Quels sont les news du cloud et du DevOps en ce mois de janvier 2023 ?
Aujourd'hui on va parler de hardware et de failles de sécurité.
Ça faisait un petit moment qu'on n'en avait pas parlé.
Alors, qu'est-ce qu'on va voir dans cet épisode juste après le jingle ?
Bienvenue sur Radio DevOps, la balade aux diffusions des compagnons du DevOps.
Si c'est la première fois que tu nous écoutes, abonne-toi pour ne pas rater les futurs épisodes.
C'est parti !
Bienvenue à toi chers compagnons, dans Actu DevOps, ton émission de veille cloud DevOps mensuelle.
Comme d'habitude, reste bien jusqu'à la fin pour découvrir notre petite sélection d'outils.
Et avec moi ce soir pour parler d'actu, j'ai Nicolas, bonsoir Nicolas.
Salut tout le monde !
Nous avons aussi René, bonsoir René.
Bonsoir à toutes et tous.
Et enfin, Damir, bonsoir Damir.
Salutation.
Salut Damir.
J'en profite pour te rappeler que chaque co-animateur a son interview sur justement le podcast.
Tu peux aller découvrir à chaque personne via son épisode dédié.
T'en apprendras plus sur nous, Justin.
Et comme c'est le premier podcast de l'année, j'en profite pour te souhaiter une bonne année remplie de beaux projets et à vous trois.
Mais je vous l'ai déjà souhaité, une bonne année aussi remplie de pleins de beaux projets.
Petite précision, cette année nous allons atteindre les 5000 abonnés sur YouTube.
Et pour fêter ça, il va y avoir une FAQ, une offert aux questions.
Et pour te permettre de poser des questions, il faut simplement le faire en commentaire de la vidéo d'annonce qui sera sur YouTube.
Le lien est en description de ce podcast si tu nous écoutes en audio et que tu veux poser des questions.
Que ce soit à moi ou aux autres personnes de la chaîne.
Mais c'est principalement moi qui vais répondre si tu as des questions à poser aux autres personnes de la chaîne.
Je leur demanderai et je suis sûr qu'ils se feront un plaisir de répondre.
Alors on va commencer par notre traditionnel courrier des auditrices et auditeurs.
Et j'aimerais justement te lire un message de Growuna qui nous a laissé un message sur YouTube justement.
Alors Growuna nous dit qu'il a découvert notre chaîne il y a quelques semaines seulement.
Et ce message il date justement il y a deux semaines.
Et malgré le fait qu'il ne soit pas un mordu de DevOps, il ne rate aucune des vidéos et c'est plutôt étrange.
Il aime beaucoup notre approche, il nous encourage à continuer.
Et même si c'est pas toujours facile de continuer à maintenir un podcast en tout cas.
Et ben gros, merci pour ta fidélité assez récente.
Je crois que je l'ai dit sur YouTube mais j'espère que tu vas aller piocher justement dans les vieilles vidéos et vieux podcast que tu pourras découvrir justement.
Parce que si tu as réveillé récemment il y a des tonnes de podcasts à les voir.
C'est vrai que nous on a une approche différente du DevOps, même entre nous on n'a pas tous la même.
Et petite personnelle moi j'essaie de promouir justement une approche très inclusive et très complète.
Qui ne se limite pas uniquement à l'automatisation.
Je sais que c'est un travers qu'on voit parfois dans les grandes boîtes.
Et ben justement je vais vous laisser la parole à tous les trois sur ce sujet de des approches différentes du DevOps.
Qui veut prendre la parole.
Oui, je vais dire je vais prendre la parole.
Du coup à moi je pense que comme le disait un peu Christophe, on a tous des expériences et des vécues un peu complémentaires sur le DevOps.
Et on a vu à nous je ne sais plus combien on est au total en nombre de podcasteurs qui tournons sur le podcast.
Mais on est quand même maintenant un bon nombre de personnes.
Donc je pense qu'on a la capacité de donner un panorama du DevOps, c'est de son histoire qui est quand même assez large.
Et ça c'est quelque chose qui est plutôt positif.
Nicolas tu veux prendre la suite ?
Et de mon côté je ne suis pas sûr qu'on soit totalement représentatif.
Parce que récemment j'ai discuté avec une personne qui m'expliquait ce que c'était que le DevOps.
Alors c'était une personne qui était développeur et qui souhaitait devenir DevOps.
Alors bon j'ai commencé à rigoler un peu parce que je ne vois pas comment on peut devenir DevOps.
Mais ça c'est une discussion qu'on a déjà eue.
Et là elle a passé toute la soirée à m'expliquer que DevOps c'était une personne qui faisait ceci, qui faisait cela.
Et à un moment donné elle m'a aussi expliqué que les DevSecOps étaient supérieurs au DevOps.
Parce qu'ils intervenaient plutôt dans le projet et qu'ils intervenaient tout au long du projet.
Alors bon je lui ai expliqué gentiment que tout ça c'était du bullshit marketing de SN ou de boîte de consulting.
Mais on a terminé la soirée pas d'accord là dessus.
Il va falloir que j'intègre un petit peu plus ça dans ma vision de ce que c'est que le DevOps.
Et d'inclure ça un petit peu plus dans les discussions.
Et comme je ne suis pas totalement d'accord avec ça, le meilleur moyen de propager la bonne parole,
c'est d'expliquer ça aux gens qui débutent dans le métier.
J'ai récemment donné un cours dans une école.
Je leur ai bourré le crâne pendant 4 heures de ce que c'était que ma vision du DevOps.
Je pense que le prochain cours je vais leur expliquer ce que ça peut être dans d'autres sociétés parce que sinon ça risque de leur faire mal.
Peut-être qu'il faudrait qu'on en discute tous les deux justement comme je donne aussi des cours.
J'espère que tu l'aies encouragé à venir nous rejoindre et à écouter le podcast peut-être.
J'aurais peut-être dû.
Tu pourras, René, est-ce que tu as un petit truc à dire justement à ce sujet-là ?
Pas spécialement, je vous que je sais qu'il y a des...
On n'est pas toujours d'accord sur ce fameux post DevOps.
Après, il faut essayer d'expliquer.
Et puis, parfois aussi peut-être faire des concessions de nos côtés pour essayer d'arriver à tendre vers travailler ensemble.
Et c'est ce qui est le plus important.
Tout à fait, le plus important c'est quand même qu'on arrive à trahir ensemble dans l'équipe et dans l'entreprise.
Toi, si tu nous écoutes, tu peux laisser aussi un message sur Apple Podcast.
Il n'y en a toujours pas.
J'ai beau regarder.
Il n'y en a pas.
Sur podcast addict, là, il y en a un peu plus sur YouTube ou même évidemment sur le forum.
Tu peux passer sur le forum pour nous laisser un petit message.
Alors, on va passer à la première news et c'est moi qui m'y colle.
Du coup, je vais vous parler de QR-NO.
Alors, je pense que ça se prononce comme ça.
QR-NO Computing donc qui lève 35 millions d'euros pour industrialiser ces data centers et correspondables.
Alors, QR-NO, c'est quoi ?
Eh bien, c'est un des pionnets français du Cloud Green,
puisque en fait, il développe une solution pour réutiliser justement la chaleur produite dans les data centers.
Et cette chaleur, il utilise pour chauffer les bâtiments.
Cette entreprise a l'annoncé justement le 10 janvier,
cette fameuse levée de fonds de 35 millions d'euros pour passer à l'échelle et vraiment industrialiser son système.
Nous, on a déjà fait trois épisodes de podcast dédiés à l'écologie
et on le sait, dans les années à venir,
ça va être un des enjeux du Cloud de réduire son emprunt.
Parce que si on continue comme ça, on risque d'avoir de sérieux problèmes.
Les data centers s'achaufent et s'achaufent même beaucoup.
Et cette chaleur, habituellement, elle est évacuée grâce aux climatisations.
C'est donc de la chaleur qui est perdue et de l'énergie qui est perdue.
Et ça, ça a deux impacts néfastes.
Le premier, ça augmente la consommation électrique
et le deuxième, l'empreinte carbone des data centers,
puisque là, ne va pas sans l'autre.
Eh bien, QR-NO prétend pouvoir récupérer 95% de cette chaleur
et s'en servir pour alimenter des chaudières.
Et d'ailleurs, en septembre 2022,
Claver Cloud annonçait justement un partenariat avec eux.
Je vous mets le lien en description.
Il y a deux liens justement. Il y a deux articles en description.
Alors concrètement, les data centers de QR-NO sont composés de chaudières numériques.
Alors t'imagines un gros châssis de 250 kilos d'un mètre de haut sur 30 cm de large.
