[1er avril] Evolix pivote et devient une brasserie de bières libres

April 1st, 2018

Il faut se rendre à l’évidence, Evolix a échoué en tant que start-up… après plus de 14 ans d’existence, nous avons raté le train de l’hyper-croissance : nous ne sommes ni une scale-up ni une licorne… Après de nombreux brainstormings ces derniers mois, nous avons choisi de pivoter l’activité d’Evolix : arrêter l’infogérance de serveurs Linux et se lancer dans le brassage de bières libres !

Nos bureaux à Marseille sont actuellement en pleine refonte : nous avons mis en place plusieurs cuves et nous installons un fablab « smart city » avec une business unit de 13 personnes spécialisées en IOT pour créer une biotechnologie de smarts canettes (grâce à une capsule connectée pour intéragir avec notre BigBrother local pour alerter en cas de consommation abusive). Nous prévoyons également la mise en place d’un incubateur pour disrupter le marché de la bière artisanale grâce à l’intelligence artificielle et au big data, et une école pour former de futurs startupers sur la sous-bockchain (une technologie inspirée de la blockchain pour produire des sous-bocks). Évidemment nous serons présents au CES de Las Vegas en 2019 pour présenter avec doigté toutes ces innovations digitales.

D’un point de vue financier, nous avons arrêté un business plan avec une levée de fonds de 100 millions d’euros auprès de VC californiens dans un premier temps, puis grâce à la puissance de frappe de la French Tech nous pensons nous faire racheter par Google (ou alors racheter nous-même Google si notre business marche vraiment bien). Si vous êtes intéressés à participer au premier tour de table, contactez nous qu’on vous pitch tout ça !

Stage de 3ème, et si on changeait la donne ?

October 27th, 2017

En 2014, mon premier minot est passé en 3ème. J’ai alors réalisé combien il est difficile de décrocher un stage sans bénéficier d’un piston. Le collège pousse les adolescents de 14/15 ans à s’intéresser au monde du travail, et voir comment les entreprises traitent les collégiens est désespérant. Ces jeunes sont pourtant les travailleurs de demain, et leur donner une mauvaise image du monde du travail est terrible pour la Société ! J’ai donc décidé de prendre au moins un stagiaire de 3ème par an à Evolix, et je me suis rendu compte qu’au-delà du bénéfice sur le long terme, cela avait aussi un aspect positif à court terme ! Je vais essayer de vous convaincre.

Le stage de 3ème, c’est important. Les choix d’orientation se posent dès le début du lycée, et le premier contact avec l’entreprise et le monde du travail est déterminant. À un âge où le collégien ne sait pas quoi faire comme métier, il va maladroitement taper aux portes des entreprises : ne pas lui répondre ou lui claquer la porte au nez va limiter ses perspectives ! Au final, la majorité des collégiens ne trouve un stage que grâce à leur entourage familial : stage avec un parent, stage trouvé grâce à du piston…

Les entreprises doivent jouer le jeu. Il faut donner une bonne image du monde du travail aux futurs travailleurs… qui seront peut-être salariés de l’entreprise dans quelques années ! L’effort n’est pas très élevé : proposer d’accueillir au moins un élève pendant 4 ou 5 jours en décembre. Avec de plus en plus d’offres de stage publiques, on peut établir un cercle vertueux. Et à court terme, ce n’est même pas une perte de temps : un stage d’observation permet à plusieurs salariés de prendre du recul sur leur travail pendant quelques heures, tout le monde est gagnant !

Il faut diffuser les offres de stage. La première étape est de mentionner les offres sur son site web, l’utilisation d’un moteur de recherche étant le moyen le plus répandu pour trouver son stage. Ensuite, on peut contacter les collèges les plus proches pour qu’ils transmettent les offres aux élèves. Enfin il existe des plateformes pour émettre plus largement comme ViensVoirMonTaf à Paris, ou StagePourTous et DegunSansStage à Marseille. Je vous encourage notamment à utiliser l’initiative que j’ai lancé il y a 2 ans : StagePourTous, le principe étant de s’engager à choisir les stagiaires sans discrimination, par exemple par un tirage au sort.

Comment organiser un stage de 3ème dans une petite entreprise ? Une fois convaincu de l’intérêt du stage de 3ème, se pose la question de son organisation. En général le stage doit durer 30h, donc on limite à 4 jours. Chaque jour se passe avec une personne différente : le matin, obervation du travail et 15 minutes d’entretien ; l’après-midi, description de la journée sur un blog WordPress privé (très facile à créer). Si besoin, quelques tâches supplémentaires possibles : faire une revue de presse de l’entreprise en faisant des recherches sur Internet, s’exercer sur Code.org ou CodeCombat. Bref, pour toute entreprise d’au moins 4 salariés, l’organisation d’un stage de 3ème est vraiment simple, alors plus d’excuse, lancez-vous !

