plus, c’est la machine 10.249.171.29 qui est touchée, alors que la fenêtre de connexion sur le poste de l’admin affiche bien “10.249.171.035”.

Je commence alors à avoir l’impression d’entendre le thème des X-Files dans ma tête. Mais quand il me dit qu’avant il procédait exactement de la même façon qu’aujourd’hui. Je lui demande alors s’il a apporté des modifications à sa feuille de calcul récemment. Il m’explique que oui, la veille, mais que c’était juste pour ajouter des zéros dans les adresses IP de façon à ce qu’elles aient toutes la même longueur et que ce soit plus joli.

Et là, c’est le déclic. Des souvenirs de l’époque où je découvrais les réseaux IP surgissent dans ma tête, et plus précisément une fois où j’avais essayé de lancer des ping et des traceroute vers des adresses non conventionnelles, c’est-à-dire qui ne respectent pas le schéma des quatre nombres compris entre 0 et 255 séparés par des points. Et à l’époque j’avais constaté que mettre des zéros devant les chiffres provoquaient des comportements erratiques, mais sans chercher à en comprendre les raisons précises.

Je demande à l’admin de coller à nouveau l’adresse qui est encore dans le presse-papiers mais en enlevant le zéro de “035”. Et là, bingo, c’est la bonne machine qui est impactée ! Comme un bon admin réseau ne peut pas partir sans faire un peu la morale, je lui dis qu’il ferait mieux d’enlever ces zéros superflus de son tableau Excel.

De retour à mon bureau, je décide d’investiguer un peu, conscience professionnelle oblige. Première question : est-ce un problème lié à Windows ? Je fais quelques tests sur différentes plates-formes, et constate avec surprise que ce n’est pas le cas :

Sous Windows...

Sous Linux...

Sous Mac OS X...

Comme vous pouvez le voir, l’effet est rigoureusement identique sous Windows, Linux et Mac OS X. Déduction logique : il s’agit du comportement du protocole TCP/IP lui-même. Mais s’agit-il de quelque chose de normal ou d’un disfonctionnement ?

J’ai alors fait quelques tests avec d’autres adresses IP :

192.168.1.01 = 192.168.1.1
192.168.1.02 = 192.168.1.2
...
192.168.1.07 = 192.168.1.7
192.168.1.08 = (adresse non valable)
192.168.1.09 = (adresse non valable)
192.168.1.010 = 192.168.1.8
192.168.1.011 = 192.168.1.9
...
192.168.1.017 = 192.168.1.15
192.168.1.018 = (adresse non valable)
192.168.1.019 = (adresse non valable)
192.168.1.020 = 192.168.1.16
192.168.1.021 = 192.168.1.17
...

Les matheux et informaticiens ont sûrement déjà compris ce qui se passe : dans une adresse IP, faire précéder l’un de ses nombres par un zéro signifie qu’on l’écrit en base octale, c’est-à-dire par un chiffre allant de 0 à 7. Et là, en effet, 192.168.1.035 en base octale signifie bien 192.168.1.29 en base décimale.

En effectuant quelques recherches pour en savoir plus, j’ai également appris que mettre “0x” devant un nombre signifie qu’il est à interpréter en base hexadécimale (16 symboles), dans laquelle 192.168.1.0×35 signifie 192.168.1.53. Sachez également qu’une adresse IP peut également s’écrire en un seul nombre, sans points, en bases décimale, octale et hexadécimale, dans lesquels notre fameux 192.168.1.35 a pour équivalents respectifs 3229614371, 030040000443 et 0xc0800123. Je laisse les sceptiques essayer par eux-mêmes.