À l'intérieur, ça embarque 12 serveurs et entre ces serveurs,
il y a des tuyaux en cuivre.
Il y a un des tuyaux qui amènent l'eau froide et l'autre qui fait repartir l'eau chude.
Vue de l'extérieur, pour un plombier, c'est une chaudière.
Vue de l'intérieur, pour un informaticien, c'est un râcle de serveur informatique.
Ça, c'est comment nous le résume Paul Benoît, le président écofondateur de QR-NO.
Je ne sais pas si tu t'en souviens,
mais c'est parti de simples radiateurs dans des logements sociaux,
mais maintenant, les data centers sont directement implantés sur des sites
avec de grands consommateurs de chaleur.
Par exemple, l'un d'eux est dans le sous-sol d'un centre aquatique en Finlande
et chauffe tout le bâtiment.
Aujourd'hui, QR-NO espère passer à l'échelle industrielle,
grâce justement à cette levée de fonds.
Côté déploiement géographique, le fournisseur de Claude, qui se souvient,
se concentre sur la France et les pays scandinaves,
qui sont un peu à la pointe en termes d'économie d'énergie.
Côté prix, il assure être déjà concurrentiel
par rapport aux autres acteurs du Claude et vise à être quatre fois moins cher.
Pour être honnête avec toi, je suis allé sur le site,
et je n'ai pas vraiment vu toutes les fonctionnalités Claude qu'on pourrait voir.
Par contre, s'il t'intéresse d'aller louer des serveurs,
ça peut être intéressant.
Je ne sais pas quelles sont vos avis là-dessus sur ce genre de news.
Nicolas.
Je crois que ça se prononce QR-NO exactement.
J'ai commencé à discuter avec eux par rapport à ma boîte,
donc CGWire et globalement, on traite beaucoup de vidéos.
Sur le côté écologique en printes carbone, on se posait la question.
On a envisagé d'utiliser des GPU pour réduire le temps de calcul
et donc toute l'énergie consommée.
Mais au final, la puissance brute est quand même utilisée.
On a été approchés par QR-NO et on s'intéressait déjà pas mal à ça à l'époque.
Il faut voir ça comme une grosse unité de calcul.
Par contre, ce n'est pas fait pour mettre un serveur d'APU
ou des choses comme ça parce qu'il n'y aura pas beaucoup d'intérêt.
Par contre, si vous avez des gros traitements, du traitement d'image,
du traitement vidéo, tous les traitements d'intelligence artificielle
qui pourraient bouffer du CPU, allez-y,
ce sera toujours plus intéressant que d'être dans n'importe quel autre data center
qui ne fait que transférer la chaleur vers l'extérieur.
Là, cette chaleur, elle est vraiment récupérée de manière utile.
Je crois avoir entendu dire que le bassin olympique qui va être utilisé en 2024
va être chauffé par QR-NO avec les infrastructures olympiques qui vont être hébergées dessus.
C'est plutôt intéressant, je trouve.
Et toi, René, t'en penses quoi ?
Je pense que c'est plutôt une bonne chose.
Je ne suis pas sûr, par contre, que je me semble avoir vu une news aussi
de Equinix qui faisait ça, sur leur gros data center français.
Mais sur le nouveau qu'ils ont mis en place, je crois,
il travaille avec, je ne sais plus si c'est une PC,
la chaleur est récupérée de la même manière.
Equinix, ce n'est pas français, c'est sûr.
Et moi, je trouve que c'est plutôt positif de récupérer cette chaleur plutôt que de la perne.
Je pense que c'est une bonne solution.
Non, c'est une bonne idée. Je ne connais pas du tout comme acteur.
Je vois que les calculs sont spécialisés dans les calculs bruts,
donc la 3D, des fermes de calcul distribuées.
C'est un marché qui me semble assez niche en soi.
Mais je pense que c'est une des solutions pour récupérer le maximum possible.
Sachant que ça ne réduit pas l'empreinte carbone du data center,
ça réduit l'empreinte carbone des chaudières,
indirectement, on va dire, du data center.
Maintenant, c'est intéressant.
Je me pose la question, si on a des calculs,
on va dire des déficiences carbone,
aujourd'hui, ils ne prennent pas en compte
si on réutilise des choses moins typiquement,
ils prennent en compte la dépense d'énergie.
Imaginons ici une dépense d'énergie X.
Il y a un gros chat qui veut intervenir aussi.
On a une dépense d'énergie X qui est créée.
Le facteur principal, c'est souvent de la réduire,
de baisser cette facteur de dépense énergétique.
Et là, la réutiliser pour d'autres choses pour éviter les pertes,
ça reste aussi un axe intéressant,
mais je n'ai l'impression que ce n'est pas forcément autant pris en compte dans les calculs.
Donc, à voir si, à terme,
quand on va avoir des outils plus perfectionnés pour calculer l'impact écologique,
on va prendre en compte ces choses-là.
C'est vrai que, comme tu le dis,
déjà, le chat, on ne voit pas ceux qui nous suivent en podcast,
mais ceux qui suivent en vidéo, voient bien le chat qui veut absolument intervenir.
Mais comme tu le dis,
si on a une dépense d'énergie qui sert à plusieurs choses,
on n'est pas capables aujourd'hui, j'imagine, de la quantifier.
Mais moi, je trouve ça super intéressant d'aller par là.
C'est-à-dire, on va dépenser l'énergie et on va essayer de rationaliser toutes les dépenses d'énergie
pour les réutiliser, les réutiliser, les réutiliser,
pour, du coup, améliorer l'efficience énergétique.
C'est-à-dire que, comme un radiateur, on va pouvoir essayer d'atteindre des au-rendements.
Et là, la dépense énergétique, on va essayer de pouvoir l'utiliser à plusieurs choses.
Si on peut réduire les dépenses de climatisation, ce serait quand même pas mal.
Il y a d'autres petits projets sympas,
comme de toute façon, on chauffe et si on chauffe à l'électrique,
il y a une start-up qui s'est montée pour miner de la crypto-monnaie,
pour réchauffer de l'eau.
Ce qui est intéressant, c'est qu'en fait, l'énergie que de toute façon on va dépenser,
autant l'utiliser pour faire quelque chose d'utile à côté.
Ce projet-là, c'était l'inverse.
Mais l'intérêt de Carnot, c'est que de toute façon, on va bouffer du CPU
et plutôt que de mettre de la clim en plus.
Là, c'est vraiment les deux aspects où on joue sur les deux.
Non seulement on ne refroidit pas avec un autre système de refroidissement,
mais en plus, la chaleur qui est dégagée est utilisée pour quelque chose d'utile.
Donc chauffer une piscine, chauffer des crèches, chauffer les bâtiments autour
pour de l'eau chaude sanitaire du chauffage.
C'est vraiment j'ai l'impression qu'il y a les deux pistes.
On a les acteurs à la « scaloway » qui prennent le pari de réduire le chauffage au maximum
pour d'autres solutions d'aération plus efficaces.
Et ceux qui se disent que dans tous les cas, il va falloir le faire.
Donc autant faire ce qu'on a à faire, mais réutiliser derrière
pour maximiser le rendement de tout ça.
Donc ça, c'est intéressant de voir les deux approches qui se combinent.
Après, il y a une chose qui me fait douter sur l'échelle de ces choses-là.
C'est que de connaissances, il y a quand même énormément de data centers,
voire la majorité, qui sont dans des zones industrielles, qui sont assez éloignées.
Donc je ne sais pas si ça va être facilement généralisable ou pas.
En tout cas, l'implémentation va être encore plus cruciale pour les data centers.
Ce qui est déjà aujourd'hui un vrai casse-tête en termes de place, de prix.
On ne va pas se mentir.
Et aussi, en termes d'arrivée électrique aujourd'hui,
data centers sont surtout dépendants de ça.
C'est de voir avec les opérateurs énergétiques
où s'implémenter pour être le mur rondondé et le plus sûr possible
de ne pas casser la zone de puissance du secteur.
Exactement.
Et l'énergie qui est télécommunication aussi.
On pourrait parler aussi des centrales de chaleur en ville,
qui sont parfois faites avec les déchets,
mais on pourrait imaginer ce genre de data centers
qui alimentent en chaleur les villes ou autre chose.
En tout cas, je pense qu'il y a des pistes à aller,
je voulais en parler justement pour qu'on imagine
un aviaire possible pour nos data centers
sans forcément s'inquiéter.
Alors, René, tu vas nous parler justement de hardware aussi
et d'économie d'énergie quelque part,
parce que je crois savoir que cette architecture-là
est un peu économe en énergie.