Érablière et cabane à sucre

March 15th, 2016

À l’occasion d’un petit périple dans les Laurentides, j’ai découvert les secrets de fabrication du sirop d’érable, je vous fais partager.

foret

Le sirop d’érable est recueilli uniquement pendant deux mois (le « temps des sucres ») chaque année à la fin de l’hiver. C’est grâce à un climat spécifique au nord de l’Amérique que se produit un phénomène naturel : les érables hibernent l’hiver puis vers mars/avril, pendant une période où l’arbre dégèle en journée (t° positive) puis gèle la nuit (t° négative), de l’eau se met à circuler dans l’érable à proximité de l’écorce. La récolte de cette eau d’érable se faisait par les amérindiens puis les colons européens ont adopté cette pratique. Le principe est de pratiquer une entaille pour faire couler l’eau contenant 1 à 2% de sucre dans un récipient, qu’il faudra faire bouillir pour obtenir le fameux sirop (30 à 40L d’eau d’érable donne 1L de sirop). Au 19ème siècle, la technique de récolte s’améliore et l’on place désormais un seau sous une petite lame concave située à la base de l’entaille (un « chalumeau »). Voici un chalumeau et une chaudière (seau en aluminum) :

chaudiere

La récolte était donc un travail gigantesque : cela consiste à vider les milliers de seaux dans un grand chaudron une à plusieurs fois par jour. Il fallait ensuite faire bouillir le chaudron dans une cabane au centre de la forêt : la « cabane à sucre ». Cela nécessitait de la main d’œuvre et traditionnellement des familles se rassemblaient pendant le temps des sucres pour récolter l’eau d’érable et manger de copieux repas. Dans les années 1970, la récolte s’est industrialisée : au mois de février, les milliers d’entailles sont réalisées à la perceuse et au marteau par des acériculteurs en raquette.

Les entailles sont reliées avec des tuyaux bleus sous pression qui forment une immense installation (« tubulure ») au travers de la forêt d’érables à sucre.

tubulure

Tous ces tuyaux aboutissent à une station de pompage située au point le plus bas de la forêt.

station_pompage

L’eau d’érable est filtrée puis renvoyée vers la cabane à sucre au centre de la forêt. On y trouve l’évaporateur chauffé au bois pendant des heures chaque jour pour faire bouillir l’eau d’érable qui arrive en continu, et le matériel pour mettre le sirop d’érable final en boîte de conserve (c’est le format le plus classique).

evaporateur

Il est intéressant de noter qu’au début du temps des sucres, on obtient du sirop d’érable clair, puis il s’assombrit petit à petit, pour devenir ambré et enfin foncé. Officiellement il y a 5 catégories : extra-clair, clair, moyen, ambré et foncé). Quand le sirop devient trop foncé, il devient amer : c’est le signe qu’il commence à contenir de la sève d’érable et c’est la fin du temps des sucres. Voici les différentes catégories de sirop d’érable tout au long de la saison des sucres :

categories_sirop

Aujourd’hui, il y a besoin de moins de main d’œuvre pour la récolte de l’eau d’érable, mais une tradition est restée : pendant deux mois de récolte, les cabanes à sucre se transforment en restaurants familiaux, où l’on mange copieusement un menu unique servi à volonté dans une ambiance traditionnelle. Au menu, de la gastronomie québécoise : réduit d’érable (de l’eau d’érable légèrement bouillie), crétons, soupe aux poix, fèves au lard, jambon à l’érable, oreilles de « criss », beignets, grands-pères dans le sirop, œufs dans le sirop, etc.

restaurant

Et pour digérer le repas, on termine par de la tire d’érable : cela consiste à verser sur de la neige du sirop d’érable chaud et très sucré (il est bouilli d’avantage que le sirop d’érable classique) et le déguster avec un bâton, ce qui donne une sorte de bonbon glacé à l’érable :

tire

C’est ce qu’on appelle se sucrer le bec!