Et il ne s’agit là que de quelques exemples parmi une foule de bizarreries qui permettent d’obscurcir allègrement la résolution d’adresses sur des réseaux IP… et donc sur le web. Bon nombre de ces astuces sont notamment utilisées par les mails de fishing, dans le but de faire croire aux internautes qu’ils sont sur le site qu’ils croient alors que ce n’est pas le cas…

Actualité croquée

mercredi 10 septembre 2008

Rapidement, comme ça, un peu d’actualité en dessin :

De l’efficacité d’un bon referer

mardi 9 septembre 2008

Les quelques éventuelles personnes qui pourraient s’être amusées à rechercher des traces de ma présence sur l’internet auront probablement remarqué que le Celeri se fait globablement très discret sur la blogosphère. La cause en est simple : d’une part je ne lis que relativement peu de blogs, et d’autre part je ne les commente que lorsque j’ai l’impression d’avoir quelque chose d’utile à dire. C’est comme ça, ça fait partie de ma personnalité et de la façon dont j’ai construit ma vision du web.

Cette vision, combinée au fait que j’ai commencé très tôt à publier des écrits sur le net (il y a plus de 10 ans), a un avantage : je ne me sens absolument pas tiraillé par le besoin de recevoir des commentaires. Ceux que je reçois sont toujours les bienvenus, mais leur absence ne déçoit ni ne m’inquiète. De la même façon, je ne consulte que rarement mes statistiques de visite, et m’en sers principalement pour savoir d’où viennent mes lecteurs. Et, en toute logique, j’ai tendance à trouver globalement indélicat l’idée de disserter dessus.

Mais je vais cependant faire une petite entorse à cette règle. Car aujourd’hui, constatant une hausse anormale du nombre de visiteurs, j’ai cherché à en connaître la cause. Et je n’ai pas eu trop de mal à l’identifier :

Referers d\'un jour...

Ce que vous voyez là est un petit extrait de mes “referers” récents, c’est à dire de la page web ayant conduit mes visiteurs jusqu’à ce blog. On y voit clairement, outre le fait que mes lecteurs aiment bien Firefox, une cohorte d’amateurs du blog de kek, qui ont cliqué sur mon nom suite à un commentaire que j’y ai laissé – lequel était pourtant d’un intérêt plus que limité.

Ceci illustre bien une des caractéristiques intéressantes de la blogosphère : les commentaires ne font pas qu’enrichir (ou pourrir, selon les cas) les billets de l’auteur, ils permettent aussi aux autres lecteurs de découvrir de nouveaux blogs. Et en y réfléchissant, je me rends compte que je suis moi-même devenu lecteur régulier de certains blogs suite à un commentaire que j’ai trouvé particulièrement bien placé.

(En passant, petit clin d’oeil à mon referer d’un jour, j’aime bien le tien aussi !)

Sympa, non ?

Boot Camp : astuce de récup’

dimanche 7 septembre 2008

Ce week-end, j’ai changé le disque dur de mon Mac. Bah oui, après tout ça faisait plus d’un an qu’il se traînait ce pauvre petit volume de 200 Go, il était temps de passer à la taille supérieure. Et puis, il me tardait de commencer une période d’infidélité à durée indéterminée à Hitachi. Pourquoi cela ? Eh bien disons qu’en à peine un mois, deux personnes qui avaient un disque de cette marque l’ont vu rendre l’âme… et c’est moi-même qui le leur avait fait acheter. Et aucun des deux n’avait dépassé un an de fonctionnement.

J’ai donc opté pour un Scorpio Black 320 Go de chez Western Digital, un charmant DD pour portable à 7200 tr/min qui dépote bien comme il faut, comme vous pouvez le voir ici :

Vroum !

Reste à espérer que sa durée de vie est aussi impressionnante que ses performances…

A présent, comme le laisse entendre le titre de cette note, ce changement de disque m’a permis de découvrir une petite astuce. Alors que tous le sites sur lesquels j’ai fait des recherches prétendent qu’il n’est pas possible de cloner une partition Boot Camp d’un disque à l’autre, j’ai réussi à trouver un moyen simple de le faire.

