La nuit dernière j’ai rêvé que Koh Lanta proposait des épreuves d’admin sys. C’était assez fou, avec un Denis Brogniart surexicté qui hurlait “et maintenant l’équipe des jaunes va devoir installer un cluster Kubernetes sur un Raspberry Pi émulé par un windows server, mais attention nouvelle règle, l’utilisation d’un IDE et du YAML est interdite !”. Sur le coup ce matin ça m’a fait marrer mais ça m’a surtout fait prendre conscience que nos métiers deviennent archi compliqués et spécialisés, et que le temps du Keep It Simple Stupid semble tristement révolu.
Cyril
Nos lecteurs ont du talent !
C’est encore Christophe M. qui nous envoie un email cette semaine et qui insiste, le lourd, pour nous parler de la métaphore du singe sur l’épaule. Alors ça n’a qu’un lointain rapport avec le sujet du DevOps, mais force est de reconnaître que la lecture de cet article ferait du bien à certains managers, débutants ou confirmés, alors on te remercie quand même Christophe !
Alors que la plèbe utilise encore nslookup qui est resté deprecated un bon paquet d’années avant d’être à nouveau réintégré par l’ISC, les élites eux utilisent dig depuis longtemps, alors vous aussi lancez un regard dédaigneux vers la populace et apprenez à utiliser dig grâce à ce très chouette tuto. On remercie Laure R. de nous avoir proposé cet article, merci soeurette !
Du côté des ops
Il y a des joies simples et saines dans la vie, comme se moquer d’un développeur Java ou mettre en place une stratégie pour scaler son architecture big data, et c’est justement de ça dont va vous parler Jordan Tigani de chez Motherduck. C’est un article passionnant qui fait un grand tour d’horizon depuis les débuts de mapreduce jusqu’à aujourd’hui, en abordant aussi bien la partie hard que soft. Indispensable pour ceux qui ont les doigts plongés dans la data toute la journée.
Question pour Jean Michel maintenant ! Top ! Je suis un outil conçu pour automatiser le provisionnement et la gestion des ressources d’infrastructures, qu’il s’agisse de machines virtuelles, de conteneurs, de réseaux, de bases de données ou d’autres services cloud. Il permet aux équipes d’infrastructure de décrire leur infrastructure cible dans un format déclaratif plutôt que de la configurer manuellement, je suis, je suis ? Oui Jean-Michel c’est bien de Terraform dont il s’agit, bravo, vous remportez ce magnifique article qui vous explique les bénéfices de Terraform en 5 minutes !
Et en parlant de Terraform, les coyottes de chez Spacelift.io nous partagent les 20 best practices à appliquer lorsque vous commencez à utiliser Terraform, c’est à portée de tout le monde et super didactique.
Il y a quelques semaines on vous parlait du scan url de Cloudflare Radar qui continue à s’étoffer de plus en plus, (jetez un coup d’oeil, ça commence à être pas mal sexy), mais cette fois-ci, les cowboys de CloudFlare nous partagent un chouette post sur la façon dont sont gérées leurs instances Prometheus, plein de bonnes choses dont on peut s’inspirer surtout si vous avez des problèmes de scaling (de leur côté ils communiquent sur 916 instances Prom…).
On continue un peu sur la lancée du monitoring avec ce post de Nagaraj Tantri qui nous explique les vertus du test en environnement de production. Le post oscille entre le troll et les évidences mais a pas mal enrichi nos réflexions ici, et c’est plus fin qu’il n’y paraît, à lire à tête reposée.
Mettre toutes ses variables d’environnement comme un gros sale dans son .env n’est pas une solution, même si on l’a tous fait, et aujourd’hui c’est Tony qui nous en parle en développant quelques solutions pour perdre cette mauvaise habitude.
On vous a beaucoup parlé de Gitops dans les dernières itérations de notre newsletter, et cette fois-ci, c’est à travers la voix de Brendan Burns, un des créateurs de Kubernetes, qu’on vous en reparle. C’est en effet lors de la dernière GitOpsCon que Burns a commencé par expliquer comment GitOps et Kubernetes sont intimement liés et que pour lui GitOps est une évolution de Kubernetes. Un article passionnant à lire chez les copains de TheNewStack, qui fait néanmoins un peu froid dans le dos quand on sait que Burns est aussi VP chez la pieuvre de Redmond.
Pour conclure, on vous partage ce post de blog de Ross Brodbeck qui enrichit de ses réflexions le fameux chapitre 3 du SRE Book de Google sur la gestion des risques quand on est un SRE.
Un peu de cybersec ?
RaaS le bol !
Chez les piratins on ne connaît pas la crise, et les Ransomwares as a Service (RaaS) continuent d’évoluer pour devenir l’une des menaces les plus redoutables dans le paysage déjà bien parano de la cybersec. Ce modèle, permettant à des scripts kiddies ou à des organisations criminelles d’accéder facilement à des outils sophistiqués de ransomwares, connaît une évolution fulgurante, accentuant ainsi le danger qu’il représente pour les entreprises et toi, plus moi, plus eux, plus tous ceux qui le veulent comme dirait Grégoire, notre pentester favori.