Ouverture d’un bureau Evolix au Canada

September 22nd, 2015

evolix_erable
Mon dernier article a plus d’un an, il se finit sur une prédiction pour 2024 : « C’est désormais une équipe de 20 personnes réparties entre Marseille/Paris/Montréal, permettant un développement international et une infogérance continue 24h/24. »

Septembre 2015 : Evolix se lance à la conquête du monde en ouvrant un bureau à Montréal au Canada ! Nos bureaux sont situés au cœur du quartier du Plateau, proche du centre-ville et des datacenters Cologix où nous sommes en cours d’installation de nos infrastructures d’hébergement. Dès octobre, on pourra donc proposer la location de serveurs à Montréal ! Grâce au décalage horaire France-Québec, on va également améliorer notre offre de surveillance et support 24h/24 : le pic d’activité du soir des sites e-commerce français (20-23h) pourra être étroitement surveillé par notre équipe technique au Canada, c’est ce qu’on appelle l’infogérance Follow-the-Sun.

J’aime à dire qu’Evolix devient donc une  « petite multinationale » …on exporte notre savoir-faire, on s’ouvre à une nouvelle culture, on s’améliore en permanence tout en gardant bien ancrées nos valeurs : proximité avec nos clients, excellence technique et passion pour notre métier et les Logiciels Libres.

2004-2014 : Evolix a 10 ans !

June 23rd, 2014

evolix-10ans-bougies

2003. La préhistoire d’Evolix. En stage à la Ville de Marseille, l’idée de création d’une start-up germe début juillet. J’ai discuté par email de ce projet avec Sébastien Dubois (alors en stage en Ecosse) puis Maxime Keller (jeune diplômé). Au départ, le but était un peu vague : promouvoir les Logiciels Libres auprès des particuliers et des entreprises. L’idée était surtout axée sur la vente de PCs sous Linux et des services associés ! Le premier nom évoqué pour la structure à créer : Prisunix… (évidemment non retenu ;-)

2004. Coincé dans un local de quelques m²  prêté par l’ESM2, avec un contrat de stage trafiqué (il y a prescription), je n’imaginais pas encore que 10 ans plus tard on serait une belle équipe de 8 personnes dans 170 m² de bureaux loués à la Ville de Marseille. Le PC bas de gamme en guise de serveur qui tournait 24h/24 dans ma chambre était loin de notre actuelle infrastructure multi-datacenters. Le chiffre d’affaires annuel de 7500€, 100 fois moins élevé qu’aujourd’hui. Après avoir vendu quelques PCs sous Linux (les fameux EvoPC et EvoPortable vendus en quelques exemplaires), on a rapidement trouvé un vrai marché : l’infogérance de serveurs Linux pour entreprises.

2014. De nombreux défis relevés plus tard, on prend un peu de temps pour se retourner sur ces années passées. Notre activité d’infogérance s’est développée, elle concerne désormais 400 serveurs Linux/BSD pour une centaine de clients. En complément, nous avons mis en place une solide offre d’hébergement. En fait, on n’est plus vraiment une start-up, même si l’on en a gardé les côtés positifs (souplesse, ambiance de travail). Mais ce qui n’a pas changé depuis nos débuts : notre motivation et notre passion ! On a fêté nos 10 ans avec nos clients, partenaires et amis lors de notre soirée anniversaire.

2024. Projection dans le futur. Evolix a ouvert un établissement à Paris et une succursale à Montréal. C’est désormais une équipe de 20 personnes réparties entre Marseille/Paris/Montréal, permettant un développement international et une infogérance continue 24h/24. La plupart des serveurs sont désormais assemblés par Evolix, avec des boîtiers réalisés avec une imprimante 3D, et installés dans l’un des points de présence d’Evolix en datacenter. La soirée pour fêter nos 20 ans se passera cette fois sur le toit du Mucem à Marseille !

Test d’un iMac sous Mac OS X pendant 4 ans

May 11th, 2014

imac_fail

De 2002 à 2009, mon ordinateur familial a été un PC sous Debian GNU/Linux version unstable. Je dois avouer qu’il n’a pas toujours été 100% opérationnel entre des bidouilles sur le serveur graphique (XFree86 puis Xorg) et plusieurs démontages/remontages pour m’amuser. Avec une contrainte de stabilité plus grande pour la famille, en 2009 j’ai choisi un iMac sous Mac OS X 10.5. L’optique était d’avoir un ordinateur stable et performant, utilisable par toute la famille, avec un minimum de maintenance. J’avais également besoin de Mac OS X pour le boulot, bref, c’était une bonne occasion de tester la légende de l’ergonomie et la stabilité d’un Mac.