Il est en effet inutile de copier les fichiers de l’ancienne partition vers la nouvelle juste après que l’Assistant Boot Camp l’a créée, car le Mac refusera alors de démarrer dessus. En revanche, si vous laissez à l’installeur Windows le temps de boucler la première partie de l’installation, alors ça marche. Concrètement, ça donne ça :

  1. sous Mac OS, lancez l’Assistant Boot Camp et créez une partition à votre convenance
  2. précisez à l’assistant que vous voulez installer Windows tout de suite et insérez le CD adéquat
  3. laissez l’installeur Windows démarrer, formatez votre partition Boot Camp en FAT32 (très important, sinon vous ne pourrez pas la modifier sous Mac OS) et laissez-le copier les fichiers d’installation dessus
  4. juste après le redémarrage initié par l’installeur, gardez la touche “alt” appuyée et choisissez de démarrer sur votre partition Mac OS
  5. une fois dans le Finder, copiez le contenu de votre ancienne partition Boot Camp dans la nouvelle

A partir de maintenant, vous pouvez continuer à utiliser votre installation de Windows telle qu’elle était avant le changement de disque. Deux détails cependant :

– bizarrement, la manip fait perdre l’attribut “caché” aux fichiers “desktop.ini” des dossiers du menu démarrer, ce qui provoque notamment l’ouverture de deux d’entre eux à chaque démarrage : faites le ménage en utilisant la recherche de fichiers dans les répertoires “C:\Documents and Settings\All Users\Menu Démarrer” et “C:\Documents and Settings\(nom d’utilisateur)\Menu Démarrer” et en utilisant la touche “suppr”.

– si vous trouvez que ce Windows met plus de temps à démarrer qu’avant, supprimez le dossier “C:\WINDOWS\Prefetch”, qui contient les fichiers de cache fabriqués par Windows pour accélérer le chargement des applications et qui ont besoin d’être reconstruits car les fichiers ne sont plus disposés de la même façon sur le disque.

Clé 3G Orange : petit add-on pour Macophiles

vendredi 5 septembre 2008

Souvenez-vous, la semaine dernière, je vous parlais de la clé 3G au format USB que l’opérateur Orange distribue depuis quelques temps pour permettre à nos micro-ordinateurs de se connecter à son réseau UMTS. Je vous y décrivais l’intérêt non négligeable de la chose et que la solution proposée remplissait assez bien sa mission… du moins sous Windows, car je n’avais pas de Mac (assez récent) pour tester l’appareil sur la plate-forme d’Apple.

C’est aujourd’hui chose faite, et je suis en mesure de vous annoncer que le résultat est tout aussi convaincant. Mais cette phrase n’est valable que dans le cas où le bon logiciel a été installé, ce qui n’est pas si évident. Pourquoi ? C’est simple, regardez bien. Entre ces trois pages web, laquelle vous paraît la plus digne de foi quant au fichier à télécharger ?

Premier cas, sur le site officiel d’Orange :

Deuxième cas, toujours sur le site d’Orange :

Enfin troisième cas, sur un blog francophone consacré au web 2.0 qui ne se prend pas trop au sérieux :

…Alors ? Imaginez que vous êtes connectés via un petit modem 56k : sur quel lien cliquez-vous en premier ?

Eh bien figurez-vous que seul le troisième aboutit à une application fonctionnelle (Business Everywhere 1.0) ! Le premier pointe sur une autre version du même logiciel (curieusement numérotée 1.0 elle aussi bien que plus ancienne de quelques jours), tandis que le second permet de télécharger “Connection Manager”, qui est beaucoup plus léger, mais ne parvient pas à prendre le contrôle du matériel. C’est ce qu’on peut appeler un “epic fail” du côté d’Orange, qui se voit ici sauvé par un simple blog… c’est aussi ça, le web 2.0 !

J’en profite pour signaler que j’ai eu des problèmes avec la clé très similaires à ceux observés sur le PC : après avoir perdu le PC ou avoir été branché-débranché deux ou trois fois, le bidule n’est plus reconnu par le logiciel et la seule solution est de redémarrer. Ceci me pousse à croire que le problème ne vient pas de Windows mais de la clé elle-même, finalement.