Oui, j'en ai déjà parlé un petit peu.
C'est l'architecture Risk Five.
Et jusqu'à maintenant, c'est vrai que c'est une archique
qui est économe en énergie, mais qui en termes de performance
n'était pas forcément au niveau de ce qui existe
chez Intel ou AMD, etc.
Mais le point fort aussi, c'est que c'est de l'open hardware.
Donc les spécifications sont, on va dire, open.
Et l'Union européenne, il y a une volonté
quand même de débloquer des fonds.
Donc là, on parle, c'est une news qui vient de l'usine
de l'usine digitale, donc le site en ligne,
qui nous dit que l'Union européenne va débloquer
260 millions pour essayer de faire progresser un petit peu
la partie performance, etc.
avec des nouveaux processeurs autour cette architecture-là
et aider l'écosystème à bouger vers ce type d'architecture
pour du calcul HPC, donc high performance computing,
donc ferme de calcul, calcul, etc.
Et donc voilà, c'est une initiative pour faire ça
aussi de manière plutôt souveraine,
c'est-à-dire avec des acteurs européens.
Et il y a déjà un programme qui a été lancé,
il y a un petit moment qui s'appelle E-Pay,
E-European Processor Initiative,
qui cherche aussi à développer ces processeurs-là
de manière le plus possible européenne.
Il y a une startup qui a été créée à partir de ce programme-là
qui s'appelle Cypherl, donc c'est une startup qui est franco-allemande,
majoritairement française, si j'ai bien compris,
avec des antennes en France, en Allemagne et en Espagne,
qui a été financé à 25 millions d'euros
et qui développe un processeur qui s'appelle REA.
Et ce processeur-là, alors là c'est un peu compliqué,
il faudrait dire un peu plus sur le sujet.
Il y a eu un partenariat avec ARM pour faire en sorte,
enfin voilà, dans un premier temps s'appuyer sur la site lecture ARM,
mais aussi apparemment, surtout sur la prochaine version,
il y aura décor ARM, si j'ai bien compris, et décor RISC 5.
Voilà, donc un processeur en tout cas qui sera,
on l'espère suffisamment en performant pour faire du HPC dessus
et donc voilà, l'Union européenne rajoute entre guillemets de l'argent
pour aider ensuite les universités et les industriels
à basculer vers, voilà, enfin,
essayer d'aider à basculer vers ce type d'architecture-là.
Et voilà, on verra ce que ça donne,
mais voilà, je trouvais cette news assez intéressante
et voilà, je vous laisse la parole si vous voulez commenter un petit peu dessus.
Je vais peut-être donner un peu de contexte global,
c'est vrai que là on sort quand même de plusieurs années compliquées
d'un point de vue géopolitique, on va dire, pour être simple et global.
On a eu la crise du Covid, on a eu du coup qui s'en est un peu enchaîné la guerre en Ukraine,
et en fait tout ça, ça a un peu rappelé que la mondialisation,
ça peut apporter des choses, mais ça peut aussi très rapidement être
une grosse faiblesse structurelle dans les économies,
surtout les économies modernes, entre guillemets,
qui sont ultra interdépendantes des échanges, des choses comme ça.
Et ce qui est assez fou, c'est qu'il y a eu vraiment,
j'ai l'impression, il y a quelques, c'est en 2022,
l'année dernière, il y a eu vraiment des plans qui sont un peu débarqués de tous les côtés,
notamment aux États-Unis qui ont mis, je crois quasiment 300 milliards sur la table
pour réapproprier, on va dire, la création des micro composants sur leur territoire.
En Europe aussi, il y a un plan un peu moins élevé, mais il y a eu un plan en signe.
Là on voit qu'il y a de nouveau un plan de soutien.
Donc on voit bien qu'il y a vraiment un gros intérêt qui est revenu en tout cas
sur la partie hardware, parce que la partie hardware, pour le coup,
c'est pas la chose qu'on peut délocaliser en 10 minutes,
il faut les usines, les compétences pour faire tourner les machines, etc.
Sachant qu'il faut bien comprendre que le but, je pense pas que le but soit d'avoir
de faire les meilleurs composants au monde, ou entre guillemets, être sur les choses les plus meilleures
au niveau qu'elle a été prise, je pense que le vrai but derrière tout ça,
politiquement, c'est de se dire si demain on a pu de possibilités d'importer,
on ne sera pas bloqué.
Je prends un exemple actuellement, un pays comme la Russie qui est quand même relativement
bloquée notamment pour l'armement, par l'industrie des micro composants,
parce qu'ils n'ont quasiment pas d'usines là-bas, et ils font tout importer.
Et ça je pense que c'est typiquement quelque chose que les pays veulent éviter,
ce qui fait qu'ils se disent, on vaut mieux faire des filières locales,
en plus quitte à ce que ce soit deux générations avant, voire trois générations avant,
en vrai, c'est pas grave, on fera avec, mais en tout cas avoir une capacité de résilience
en cas de crise majeure, entre guillemets.
Donc ça c'est poids, c'était juste mes deux scènes pour donner un peu plus de contexte
sur toutes ces annonces là.
Mais moi je trouve que c'est plutôt cool et ça va peut-être relancer aussi un peu
de concurrence ou peut-être un peu d'innovation pour essayer de sortir un peu des clous
et trouver des choses rentables ou différentes.
Donc je pense que c'est une bonne chose pour le coup.
Je vais prendre la suite parce que je voudrais approfondir ce que t'as dit.
Et au niveau géopolitique, alors tu dis on sort, mais on n'est pas vraiment encore sorti.
Typiquement aujourd'hui on a des questions sur quitte de taïwan et on sait que la Chine
a une visée sur taïwan et on sait qu'à taïwan il y a beaucoup de fondeurs, notamment toutes
les puces de apple si je dis pas de bêtises sont créées là bas, fabriquées là bas.
Et donc s'il y a une guerre qui s'étend, la Chine qui veut annexer taïwan, qu'est-ce
qui va se passer avec les puces ?
Donc c'est important de réindustrialiser puisque la mondialisation ça marche quand
il n'y a pas de problème géopolitique, les côtés des problèmes géopolitiques on est un peu bloqué.
Et moi je trouve que cette news est très intéressante parce que ça approuve déjà
que l'Europe tente à faire quelque chose mais surtout prend la voie de l'open source.
Et ça je trouve ça que c'est peut-être le truc le plus intéressant dans cette news c'est que
l'Europe décide de développer quelque chose en open source pour que tous les pays évidemment
européens puissent en profiter j'imagine. Mais pas que, pour peut-être montrer qu'on peut
faire quelque chose avec le libre et donc voir si on peut sortir ou faire un pas de côté
par rapport à ce qui est fait aujourd'hui puisque ARM c'est pas libre mais tout le monde peut fabriquer
des puces sous licence et tout ce qu'il y a AMD et Intel par contre c'est pas du tout libre du tout.
Donc là c'est une bonne chose je trouve pour toutes ces puces là. Nicolas je te laisse la parole du coup.