Premiers pas avec un Mac

Lors du premier déballage d’un iMac, si il y a un point incontestable, c’est que le produit est beau. Le packaging est attentionné. Et l’on commence à se dire que l’on comprend les Apple-fanboys. Passé le bizutage de quelques minutes pour trouver le bouton ON, on a rapidement un système fonctionnel. Il faut dire que mon niveau d’exigence n’était pas très élevé : cet iMac n’était pas pour moi mais pour ma petite famille : un navigateur Internet et un lecteur multimédia couvraient 95% des usages. J’ai installé quelques logiciels supplémentaires : VLC, Spotify, KeePassX, Adium, mais assez peu car le but était vraiment de garder un système stable et de ne pas bidouiller. Quelques logiciels ont été des bonnes surprises : iPhoto pour gérer ses photos, Photo Booth pour occuper les enfants à faire des photos/vidéos avec effets rigolos et Time Machine pour gérer les sauvegardes. Pour le reste, je détaille quelques points ci-dessous.

Ergonomie sous Max OS X

Habitué des Window Managers sous Linux, je m’attendais à une vraie découverte sur ce plan. Dans la communauté Linux, des ergonomes en herbe ont toujours vanté les avancées d’Apple sur ce domaine. Passé la distraction avec le boing-boing du dock, on se retrouve avec des actions impossibles à réaliser simplement, des fenêtres difficiles à manipuler, de nombeux détails qui laissent à désirer : c’est un sacré désappointement !
Citons quelques exemples : sans raison un CD-ROM ne veut plus s’ejecter… impossible de forcer, il faut redémarrer la machine en faisant un clic gauche (cette astuce n’est évidemment indiquée nul part). Autre exemple, à propos de la manipulation des fenêtres : pour passer une fenêtre d’application en pleine largeur d’écran, vous devrez péniblement la déplacer à gauche de votre écran puis l’agrandir grâce au coin en bas à droite. Parlons aussi du “Pomme+Tab” qui change d’application sans tenir compte que l’on a plusieurs fenêtres d’une même application (par exemple plusieurs terminaux), ce qui rend indispensable l’utilisation de la souris (dotée d’une molette ridicule). Parmi les détails déroutants : on lance iChat pour la première fois, une fenêtre s’ouvre pour demander un compte… et aucun bouton pour fermer/annuler, on est obligé de poursuivre sans laisser de compte.
Bref, le confort et l’efficacité pour l’utilisateur laissent à désirer, et finalement l’ergonomie de Mac OS X est une déception.

Contrôle parental sous Mac OS X

L’ordinateur étant en partie destiné à des enfants de 3 à 9 ans, je me suis intéressé à la fonction de contrôle parental. À première vue cela semble très intéressant, on peut définir une liste blanche des sites Internet (et d’autres détails comme le temps maximum d’utilisation par jour ou la restriction l’utilisation des applications). En théorie, si l’enfant accède à un nouveau site web, il suffit d’entrer un mot de passe pour ajouter le site à la liste blanche. En pratique, c’est malheureusement inutilisable : des bugs, pas de regexs, liste non partageable entre les comptes… le contrôle parental n’aura duré que quelques heures.

Les jeux sous Mac OS X

Je ne suis pas passionné par les jeux, mais on m’a parfois prêté des CD-ROMs de jeux pour enfants que je ne parvenais pas à faire tourner sous Linux. J’imaginais avoir davantage de chance sous Mac, et trouver quelques jeux ludo-éducatifs compatibles, mais c’est une erreur : les CD-ROM se trouvant dans les boîtes de céréales ou sur les rayons des supermarchés ne tournent pas davantage sous Mac. Finalement c’est même mieux sous Linux grâce à Wine.

Compatibilité matérielle sous Mac OS X

Apple a l’avantage de n’avoir que peu de matériel à gérer avec Mac OS X. Si la souris d’origine (n’ayant duré que quelques mois), a pu être remplacée avec succès par une souris classique, pour le clavier d’origine (qui n’a pas duré non plus) son remplacement est plus complexe. Est-il possible de ne pas racheter à prix d’or avec un clavier avec une pomme ? Visiblement Apple n’a même pas fait le petit effort de gérer des keymaps non-Mac. On peut donc brancher un clavier standard, il fonctionnera pour les caractères alphanumériques mais pour la plupart des caractères spéciaux il faudra plusieurs minutes pour trouver à l’aveuglette la bonne touche.