Selon des rapports récents de plusieurs organismes de sécurité, les RaaS sont en constante expansion, avec une augmentation significative du nombre de groupes proposant ses services sur le Darknet. En 2022, le nombre de ces groupes a augmenté de plus de 150 % par rapport à l’année précédente.
Une étude réalisée par le FBI a révélé qu’en 2021, les attaques de ransomwares ont causé plus de 20 milliards de dollars de pertes financières dans le monde, avec des victimes qui paient en moyenne des rançons de plusieurs centaines ou milliers de dollars, autant dire que faire du RaaS est lucratif, surtout qu’on se voit maintenant proposer des kits prêts à l’emploi avec toutes les options indispensables by design (anonymat via des vpn douteux, cli documenté, interfaces travaillées, etc).
Les cibles des RaaS se sont également diversifiées : alors qu’avant les entreprises étaient les principales victimes, les particuliers et les organisations publiques sont désormais également visés. Les secteurs de la santé, de l’éducation et des services financiers sont particulièrement vulnérables, étant donné la sensibilité des données qu’ils détiennent et le manque de moyens mis à disposition pour contrer ce type de menaces.
Même si certains groupes très actifs sont arrêtés, l’évolution constante du nombre d’acteurs, associée à des chiffres alarmants, souligne l’urgence d’une prise de conscience et de mesures de sécurité renforcées pour lutter contre cette menace persistante. Pour finir, et si vous voulez voir à quoi ressemble une attaque par RaaS, lisez ce post forensic des outlaws de chez Varonis, c’est vraiment super instructif.
On va essayer de repartir sur des sujets plus légers, mais la cybersec n’est décidément qu’un monde rempli de larmes et de sang. Allez, il y a bien Wireshark qui vient de passer en version 4-0-6 et qui amène une belle liste de bug fixes et de nouvelles fonctionnalités, et impossible de ne pas vous partager cette liste des 20 meilleurs threat hunting tools selon les barjots de CyberSecurityNews.
On peut aussi s’attarder quelques minutes sur l’article des joyeux drilles de chez Talos qui nous parlent d’un nouveau PaaS (Phishing as a Service, quel monde merveilleux…) surnommé Greatness avec le mode d’attaque expliqué step by step comme on dit à Montargis.
Il y a aussi QBot, le malware plein de malice qui fera rire petits et grands en exploitant une faille dans une DLL du Wordpad de WIndows, mais en même temps qui utilise ce genre d’OS ?
Terminons le plus sereinement du monde avec le malware Legion qui se met tristement à jour en se dotant de fonctionnalités étendues permettant de compromettre des serveurs SSH ainsi que des identifiants AWS associés à DynamoDB et CloudWatch.
Les apps à la cool
Aujourd’hui on vous parle de Motus (rien à voir avec l’émission TV ne partez pas) une application écrite en Rust et qui génère des mots de passe avec plein d’options vraiment cool, et que vous pouvez intégrer facilement dans pas mal de routines au boulot. Il y a aussi Pyscan qui propose un scanner de vulnérabilités de dépendances pour vos projets python, on est sûr que vous allez lui trouver une utilité. On a aussi beaucoup aimé ce repo Github qui met à disposition une webapp de test constituée d’une foule de microservices, c’est vraiment idéal pour tester son infra et travailler sur une sandbox. Et pour conclure on a découvert -certainement après tout le monde- ce repo Github qui propulse Super-Linter, un linter universel qui prend en charge une large gamme de langages. Initialement développé par la team DevOps de Github pour les aider à maintenir leur documentation et leur code de manière cohérente, ils l’ont rendu accessible en open source afin que l’ensemble de la communauté puisse l’utiliser et l’améliorer.
J’aime lire
The art of capacity planning
On a décidé de vous parler d’un vieux bouquin, qui a dû être édité un peu avant 2009 ou pas loin en tout cas, et si on a décidé de vous en parler, ça n’est pas par nostalgie non, car notre coeur est dur comme la pierre et nous n’avons plus aucune illusion sur notre métier, mais plus pour les qualités innées de ce livre.
Ecrit par John Allspaw, ancien boss tech de Flickr (oui ça date) et de Etsy, pas mal de réflexions sont encore d’actualité et nous permettent aussi de mesurer le chemin accompli durant cette dernière décennie. Et c’est passionnant de remettre le nez dedans à notre époque ! L’ouvrage aborde plusieurs concepts clés liés au capacity planning. Il explique en détail ce que c’est, comment le mesurer et comment évaluer la charge qu’un système peut encaisser dans une période donnée. Allspaw met en évidence l’importance de comprendre les limites d’un système et les conséquences de les dépasser. A une époque où les offres de AWS étaient considérées comme avant-gardistes, Allspaw aborde également des sujets tels que la gestion des pics de charge, la mise à l’échelle des systèmes, l’optimisation des performances et la résolution des goulots d’étranglement. Il explore différentes approches pour équilibrer la demande et la capacité, en tenant compte des contraintes et des coûts associés. Un classique qu’on vous dit.