Je vais moi aussi compléter un petit peu sur Taiwan en fait très peu de gens le savent mais si toutes
les puces les plus entre guillemets critiques et plus vendues tu citais Apple mais je crois que
Broadcom et Compagnie sont toutes fabriquées là bas parce qu'en fait c'est Taiwan c'est les seuls à savoir
fabriquer ou je sais plus à combien on est en nez de nanomètres et en fait c'est les seuls ingénieurs
qui savent faire ça sont à Taiwan et en fait c'est tellement critique que la Chine l'orne dessus
c'est tellement critique que les États-Unis sont prêts à rentrer en guerre pour protéger Taiwan
et c'est tellement critique que tous les ingénieurs ont pour consigne de si jamais le Taiwan est envahi
ils doivent détruire les machines et tous les documents de secrète fabrication donc on risque de si jamais
la Chine veut vraiment en veillère Taiwan ça risque d'être très marrant pour les années qui viennent
on va revenir quelques années en arrière pour beaucoup de trucs donc nos iPhone vont grossir
et ainsi de suite ils seront plus lent ils vont plus consommer etc
et après il y a le deuxième volet c'est effectivement c'est le fait qu'on se réapproprie tous ces trucs là
je trouve que c'est une excellente chose parce qu'il y a encore une vingtaine d'années on avait beaucoup de fabricants
en Europe on avait Nokia pour tout ce qui était télécom on avait Thomson qui faisait quand même pas mal de choses
que ce soit niveau réseau informatique et ainsi de suite et toutes ces boîtes là se sont faits racheter
et la France s'est fait piller alors piller gentiment c'était parfaitement conscient on a récupéré du pognon
mais à quel prix parce que finalement aujourd'hui tout est fait là bas et je trouve que c'est pas mal que la tendance
soit un petit peu en train de se s'inverser je crois que c'est René qui disait et Damir aussi le fait qu'il y a un petit peu de concurrence
ça va aussi bouger certains qui sont un petit peu de s'enliser comme Intel avec ces processeurs qui commencent à être un petit peu vieillissant et puis très innovant
et le dernier truc c'est qu'en France on a quand même un savoir-faire assez important parce que les machines qui sont utilisées à Taïwan
pour fabriquer les microprocescesurs en réalité sont conçus à priori par des français et fabriqués en France puis expédier là bas
c'est juste dommage qu'on ne sache pas les utiliser en France pour fabriquer aussi précisément
à chaque c'était européen je ne sais pas si c'était français mais c'était danois mais j'ai pas de source précise
donc il va falloir que ça soit intéressant
en tout cas c'est au sein de l'Europe et c'est mieux qu'une fois aux Etats-Unis
après là on voit que les Etats-Unis étaient dans le même problème que nous en fait
ce qu'on dit les Etats-Unis ils ont racheté nos boîtes et tout mais eux-mêmes ont eu un coup un peu de chaud en se disant
bah non on a délocalisé aussi tout en fait
oui mais justement là avec les dernières actualités qu'il y a eu on s'est rendu compte que les Etats-Unis se rendaient compte aussi
qu'il y avait un problème de ce côté là donc ils veulent rapatrier la fabrication de plein de trucs aux Etats-Unis
de toute façon les Chinois vont être de moins en moins compétitifs parce que eux aussi ils veulent un bon niveau de vie
et par contre ce qui m'a bien fait rigoler c'est que quand TikTok a commencé à prendre un petit peu trop d'importance aux Etats-Unis
il y a des politiques qui se sont émus que les données des contre-patriotes états-uniens
toutes les données personnelles aillent sur des serveurs chinois par contre dans l'autre sens ça les dérange pas trop
donc le côté roseur à rosé m'a fait un petit peu rigoler aussi
je veux juste peut-être nuancer un tout petit peu un truc c'est que aujourd'hui là ce qu'on essaie de reprendre c'est vraiment le design
je pense voilà la fabrication pour l'instant c'est je pense c'est à plus long terme parce que aujourd'hui en tout cas
les prochaines générations qui vont sortir ce processeur là vont être faites par TSMC
donc TSMC c'est le gros fabriquant dont tu parlais à Taïwan
voilà donc on n'en est encore pas tout à fait là où c'est pas encore produit en France
il y a des initiatives qui se font notamment côté ST Micro Electronics
il y a des investissements qui vont te faire et à terme ça pourra se refaire en France je sais pas
mais je pense que c'est une première étape
déjà le design est capable de fabriquer ces processeurs avec ces spécifications
sans avoir potentiellement des choses qui pourraient liquier des données
c'est intéressant mais voilà sur la fabrication il y a encore peut-être un peu de boulot
mais il y a déjà un plan aussi je crois qu'il y a un route niveau investissement pour la fabrication
moi je voulais voir et non parallèle
c'est ce que je dis en fait le plan là il y a des investissements qui sont faits notamment sur la région Grenobleaz
avec ST Micro Electronics c'est ce que je disais pour développer la Micro Electronics
mais est-ce que là on est vraiment sur la pointe de la Micro Electronics
est-ce que on va aller là-dedans je sais pas
il y a un truc aussi à pas négliger c'est le fait que ça soit fabriqué à l'étranger
pour des trucs extrêmement sensibles
je me souviens d'une histoire où l'armée américaine avait commandé des processeurs Intel
donc c'est Intel qui a la propriété intellectuelle
il commande ça je sais plus où c'était en Chine à Taïwan peu importe
et les processeurs sont revenus avec des backdoors
donc ça veut dire qu'ils ont quand même un niveau d'ingénierie suffisant
pour pouvoir modifier le design de la puce
pour intégrer des backdoors qui sont très difficiles à déceler
puisque ça tourne au niveau matériel
donc quand on voit qu'on en arrive à des trucs comme ça
oui avoir la fabrication qui revient avec un côté un peu plus souverain
pour des trucs qui critiquent comme ça ça va redevenir important
on veut relancer le nucléaire, peut-être qu'on veut avoir des processeurs
dont on va maîtriser le truc et on va pouvoir les fabriquer sur du long terme
visiblement, je pense que côté armement en France on est toujours un petit peu à la pointe
sur des trucs comme ça
mais il y a de l'électronique dedans donc il faut qu'on puisse avoir des processeurs
qu'on peut continuer à fabriquer
je ne suis pas un pro militaire mais on voit ce qui se passe en Ukraine
si on ne peut plus fabriquer nos armes on va se faire bouffer
oui tout à fait, je vous propose qu'on passe à la suite
avant de dériver sur un débat pro anti-arme
écoute, tu le sais ce podcast il est en licence libre
et si tu ne le sais pas, sache-le que tu peux l'utiliser
tu peux prendre des petits bouts, tu peux le découper, tu peux le mettre dans tes cours
dans tes communications
il est en CC Baïssa, ça veut dire que tu dois citer sa source
et si tu peux en plus nous prévenir, nous dire
et je vais réutiliser le podcast ou les vidéos YouTube
parce que toutes les vidéos YouTube sont aussi en CC Baïssa
ça nous fera plaisir, envoie-nous un petit message
laisse un commentaire sur YouTube, passe sur le forum
et dis-le
et je vais passer la parole à Nicolas qui va nous parler
de piton et de compromissions dans des dépendances pitons
oui, alors c'est une petite news qui m'a bien fait réfléchir
ça fait un petit bout de temps que j'y pense mais là c'est arrivé côté piton
j'utilise un petit peu plus
donc c'est une faille en français, c'est compromission de la chaîne de dépendance
je ne me souviens plus exactement le terme en anglais
mais en gros c'est la librairie piton Pytorch a été compromise
donc un attaquant a poussé une version supérieure de Pytorch
alors c'était dans la version Knightly
donc tous ceux qui utilisaient la librairie de prod n'ont pas été impactés
mais je ne sais plus exactement ce que faisait la librairie compromise
mais en gros une fois que ça a été installé sur votre machine
vous aviez l'attaquant qui avait la main sur une partie de votre système d'information
et là où j'ai commencé à me poser pas mal de questions
c'est que comment est-ce qu'on peut vraiment se protéger de tout ça
et ça rentre dans mes bonnes résolutions de 2023
où je vais m'attaquer au sujet un petit peu plus sérieusement
et si j'en parle c'est aussi que le podcast c'est aussi un bon moyen d'échanger entre nous
et les news c'est pas forcément des soucis qu'on a totalement résolu
donc je compte sur vous pour me donner quelques pistes
ce que j'ai commencé à identifier c'est déjà c'est bien travaillé sur des versions spécifiques
que vous avez déjà installé, que vous avez déjà validé
et vous installez toujours ces versions là
donc en pliton et vous faites un pip freeze etc
dans l'idéal vous installez tout ça une bonne fois pour toutes
dans une image de cœur, vous faites un virtuel enfe que vous zippez et ainsi de suite
et vous livrez une version entre guillemets binaire de tout ça
et comme ça à chaque fois que vous vous réinstallerez votre produit
vous n'aurez pas des trucs qui viendront d'internet que vous n'avez pas maîtrisé
et la dernière partie où je me demande comment détecter ça plus facilement
parce que le but c'est aussi de pouvoir mettre toutes les librairies à jour régulièrement
mais comment est-ce qu'on peut se prémunir d'une librairie qui a été compromise
donc j'imagine qu'on doit pouvoir déployer ça sur une VM sandbox
et puis laisser tourner quelques temps en regardant ce qui sort au niveau de paquets réseaux
ce qui est écrit, modifié sur le système
sachant que pour sortir sur internet je crois qu'ils utilisent le DNS
donc autant vous dire que même si vous avez un firewall bien configuré
les données étaient correctement infiltrés puisque ça passait par du DNS
et toi Damir tu ferais comment pour protéger d'une attaque comme ça ?