Mac pour un Linuxien

J’ai évidemment pris le temps d’essayer d’utiliser un peu ce Mac. Premier écueil : le keymap. Même si c’est une question d’habitude, je lui trouve des gros défauts pour un mode geek/dev, principalement des combinaisons de touches complexes pour obtenir des symboles indispensables comme | (Shift+Alt+l) ou ~ (Alt+n) ou \ (Shift+Alt+:). Deuxième problème beaucoup plus sérieux : la souplesse du système d’installation des logiciels. Par exemple j’ai voulu installer make. J’ai trouvé qu’il fallait installer DeveloperTools. Ça semblait intéressant, contenant probablement d’autres outils. Sauf que la méthode classique est de mettre un CD-ROM fourni (super moderne) ; j’ai essayé : clic, clic, ça plante: “la destination n’est pas vide”. La destination c’est “Macintosh HD”… apparemment c’est pour indiquer que c’est déjà installé. Formidable. Ensuite j’ai fini par trouver qu’il fallait en fait installer DeveloperToolsCLI pour avoir make. Évidemment, après cet enfer, j’ai voulu installer un système plus moderne. J’ai tenté MacPorts. Sauf que ça ne semble pas gérer les dépendances ! Pas moyen de lui dire “installe nmap et ses dépendances”. MacPorts râle parce qu’il a besoin d’openssl, libpcap, etc. Il semblerait qu’on doive installer cela manuellement. C’en est trop pour moi, et je suis retourné rattraper mes heures perdues sur un système fonctionnel. Plus tard, j’ai appris qu’il existait Homebrew, une alternative à MacPorts, que je n’ai pas eu l’occasion de tester.

J’ai eu aussi un besoin assez simple : convertir dans un autre format une petite vidéo. J’aurais pu le faire en quelques secondes sous Linux, mais j’ai voulu essayer sous Mac. Après avoir testé différents logiciels préinstallés ou non, je me suis mis en tête d’installer un logiciel connu : ffmpeg. Peine perdue, j’ai passé des heures sans réussir, me heurtant à des installations farfelues de binaires qui n’ont jamais été fonctionnelles. D’un naturel persévérant, j’ai pourtant fini par lâcher l’affaire. C’est à peu près là que mes tentatives d’utilisation du Mac pour bosser se sont arrêtées.

Stabilité de Mac OS X

Ma principale attente était d’avoir un système stable : pas de plantage, pas de ralentissement et le moins de maintenance possible. J’avais assez confiance sur ce point car la réputation de Mac est d’être bien plus stable que Windows. Bilan après 4 ans ? Dans les premiers mois, tout s’est bien passé, mais par la suite tout a commencé à ralentir : les applications utilisées (principalement Safari, iPhoto, Finder et parfois Firefox) ont mis de plus en place de temps à se lancer et à réagir une fois lancés. Au bout de 2 ans, c’est devenu vraiment catastrophique. Je ne pensais pas devoir faire cela, mais j’ai cherché si il n’y avait pas des applications de « décrassage » comme sous Windows. Je n’ai rien trouvé d’intéressant, j’ai juste testé l’application MacKeeper sans réel succès. Les 2 dernières années, toute la famille a donc subi un système à peine praticable : une minute pour lancer un navigateur sans onglet, et une deuxième minute pour charger un site web quelconque. Conclusion : certes j’ai eu peu de plantages complets du système, mais un ralentissement progressif a rendu cet iMac quasiment inutilisable…

Mises-à-jour de Mac OS X

À peine quelques mois après avoir acheté mon iMac est sortie une mise-à-jour majeure de Mac OS X. Peu habitué à devoir payer une mise-à-jour de système d’exploitation, je suis resté avec ma version et ses mises-à-jour mineures. Vu les énormes problèmes de stabilité que j’ai rencontré, c’était peut-être une erreur…
Autre conséquence de ne pas acheter ces mises-à-jour factultatives, des applications vous sermonnent en disant que votre système est obsolète. J’ai eu le cas avec Spotify et Chrome (installé en désespoir de cause car Safari puis Firefox étaient devenus impossibles à utiliser).

Epilogue et retour sous Linux

Ce test d’un iMac a donc été un échec, avec une ergonomie et surtout une stabilité qui laissent à désirer. Évidemment ce n’est pas aussi désastreux qu’un PC sous Windows, mais ça n’est pas un exploit. Les racines communes de Mac OS X avec FreeBSD ne lui donnent malheureusement pas le côté souple et ouvert des logiciels libres. Au delà de mes tentatives ratées d’utilisation en tant qu’informaticien (disons que c’est un problème d’habitude), je déconseille également l’utilisation de Mac pour Madame Michu et les utilisateurs non-avancés.

Pour mon ordinateur familial, il est désormais revenu sur un PC avec Debian. Ce fut un soulagement de retrouver un navigateur qui se lance et charge un site web en quelques secondes. Vu les lenteurs sous Mac OS X, une seule session commune était utilisée, j’ai pu enfin créer une session personnelle à tout le monde (basculable en une seconde via “Ctrl+Alt+Fn”). J’ai configuré un proxy Squid pour le contrôle parental. Un client email lourd pour tout le monde. Côté migration, j’ai du repasser de Time Machine à des sauvegardes basées sur rsync (je perds le côté graphique mais je retrouve le format ext4) ; on a bien sûr VLC et KeePassX sous Linux ; et enfin j’ai remplacé iPhoto par Shotwell (je perds en fonctionnalités mais je reviens à des formats standards).

Informations à propos d’Heartbleed, la faille de sécurité d’OpenSSL

April 14th, 2014

Voilà maintenant une semaine a été révélée la faille Heartbleed touchant certaines versions récentes de la bibliothèque OpenSSL. OpenSSL est un Logiciel Libre notamment utilisé pour les protocoles sécurisés HTTPS ou IMAPS. Cette faille a été surmédiatisée et plusieurs clients nous ont interrogé à ce sujet. Même si cela date un peu, il s’avère plus pratique et plus transparent de mettre nos réponses sur ce blog.

Qu’est-ce que la faille Heartbleed ?

Il s’agit d’une faille de sécurité touchant OpenSSL permettant d’accéder à une partie (64 Ko) quasi-aléatoire de la mémoire d’une application via le protocole SSL/TLS. Cela concerne évidemment les services utilisant SSL/TLS accessibles publiquement comme HTTPS, IMAPS, POPS, SMTPS ou encore SMTP over TLS. Cela peut aussi concerner les logiciels client faisant des requêtes via SSL/TLS sur des serveurs malicieux.

La partie de la mémoire dévoilée étant plus ou moins aléatoire, on peut considérer que de multiples requêtes permettent de révéler l’ensemble de la mémoire de l’application concernée. Cela concerne évidemment la clé privée SSL utilisée mais les autres données système et applicative chargée en mémoire par l’application (mot de passe d’une base de données, contenu de /etc/passwd, contenu d’une base de données, etc.). Certains experts affirment même que l’ensemble de la mémoire d’une machine impactée pourrait être accessible.

Mon serveur infogéré par Evolix a-t-il été concerné ?

Nous gérons des serveurs avec le système Debian GNU/Linux. Les serveurs utilisant Squeeze (Debian 6) ne sont pas impactés. Les serveurs utilisant Wheezy (Debian 7) sont directement concernés si ils ont un service HTTPS ou  POPS/IMAPS ou SMTP publiquement accessibles, et indirectement si ils peuvent faire de nombreuses requêtes SSL/TLS vers des serveurs non sûrs situés à l’extérieur.

Mon serveur infogéré par Evolix a été concerné, que dois-je faire ?

La faille a été révélée lundi 7 avril 2014 vers 21h. Nous nous sommes penchés sur cette faille à partir de 00h15 (bug signalé sur notre IRC privé, merci Arnaud) et nous avons mis à jour tous les serveurs directement concernés dans les heures qui ont suivi et le lendemain. Votre serveur n’est donc plus vulnérable. Mais il a pu l’être pendant au moins quelques heures. Une analyse du trafic réseau et des logs suspects (connexions STARTTLS via SMTP, requêtes HTTPS sans contenu, etc.) nous laissent penser qu’il n’y a pas eu d’attaque sur ce laps de temps. Cela étant dit, par principe de précaution et car dans tous les cas cela doit être fait régulièrement, nous conseillons tout de même de renouveler toutes les informations secrètes sur les serveurs directement impactés (mots de passe, clés privées, etc.). Vous devez également relancer toutes les applications qui utilisent libssl (démons en Python ou Ruby, etc.).

Et sur mon poste de travail, que dois-je faire ?

Vous devez mettre-à-jour vos postes de travail immédiatement. Avant de vous connecter à un site en HTTPS, vous pouvez vérifier qu’il n’est plus vulnérable. Il est également conseillé de renouveler vos mots de passe sur les différents services en ligne (notamment Google, Github, Facebook, Twitter, Amazon…) : de toutes façons vous devez le faire régulièrement, c’est donc une bonne occasion de le faire !

Des conclusions à tirer de cette affaire ?