Oula, il y a plein de choses
non c'est un sujet assez tentaculaire aujourd'hui, ce genre de problématique
surtout que les dépendances sont trans un peu à se multiplier depuis quelques années
pour moi le plus important c'est déjà d'être en capacité d'avoir clairement
l'information qu'on utilise calibrerie et où on l'utilise
tout simplement parce que on va pas se mentir, ça va être très rare
d'être dans une entreprise dans laquelle on est
va être la première à détecter un problème avec une libre ou une faille de sécu
il y a des gens qui sont experts là dedans, etc
donc à part si l'entreprise est activement dans le développement de cette libre
je considère qu'on est rarement les premiers
donc le premier point qui est important c'est de savoir rapidement
corriger un issu de ce type
et ça se joue beaucoup là dessus en fait sur la vélocité
et pour le coup il y a deux choses, la point c'est de savoir identifier
par exemple l'image docker utilise cette version
et pouvoir du coup les retaillent rapidement
donc là ça va être la capacité du coup d'entrugimer Time to Market
dans le sens où combien de temps vous allez mettre à robiler les images etc
avec une version non verrelée pour les mettre en production
ce que tu disais un truc qui est intéressant c'est de déclarer
on va dire quelle version on veut utiliser
c'est mieux effectivement de déclarer quelle version on veut utiliser de nos dépenses
à l'inverse, faut pas tomber en fait, parce que je vois souvent ça
faut pas tomber dans l'inverse entre guillemets
et cède toutes les versions et finalement je n'ai jamais eu de date
et je n'ai jamais profité des patchs et compris de sécurité
donc il y a un vrai équilibre à trouver là dessus
si vous n'avez jamais eu de set de version
ça doit pas être un set qui doit être entre guillemets contraigné
vous devez pouvoir le mettre à jour régulièrement
je vais légèrement reformuler
en fait quand je dis verrouiller les versions c'est au moment où on l'installe
on est sûr que sur une version qu'on va pousser en prod
on a exactement les mêmes versions de toutes les libres
mais par contre effectivement dans le process
c'est à chaque fois qu'on pousse une nouvelle version
c'est bien vérifier que toutes les libres ont été mis à jour
parce que vous avez des mises à jour de sécurité
qui vont probablement venir avec
alors bon, potentiellement une faille aussi
et c'est ça qui me chagrine un petit peu
mais oui il faut bien mettre à jour très régulièrement
mais du coup c'est bien mais je précise et surtout ça va être pour nos auditeurs
c'est quand même quelque chose qu'on voit assez souvent malheureusement
et aujourd'hui pour moi c'est ça la sécurité
c'est surtout de la réactivité
j'ai accepté qu'on ne pourra pas contrôler totalement toutes les dépenses etc
si on a rend des choses critiques etc on va pouvoir un peu
mettre potentiellement du sandboxing avec des antivirus
ou même de l'analyseur dynamique etc
on doit pouvoir le faire mais ça reste quand même rare d'avoir la possibilité de faire ça
pour moi la réalité c'est plus qu'on découvre des failles très souvent
et on le voit bien dans ce podcast
on en parle quand même assez régulièrement
la vraie question c'est en combien de temps on accorige
en combien de temps on identifie
et qu'est ce qu'on fait aussi parce que typiquement
ça va être ça, ça va être se dire demain
si vous avez une faille de sécurité
comment ça se passe ?
ça il faut vraiment que le process soit clair
parce que si imaginons vous avez un process critique
vous faites une appli qui touche à des données personnelles
ce qui est quand même important
si l'appliqe d'à est compromise
il faut vous souhaiter un capacité très rapidement
d'identifier l'impact
de communiquer avec les bonnes personnes
de mettre un plan pour corriger ça
un plan pour voir qu'est ce qui s'est passé
et en fait toutes ces étapes là
ça peut paraître logique mais quand on est dans l'incident
c'est compliqué de savoir à qui reporter etc
qui va être responsable de l'analyse de sécu etc
donc là ce que je consérais c'est
pas forcément faire une prosse
qui soit hyper formelle en mode ISO 27.1
avec une checklist
ou si la personne elle est absente on abandonne
non mais au moins de faire des checklists
juste des checklists très simples
en mode faut contacter telle personne
et d'avoir une gestion d'incident
qui soit bien prévue pour remédier à ça
et surtout de travailler un maximum possible
la communication soit en interne
ou en externe, typiquement si jamais
en interne il y a beaucoup d'équipes de développement
il va falloir arriver à communiquer assez facilement
et aussi à faire que la correction
de cette issue entre guillemets
de ce problème de sécurité
soit le plus simple possible
pour qu'elle soit fait plus vite possible
pour moi c'est ça les points les plus importants
c'est vrai que niveau détection
je suis pas forcément celui qui est le plus avancé
on va dire
mais c'est un point qui est très intéressant
je sais pas si Christophe
tu as d'autres techniques
oui alors je vais pas
remettre une pièce dans la machine
sur versionner vos
dépendances mais quand même
c'est important
vous pouvez utiliser des outils
que moi j'ai pas encore utilisé mais comme Rénovate
qui vous permet de scanner vos dépendances
vous proposer des issues pour les mettre à jour
automatiquement
ça peut être une solution
moi je vais mettre une pièce dans la machine
de l'intégration continue
pour vous encourager
toi qui nous écoute
en tout cas t'encourager à mettre de l'analyse
technique de code et tu peux utiliser
des outils comme par exemple Trivy
pour analyser ton code
Trivy ça analyse du code applicatif
et des conteneurs et ça permet d'aller
se brancher sur
une base centralisée
de CVE donc de failles de sécurité
reconnues et de te remonter
dans ton intégration continue
s'il y a des failles de sécurité
évidemment il faut que la faille en l'occurrence
celle dont t'as parlé Nicolas soit connue
ça c'est évident mais une fois qu'elle est connue
hop ça te remonte une info
et toi tu peux corrigé derrière
et comme l'a dit Damir
si t'es capable de corriger
et de déployer une nouvelle version rapidement
et bah dans ce cas là
t'as fait une grande partie du travail
parce que ce qu'il faut bien se dire
c'est que jamais
on sera à l'abri de tout ça
parce qu'à un moment donné il y aura toujours
un problème et on va toujours envoyer
en production un truc
qui va
qui va être corrompu par contre si on est
capable de rager rapidement c'est bien
et je vais laisser la parole à René
je vais pas redire ce qui a été dit
je vais juste mettre une petite pièce dans le côté
développement
et on peut aussi agir un petit peu en essayant
de limiter les dépendances
pas toujours facile
et puis bien aussi bien choisir ces dépendances
de prendre des librairies qui sont
bien maintenues
voilà ça
ça va aider
alors quelqu'un a rajouté
un outil dans les notes, je viens de le voir
Nicolas tu veux en parler ?