Il n’y a rien de vraiment nouveau, si ce n’est qu’il est désormais difficile d’ignorer que :
– l’application régulière des mises-à-jour de sécurité est essentielle, vous ne pouvez pas vous contenter d’installer un serveur et ne pas vous en occuper, surtout si il est accessible publiquement ;
– vous devez exposer publiquement le moins de choses possibles : cela passe par un firewall qui va restreindre un maximum de services par adresse IP, et par la désactivation de tous les fonctionnalités inutiles (avez-vous vraiment besoin d’Apache/SSL si votre site web ne tourne pas en HTTPS ?  l’activation de STARTTLS sur votre Postfix est-elle vraiment nécessaire ?) ;
– toutes les informations secrètes doivent être changés régulièrement (clés privés, mots de passe, certificats, etc.) et changeables rapidement en cas de besoin… l’utilisation d’un gestionnaire de mot de passe étant indispensable.

Bug MySQL : pas de cache avec des tables InnoDB et un nom de base/table foo-bar

December 2nd, 2013

L’équipe Evolix a récemment découvert un bug assez incroyable : les versions 5.1 à 5.6.8 de MySQL ne gèrent pas le Query Cache (un mécanisme essentiel) sur les tables InnoDB si le nom de la table ou base contient un caractère particulier, notamment le tiret () !! Ce n’est pas une véritable découverte car le bug a été corrigé pour la version 5.6.9 en décembre 2012, mais il a été peu « médiatisé » et surtout il impacte de nombreuses distributions Linux. Concrètement si vous avez Debian (Squeeze/Wheezy/Testing/Sid) ou Ubuntu (toutes les versions depuis 4 ans) et vous utilisez le paquet mysql-server, toutes vos bases ou tables nommées foo-bar sont impactées. Toutes vos requêtes sensées être servies par le cache MySQL ne le sont pas, et il en découle des problèmes de performance (parfois très significatifs). Au passage, pour vérifier qu’une requête MySQL utilise bien le Query Cache, vous pouvez observer le compteur de hits via show status like ‘Qcache_hits’ (parfois difficile sur des serveurs en production, mais vous avez bien sûr des serveurs de préproduction ;-).

Mise en évidence du bug avec un nom de base foo-bar :

mysql> create database `foo-bar`;
mysql> create table `foo-bar`.baz (a int) engine=InnoDB;
mysql> insert into `foo-bar`.baz values (1);
mysql> select * from `foo-bar`.baz;
mysql> show status like 'Qcache_hits';
+---------------+--------+
| Variable_name | Value  |
+---------------+--------+
| Qcache_hits   | 42     |
+---------------+--------+
mysql> select * from baz;
mysql> show status like 'Qcache_hits';
+---------------+--------+
| Variable_name | Value  |
+---------------+--------+
| Qcache_hits   | 42     |
+---------------+--------+

Mise en évidence du bug avec un nom de table baz-qux :

mysql> create database foobar;
mysql> create table foobar.`baz-qux` (a int) engine=InnoDB;
mysql> insert into foobar.`baz-qux` values (1);
mysql> select * from foobar.`baz-qux`;
mysql> show status like 'Qcache_hits';
+---------------+--------+
| Variable_name | Value  |
+---------------+--------+
| Qcache_hits   | 42     |
+---------------+--------+
mysql> select * from foobar.`baz-qux`;
mysql> show status like 'Qcache_hits';
+---------------+--------+
| Variable_name | Value  |
+---------------+--------+
| Qcache_hits   | 42     |
+---------------+--------+

Si vous n’êtes pas encore parti en courant vérifier le nom de vos bases et tables MySQL/MariaDB, je vais vous expliquer comment ce bug a été découvert et pourquoi cela illustre bien le travail d’infogérance d’Evolix. En effet, un abonnement à l’infogérance est une sorte d’assurance : outre les opérations visibles (surveillance 24/24, veille technologique, mises-à-jour, support technique), c’est aussi la garantie que l’on mettra tout en œuvre si il vous arrive un incident. Pendant plusieurs mois/années vous n’aurez peut-être pas d’incident sérieux (et tant mieux pour tout le monde), mais un jour vous aurez besoin d’une attention de plusieurs heures voire plusieurs jours. C’est ce qui est arrivé ces dernières semaines avec ce bug MySQL : un client d’Evolix a signalé une lenteur sur certaines pages d’un site d’e-commerce suite à une migration de serveurs. Après pas mal d’analyses, nous n’étions pas convaincus, la lenteur s’expliquait par des milliers de requêtes SQL faites sur chaque page, et surtout cette lenteur était également présente sur l’ancien serveur. Néanmoins, nous avons fini par découvrir que sur un très vieux serveur en Debian Lenny, les pages étaient moins lentes. Après de nombreux tests (passage en SSD, utilisation de TMPFS pour éliminer les I/O disque, tests sur différents serveurs dont un ultra puissant, strace des process, etc.), nous avons mis en évidence que l’exécution des milliers de requêtes SQL étaient tout simplement plus rapides sur le très vieux serveur en Debian Lenny. Ce constat était un peu effrayant pour nous, et presque tout l’équipe s’est mis sur ce problème. On a identifié que les requêtes n’utilisaient pas le Query Cache, et l’on a donc relu toute la documentation concernant le cache MySQL… mais rien à faire, des requêtes SQL simples n’étaient toujours pas mises en cache. Même résultats avec MySQL 5.1/5.5 ou MariaDB 5.5. Puis l’on a découvert ce fameux bug : la base concernée ayant un tiret dans son nom, on l’a fébrilement renommée et *bingo* les requêtes sont désormais cachées !