oui c'est moi et du coup
je vais conclure là dessus si ça vous va bien
je dirais que
ça fait justement partie
des process d'evox
donc on automatise, on collabore
et le but c'est que
comme le disait Damir, entre le moment
où on a détecté et le moment
où ça soit corrigé en prod, le temps
soit le plus court possible
les process
c'est aussi du DevOps
et puis
même si vous êtes ISO
c'est un petit process, ça coûte rien
et ça va vous préparer votre truc
et j'ai mis un outil
qui a paru dans ma recherche
c'est OSV scanner, c'est un truc
de Google qui prend toutes vos dépendances
donc ça fonctionne avec du Python
du JavaScript, je sais plus quoi
et en fait
vous mettez votre fichier de lock
qui verrouille toutes vos versions
et ça va aller chercher
s'il y a déjà des CVE qui ont été découvertes dessus
et ça va aussi essayer
de vous sortir
dans l'ordre critique important
et ainsi de suite
c'est assez proche du coup de ce que fait
Traivi en effet, j'irai regarder
les deux
donc tu auras tous les outils qu'on a cités
dans les notes de l'émission
je rajoute juste un petit mot
il y a aussi les outils d'analyse
dynamique de code
qui eux vont tenter des injections
des choses comme ça
qui peuvent être pas mal à mettre dans une CIA
après il faut bien garder
deux choses en tête, j'insiste là dessus
parce qu'on a trop tendance à penser que c'est des solutions magiques
tout ce qui est détection et scan
ça va que déclarer quand il y a une CVE
qui est enregistrée, donc si la file a été trouvée
et qualifiée, mais c'est important
notamment moi ça c'est aussi important
pour suivre quand vous avez des dépenses
qui sont trop vieilles, quand ça accumule des CVE
même mineurs, ça vous montre qu'il faut les mettre à jour
et le deuxième chose c'est même poésanalyse
dynamique et autre
ça vous dit pas, en aucun cas c'est comme les tests
de qualité sur le code, ça ne prouve pas que vous avez pas de
file de sécurité, ça prouve qu'il en a pas trouvé
ça met en évidence qu'il y en a, ça ne prouvera
jamais que votre code n'a aucune file
eh ben merci
et je propose qu'on passe à la suite
et Damir tu avais la parole, tu vas la garder
puisque tu vas nous parler
de CircleCI et d'une attaque
que j'ai vu passer, mais je n'en sais pas plus
donc je t'écoute, je suis toutoui
Alors je vais vous parler
de CircleCI, comme vous le savez moi j'aime bien
les post mortems, je parlais
c'est souvent de post mortems sur ce podcast
et là on va vous parler de CircleCI
donc déjà pour donner un peu de contexte
CircleCI c'est quoi ? C'est une solution
de CI comme il en existe beaucoup
sauf que celle ci est entièrement
du coup sous forme de sase
donc du coup il n'y a pas d'auto-est
au Steam ou de choses comme ça
et c'est une solution qui est assez populaire
parce qu'elle a pas mal de qualité, elle fonctionne plutôt bien
et en rentrant du coup
de vacances et en commençant dans la nouvelle année
en espérant une année calme
beaucoup de personnes ont eu la mauvaise surprise
de recevoir un communiqué assez urgent
dans leur mail de la part
de CircleCI pour leur expliquer
qu'il y avait eu un incident de sécurité
et que pour l'instant
il ne pouvait pas trop communiquer dessus
mais dans le doute il faudrait
une rotation de tous les verbes
d'environnement qu'ils utilisent
ou tout ce qu'il y a comme secret
qui soit renseigné dans leur CI
ce qui est quand même un travail
qui peut très vite s'avérer assez grand
entre guillemets, surtout de tout identifier
être sûr de tout révoquer
et mettre à jour, parce qu'il n'y a pas que de changer la clé
il faut aussi révoquer l'ancienne
donc ce qui fait que
c'est pas la meilleure manière de commencer l'année
et après ça on n'a pas eu
une nouvelle pendant quelques jours
avant d'avoir une communication
du coup complète
qui est tombée il n'y a pas si longtemps
et qui nous a donné un peu en fait
l'envers du décor et qu'est-ce qui s'est passé
je vais essayer de résumer
la totalité, c'est un peu compliqué parce qu'il y a pas mal de choses
et après on va essayer
d'en tirer un peu ce qui est intéressant
donc globalement
c'était du coup en fin
d'année, on peut prendre de mémoire
si je me trompe pas sur l'adapt
ils ont eu en fait le 29
excusez-moi, le 29 ils ont eu une alerte
comme quoi il y avait une activité suspecte sur un compte
en tout cas sur un compte d'employés
donc ils ont commencé à investiguer
etc, ils sont très rapidement rendus compte
que l'employé
là en fait avait subi
son ordinateur, il a subi une attaque
et surtout un virus qui avait arrivé
à récupérer un token SSO
token SSO qui avait déjà été validé
avec la double authentification
donc du coup la double authentification n'a pas été utilisée
sur ce coup-là
ce qui fait qu'à partir de là en fait ils ont réussi
de ce que j'ai compris à intégrer
une application tierce
malveillante
pour récupérer du coup des data
et bien sûr des secrets
donc ils ont bien dit que leurs data
étaient chiffrés et c'est
au repos mais pour le coup
ils ont dit que les clés aussi avaient
possiblement été compromis
ce qui est un peu plus embêtant
pour eux
donc une fois qu'ils ont un peu
fait le point là dessus
ils ont communiqué le 4 en disant
on a de très sérieux soupçons
donc on demande à tous nos clients de mettre
à jour nos clés, pendant ce temps
ils ont fermé tous les comptes
de l'employé qui avait été piraté
et ils ont enchaîné du coup
sur une série d'opérations qui sont importantes
et c'est là en fait si je fais le lien avec l'actualité précédente
que je dis c'est important
et au moment là
d'avoir un process qui soit connu
et surtout personne ne soit perdu
tout le monde sait ce qu'il va faire
ils ont commencé à révoquer les tokens d'API
ils ont surtout réduit le nombre
d'employés à un nombre
qui soit le plus petit possible
et ils ont fait eux-mêmes
une rotation des clés de leur côté
une rotation des machines aussi
ils ont remis à jour
ils ont reboute-strappé les machines etc
pour être sûr qu'il n'y avait pas potentiellement
de backdoor ou de choses comme ça
et ils ont contacté après tout leur partenaire
y compris leur partenaire commercial pour faire de même de leur côté
l'employé avait
les droits d'administrateurs
ça aussi c'est important, il en avait besoin pour son métier
mais il les avait
donc ça on va dire c'était un peu
le jackpot pour la personne qui a récupéré le token
et sur le coup
une fois qu'ils ont fait ça, ils ont commencé à investiguer
ils s'en rendu compte qu'en fait
l'attaque avait commencé
un peu plus tôt, elle avait été compromise le 16 décembre
et il y avait une phase d'exploration
qui avait commencé du 19
ou le 20 décembre
ou du 19 au 22 décembre
donc une phase d'exploration, c'est là où l'attaquant
va globalement
essayer, je ne suis pas expert cyber-sécurité
je sais de vulgariser
il va essayer en fait de voir ce qu'il peut faire
avant d'entrer dans le vif du sujet
et il va essayer de comprendre un peu les dépendances
entre chaque chose pour aussi éviter
de prendre un système d'alarme
ou autre directement, c'est comme si un voleur
par exemple, il fait le tour d'une maison, il repère les caméras
c'est un peu près ça
donc ce qui est pour moi intéressant
du coup dans cet attaque
c'est que déjà, la double quantification
même si c'est
une très bonne pratique, il faut absolument faire
elle n'est pas miraculeuse non plus
c'est pas quelque chose qui vous met hors de danger
de tout encore une fois, il faut en avoir conscience
la deuxième chose c'est que l'attaque
en fait, moi, personnellement
je trouve que la réaction était un peu longue
on a quand même une alerte
qui signalent plus ou moins un compromis
si on a une activité suspecte sur un compte
le 29
et au final, on a vraiment
une réaction, une réelle réaction le 4
alors
mon point c'est que je pense
que avec les vacances et la nouvelle année
il y a potentiel mieux du sous-effectif
des choses comme ça et ça
plus ou moins était
temporisé mais c'est vrai que c'est un peu dommage
en fait
est-ce qu'après, c'était désiré par l'attaquant
de s'attaquer durant ces périodes de fin d'année
je ne sais pas mais ça montre là-dessus peut-être
une potentielle faiblesse dans les organisations
des périodes où il y aura moins de personnes présentes
ce sera plus du best effort
et au-delà de ça, encore une autre chose qui est intéressante
c'est que l'utilisateur
il avait tous les droits
là, quand on parle aujourd'hui
en fait de ces problématiques
je parle souvent d'IAM et des choses comme ça
c'est pour ça que des choses comme l'IAM sont très utiles
c'est qu'on va limiter un maximum
on va pouvoir limiter un maximum
les droits des personnes
et là encore, une chose qui est assez intéressante
et assez inquiétante
c'est qu'au final, ils ont pu utiliser
plusieurs jours son token
c'est-à-dire qu'il n'y a pas d'expiration
courte, quand je dis expiration courte
je ne dis pas qu'il faut faire une expiration
en toutes les heures mais rien qu'une expiration
toutes les jours donc au bout de 7 ou
au bout de 8 heures pour être sûr que ça rend un jour
de travail
ça aurait été quelque chose qui aurait peut-être un peu
limiter les dégâts
et du coup
suite à ça
ils disent aujourd'hui que la situation est rétablie
que tous leurs partenaires
ont changé leurs secrets, on interne ça a été fait aussi
ils ont identifié la source etc
donc pour le coup
ça a l'air plutôt résolu mais en tout cas le retour est
intéressant, même si je trouve ça un peu dommage
que l'entreprise qui gère des données
si sensibles, parce que la CIA
aujourd'hui c'est quelque chose qui gère des choses très sensibles
celle qui va pousser les artefacts sur le prod
etc, est mis un peu
trop de temps à mon goût en fait à réagir
et aurait au moins pu avertir les clients avant
même si c'est pas quelque chose de simple
notamment au niveau expérience client pour le coup
c'est pas une mince affaire
de renouveler tous les tokens et j'ai vu que pas mal
de gens ont un peu galéré là-dessus
ce qui est potentiellement normal
du coup je sais pas si vous...
est-ce que vous utilisez Circle CIA et si vous
utilisez ce que vous avez eu
un super début d'année
alors moi
dans mon cas je l'utilise pas
directement mais j'ai un client qui l'utilise
et justement on en parlait
et je lui ai direct répondu
tout le monde me demande pourquoi je l'utilise pas
de SaaS
pour faire ce qui est CD
on continue ce déploiement
parce que qui dit déploiement
dit accès à la prod
qui dit accès à la prod
dit je peux tout casser
donc moi je suis plutôt
chauvin sur cette partie là
je vais avoir tendance à déployer
des trucs de continuous déploiement
sur mes propres infrastructures
et gérer moi-même
alors c'est peut-être moins sécurisé que
si c'était géré par une équipe
de sécurité
comme il aurait dû y avoir
chez Circle CIA mais bon
je préfère me faire confiance
à moi et gérer
moi-même mes problèmes
plutôt que de mettre les clés
dans les mains des autres
moi ce qui m'a plus choqué c'est que
pour avoir creusé
un petit peu j'ai pas trouvé d'API
pour mettre à jour les secrets
parce que mon client me dit je fais quoi maintenant
c'est simple tu vas
regarder pour mettre à jour tout tes secrets
et les gérer via terraformes ou un autre outil
et en fait
il n'y a pas d'API
pour mettre à jour tous les secrets il faut aller le faire à la main
pour un outil
critique comme ça
et je trouve ça aberrant qu'on soit obligé de faire
des choses comme ça à la main
je sais pas si
toi Christophe dans ta CIA tout est
automatisé et comment tu gères ça
oui alors tout est automatisé
dans nos CIA
alors après
quand je conseille des clients
nous notre CIA
c'est plus simple parce que maintenant on maintient
notre propre cuisine logicielle donc c'est nos renards
à nous
mais en tout cas nos clients
ou les outils que je fais
sur GitLab
en l'occurrence mais ça s'applique
à priori à toutes les CIA qui ont cette possibilité
là c'est de mettre en place leur propre
rôneur sur GitLab c'est possible
d'utiliser donc les rôneurs
qui sont fournis par le SAS
ou d'utiliser tes propres rôneurs
et donc pour les trucs critiques
c'est pour ça que j'aime bien en effet
utiliser mes propres rôneurs
même sur les plateformes SAS
je crois que GitLab Action
on peut mettre nos propres rôneurs
je me demande si Circle CIA
ce n'est pas possible de le faire autrement
l'autre solution
puisque tu parles des secrets
c'est d'héberger tes secrets en dehors de la solution
SAS et d'avoir
soit un Vault
soit un PassBall
soit un Bitwardon etc on va faire un épisode
dédié là dessus je t'encourage
à aller le voir d'ailleurs à ce sujet
le dernier truc
c'est quand on est dans un contexte
ou en mode Pouche
je fais du GitOps
en mode Pouche ou Poule
typiquement dans Kubernetes
je n'aime pas
laisser à l'intégration continue
le loisir de déployer
je préfère que ce soit un outil tiers
comme par exemple Argo CD
qui vient chercher les infos
et qui déploie sur l'agrégat Kubernetes
puisque il fait lui-même partie de l'agrégat Kubernetes
je préfère faire ce genre de choses
et sur la partie
CircleCie
je n'ai pas grand chose à dire
j'ai beaucoup utilisé CircleCie
avant je trouve que c'est un très bon produit
mais bon
là je crois que Damir a
presque tout dit
donc je vais laisser la parole à René
moi je n'ai pas grand chose à ajouter
je ne trouve pas facile
par rapport
je trouve que
le temps qui qualifie bien que ce soit
une attaque etc
qui met en place un peu la com
en plus
vu la période je ne trouve pas ça si non
au niveau du temps de réaction
mais bon voilà
je suis peut-être un peu chiant
mais en fait je m'imagine vraiment la criticité de quelque chose comme ça
et c'est genre de solution si on paye
c'est justement
pour avoir un niveau de sécurité
qui est de suivi
qui soit quand même top tiers
parce que quand on éberge
c'est aussi prendre le risque comme Zedicola
la sécurité est moins bonne
même si le risque est un peu disjoué
parce qu'il y a moins d'intérêts attaqués
juste la CIA de Nicolas
que la CIA de centaines d'entreprises
mais c'est une balance de risque
pour le coup qui existe
et c'est là aussi
si je rebondis Christophe qui parlait du coup
d'argo cidi et y a existe aussi fluxidi
mais on peut se dire
un autre manque aussi qu'il y a
c'est typiquement, moi il y a quelque chose qui me manque
depuis que je fais moins d'AWS
c'est beaucoup de machines
moi sur AWS il y a les thèmes d'instances profiles
et de choses comme ça
où en fait vous pouvez assurer des droits
à vos machines ou à vos produits
ce qui fait qu'à un niveau de sécurité
vous ne gériez pas des clés en fait
et ça c'était
bien plus sécur entre guillemets
et bien plus
pratique à l'utilisation en fait
que d'autres systèmes pour le coup
et je regrette qu'on n'est pas d'alternative
à ce type de solution
et ben je vous propose qu'on passe
à la section des outils
et donc c'est moi qui vais commencer
puisque je vais vous parler d'un outil
alors que je n'ai personnellement pas testé
mais que je prévoit de tester dans les semaines mois
à venir il s'appelle ReviewDog
ReviewDog c'est en gros le meilleur ami
de ReviewDog code
en gros c'est un outil qui va pouvoir s'interfacer
avec tout un tas d'outils d'analyse
statique de code
de l'inter etc
et il va automatiquement
aller publier des suggestions de code
dans les merges request
les pool request etc
puisque ça marche avec GitHub, GitLab, Bitbucket
et apparemment beaucoup de produits
et ça a l'air de faire beaucoup de choses
et d'interfacer justement avec beaucoup d'outils
et
quand je suis allé voir le dépôt
j'ai trouvé ça assez intéressant pour justement
me dire je vais en parler déjà dans ActuDeVops
et je vais tester ça
pour voir si ça peut pas améliorer le temps
de nos ReviewDog code parce que c'est vrai que parfois
nous on passe pas mal de temps à redire des choses
qui sont
parfois juste dans les lineteurs
est-ce que vous utilisez des outils
justement qui vous facilitent
la ReviewDog code tous les 3
pour le coup pour tout ce qui est l'inter etc
ou même
même pour pas plus généralement tout ce qui est Yamel
ce qu'on attend
ce qu'on attend à faire aujourd'hui
c'est on va mettre tout dans des pré-commit
comme ça la personne avant de faire son comit
elle a déjà un point résultat en local
et si la personne a la bonne idée de bah y passe ça
dans la série la première étape
c'est un run pré-commit et si les pré-commit ont un échec
ça envahit un peu la merges request
et dans le pré-commit
on va voir des cheques de lineteurs
voir des cheques de schéma
typiquement on a mis en place du Terraform
qui se base sur du coup
du Yamel
il y a un schéma qui définit le fonctionnement
les données du Yamel et il va vérifier
du coup les différents types sont respectés
que la nomenclature soit respectée
toutes ces choses-là
et tous les lineteurs etc
derrière
pour le coup ça me suffit pour l'instant
là j'ai un peu du mal à voir
ça va être un gros projet qui fait plein de choses
mais dans le détail j'ai du mal à voir exactement ce que ça fait pour le coup
Nicolas
moi de mon côté j'ai une expérience
un peu mitigée
pour tout ce qui est nouveau projet
effectivement mettez des trucs comme ça en place
et faites en sorte
d'avoir aussi du pré-commit
comme disait Damir
nous on fait beaucoup de pitons
et on fait en sorte d'utiliser Black
qui est un système de formateur automatique
et là c'est un petit peu comme
en Go où tu fais Go FMT
ton code est formaté
et il est formaté pour tout le monde
de la même manière
et ça je trouve que ça apporte pas mal de qualité au code
alors des fois on se retrouve avec une indentation
un petit peu bizarre parce qu'il fait en sorte
que tout tienne en un maximum
de caractère
et par contre
pour des outils comme ça qui te poussent dans ton kit up
sur un vieux projet
sur une vieille base de code
à chaque fois que tu vas faire un commit
tu vas te retrouver avec 50 messages
et
au bout d'un moment tu regardes même plus les trucs
et je trouve dommage
que
que du coup ça soit mis en place sur certains repos
parce que le plus t'as d'informations inutiles
moins tu regardes
et finalement ça ne sert plus à rien
je ne sais pas si tu as renait
t'as une expérience similaire
non
je n'ai pas forcément grand chose à ajouter
je voulais juste dire que je suis assez d'accord
avec, enfin
je voulais juste dire l'utilisation de Black
pour Pitons, Go FMT, enfin ce genre d'outils
moi je suis assez fan
parce que ça
peut-être que le formatage n'est pas le plus approprié
tout le temps mais au moins il est commun
à tout le monde et ça évite des discussions