En attendant une éventuelle correction du bug par Debian, nous conseillons de renommer vos bases et tables impactées. Au passage, le tiret () est un caractère particulier pour MySQL et il est préférable de prendre l’habitude d’utiliser l’underscore (_) dans le nom de vos bases et tables.

Evolix : Augmentation de Capital

June 25th, 2013

J’ai le plaisir de vous informer d’une augmentation du capital social d’Evolix, passant d’un montant de 7.500 EUR à 105.000 EUR.

Cette opération a été réalisée en incorporant une partie des profits des dernières années, c’est-à-dire que la répartition du capital reste inchangée : entièrement détenu par Sébastien Dubois et moi-même. Concrètement c’est surtout un moyen de démontrer notre bonne gestion et solidité financière. Nous hébergeons et infogérons des infrastructures web critiques, et la confiance et la stabilité sont des critères importants pour nos clients actuels et futurs. Grâce à cette augmentation de capital et notre croissance régulière (CA de 650k en 2012), l’objectif est de parvenir dans les prochaines années à un chiffre d’affaires d’un million d’euro. Cette ambition maîtrisée vise à poursuivre notre évolution tout en restant fidèles à nos convictions basées sur les valeurs des Logiciels Libres et la stratégie de rester une équipe à échelle humaine : croître « lentement mais sûrement ».

Pour sa 10ème année d’existence, Evolix prouve ainsi être devenue une entreprise stable et pérenne.

Pourquoi il faut éviter les alias mail vers Orange, Gmail, Hotmail, Free, Yahoo etc.

April 23rd, 2013

Une coutume s’est installée depuis quelques années dans le monde de la messagerie : mettre en place des alias ou redirections de messagerie. Le problème c’est lorsque ces redirections sont d’un domaine vers un autre. Exemple typique : j’achète un nom de domaine “monnouveausite.com” et je crée une redirection de contact@monnouveausite.com qui renvoie vers ma messagerie Orange/Hotmail/Gmail/Free/Yahoo. C’est mal… il faut vraiment éviter de faire cela !

Pourquoi c’est mal ? Car votre alias va inévitablement finir par recevoir du spam. Et ce spam sera donc redirigé “tel quel” des serveurs gérant les MX de “monnouveausite.com” vers Orange/Hotmail/Gmail/Free/Yahoo. Du coup, Orange/Hotmail/Gmail/Free/Yahoo vont identifier les MX comme étant des relais de spams et blacklister ces serveurs ! C’est d’autant plus vrai avec les politiques antispam de plus en plus strictes d’Orange ou Yahoo par exemple.

Alors que faire ? Plusieurs éléments de réponses :
– Évitez d’avoir une messagerie chez Orange/Hotmail/Gmail/Free/Yahoo ! Hotmail ne respecte les standards, Gmail ne répond JAMAIS aux demandes sur abuse@, Yahoo et Free ont une politique antispam trop violent, etc. bref, il y a de nombreuses raisons à avoir une messagerie auto-hébergée par vous, vos amis ou des petites entreprises comme Evolix.
– Créez de vrais comptes mail pour héberger “monnouveausite.com” et récupérez les en POP/IMAP/webmail.
– Si vous désirez vraiment centraliser différentes adresses sur une seule messagerie, utiliser une récupération automatique en POP ou IMAP. Si vous avez une messagerie Open Source, vous pouvez utiliser le logiciel libre fetchmail qui récupèrera pour vous tous vos messages. À défaut, si confier vos mots de passe au FBI ne vous fait pas peur, vous pouvez utiliser un service de récupération de messages comme celui de Gmail.