sans cesse parce que le formatage
du code tout le monde a son avis
et pour le coup
je suis assez fan, ça coupe court un peu
à pas mal de discussions
qui ne sont pas les plus intéressantes
et encore mieux mettez ça dans la configuration
de votre projet comme ça tout le monde a les mêmes normes
on peut avoir des normes différentes
suivant les projets en fonction
de l'évolution des normes dans la boîte
mais
et en général c'est même intégré
dans vos éditeurs
moi j'utilise VIN, ça fonctionne
avec VS Code ça va fonctionner
et dans ma boîte il y en a un qui utilise
VS Code, deux autres qui utilisent VI
tout le monde a les mêmes règles
et du coup il y a moins de guéguerre
sur, tiens Tami
deux espaces au lieu d'un table
qui est un petit peu stéril comme discussion
sur le fond
surtout à se poser la question quand on
démarre un nouveau projet après
le problème c'est qu'on a un projet existant
un peu conséquent, là c'est souvent impossible
de
très compliqué
d'intégrer ces outils là
ou alors ça pourrit ton historique
parce que tu fais un big bang
et à chaque fois que tu fais un guide blame
pour remonter à l'historique
du problème
tu vas très souvent retomber
sur le big bang parce que
c'est à ce moment là qu'on a modifié toutes les lignes
mais bon
c'est potentiellement
quelque chose qui peut être fait de temps en temps
nous on l'a fait dans ma boîte
sur le projet principal
Open Source, donc si vous voulez aller voir
ce que ça donne il doit y avoir un comite
type big bang mais c'est vrai
qu'après sur du long terme ça améliore
les choses
merci, René tu vas nous parler
d'un autre outil
oui alors c'est un petit outil
sans prétentions mais
une petite astuce qui m'a pas mal
dépanné
j'ai la malchance
de passer la malchance
j'ai un portable avec
une disposition de clavier un petit peu
comment dire
particulière
et j'utilisais
quand j'ai, voilà sous
Wix 11 on peut
le windows manager
on peut utiliser quelque chose comme
xpone map ou des choses comme ça
pour changer
la disposition du clavier
et éviter d'appuyer sur la touche
ou quand on veut par exemple faire
un alt
c'est autre chose parce que le clavier a une disposition
particulière
et en fait le souci
c'est je suis passé
à Welland un petit moment
et avec Welland
les outils
qui étaient pour x fonctionnaient plus
très bien ou plus du tout
et là c'est un outil qui s'appelle
X-Raymap
si je dis pas de butines
et qui permet
qui fonctionne avec pas mal de, avec Welland
avec X11 et donc qui permet donc de
refaire son mapping clavier
pour éviter de s'embrouiller
donc une petite astuce si les gens
en ce cas là
c'est un bon outil pour
redisposer son clavier
à peu près correctement
et ben merci je crois qu'on a pas grand
chose à dire là dessus
donc je vais passer directement au troisième outil
et qui est plus un article
qu'un outil mais ça nous permet
de parler un petit peu de Kubernetes
ça faisait longtemps donc je vais vous parler
de longhorn qui ne connaît pas longhorn ici
alors longhorn
je te propose un outil qui va te permettre
de découvrir longhorn
pour faire simple longhorn c'est une solution
de stockage distribué
c'est fait par Rancher
et ça se met dans Kubernetes
et donc ça va te permettre de pouvoir
utiliser justement le disque
de tes nœuds Kubernetes
et donc on va aller, et c'est ça qui m'intéresse le plus
on va aller vers de l'hyperconvergence
c'est à dire que tes nœuds donc tes
machines qui font tourner ton agréga Kubernetes
tu vas pouvoir mutualiser
le processeur
la RAM et le disque
et du coup je trouve ça assez intéressant
alors je l'ai personnellement pas mis en place
mais ça fait un moment que je suis le projet
donc je sais pas si d'ailleurs parmi vous
quelqu'un a
utilisé longhorn
sur Kubernetes
ou des solutions équivalentes
parce qu'il y en a d'autres
alors je vois les têtes basculées non non non
quoi non
et votre avis sur l'hyperconvergence justement
dans Kubernetes
vous en avez un ou pas ?
non
vous avez pas d'avis ?
pas spécialement
moi ce que je peux dire c'est qu'on a
en ce moment on a
on travaille sur un sujet un peu comme ça
et
une utilice CEP
en backend
pour un cluster cube
et je sais que
donc il y avait, je sais pas
c'est une bonne pratique ou pas
je connais pas ces Kubernetes pour ça
mais
ETCD en tout cas
c'est compliqué de faire tourner la base
de ETCD sur CEP
pour des problèmes de performance
parce que TCD à première vue
il faut une bonne latence
une bonne réactivité pour que ça se passe bien
et du coup il y avait
une volonté d'essayer de mutualiser ça
sur des volumes CEP
et manifestement c'est pas
c'est pas assez attribué à tout ça
l'intérêt de TCD
c'est que c'est distribué
donc tu peux le stocker en local sur plusieurs nœuds non ?
oui je pense
après je sais pas pourquoi ils vont les mettre ça
sur CEP
mais il me semble en effet
et en plus dans Kubernetes il me semble que tu sépares
toute la partie infra, TCD etc
de tes nœuds de travail
ou tu vas héberger tes applications
en tout cas c'est comme ça que je l'ai vu
jusqu'à présent
en général oui
par contre moi
hors Kubernetes
je trouve ça intéressant
que des projets comme ça émergent
parce que déployer en CEP
c'est entre guillemets facile
mais c'est quand même pas
on va pas déployer ça
en 5 minutes sur un coin de table
à maintenir c'est un peu long
et j'ai regardé ça récemment
ça bouffe encore pas mal de ressources
et moi j'en ai
quelques besoins différents
en cloud et en cloud privé
en primise etc
et des projets comme Longhorn
je trouve ça assez intéressant
il y a en concurrent, il y a Migno aussi
et bon il y a quelques problèmes
c'est pour tenir ça
en prod sur des trucs
bien costauds
c'est peut-être pas forcément super adapté
par contre si vous avez besoin de faire de l'object storage
ou des trucs un petit peu équivalents
sur des choses
un petit peu plus petites
dans un lab ou des choses comme ça
c'est super intéressant parce que
plutôt que d'utiliser un stockage
local et quand votre neugrame
vous perdez les données
vous avez la possibilité de donner
des bonnes pratiques
à vos développeurs
d'utiliser du object storage
et du coup résoudre des trace-facteurs
et d'augmenter
la résilience de vos applications
Exactement
alors après Longhorn
n'est pas totalement prêt pour la production
ils le disent
néanmoins pour
des cas où on ne peut pas passer par du stockage
d'objet, avoir du stockage
distribué dans l'agrégat Kubernetes
ça peut aider et moi je me projette dans l'avenir
ou potentiellement
on pourrait avoir des petites bases de données
dans nos
agrégats de production
ça peut être une solution pour faire naviguer les données
puisque c'est ça l'objectif entre nous
au même titre que les pôtes
et je vous propose
que l'on passe à la clôture
puisque ça fait déjà une ordice
presque qu'on discute
donc avant de vous laisser
le mot de la fin je vais rappeler
à notre cher auditeur et auditrice
qu'il peut venir
discuter avec nous dans la communauté des compagnies d'Odidevops
puisque c'est une communauté
où on est déjà plus de 1000
puisqu'on a atteint je crois les 1300
ou 1500 personnes
c'est sur la base d'un forum
qui en plus cette année va évoluer
ça se trouve même au moment où l'épisode de podcast
ah bah non pas celui là
mais le prochain qu'on va enregistrer
sera sorti peut-être qu'on aura la nouvelle version du forum
puisqu'on travaille sur la nouvelle version du forum
qui en plus
sera accompagné d'un wiki
donc si tu veux discuter
DevOps Cloud
tu sais quel est l'endroit adapté
c'est les compagnies d'Odidevops, le lien est en description
et je vais vous laisser
à tous les trois le mot de la fin
et on va commencer par Nicolas
prenez des bonnes résolutions
mettez à jour régulièrement vos infras
automatisez tout et surtout les changements
des secrets dans vos en tout vos sesses
merci Nicolas
Damir un petit mot de la fin
posez-vous des questions
sur comment réagir en cas d'attaque
avant l'attaque
merci Damir, René
ton mot de la fin ce sera
eh bah je vais rester classique
j'espère que vous apprécierez cet épisode
et vous vous rendez vous pour le prochain
merci René
merci d'avoir écouté Radio DevOps
n'oublie pas de nos télépizodes
plus la note sera élevée
et plus sera mis en avant dans les applications
tu peux aussi le partager
ça nous aidera à le diffuser
et à rendre le mouvement plus visible
si tu as envie de discuter du mouvement
alors rejoins nous dans la communauté
des compagnies du DevOps
à bientôt
la balade au diffusion des compagnies du DevOps
est produite par Lydra