Le blog de commonIT

Aujourd’hui nous avons décidé de vous faire découvrir le métier d’ingénieur développeur chez commonIT à travers l’interview d’un des membres de l’équipe R&D : Corentin Chary. Il a intégré commonIT il y a un peu moins d’un an et depuis, son travail a pris une place majeure dans l’évolution de la solution Virtual Browser.

1) Quelles sont les méthodes de développement que vous utilisez ? Quels sont vos outils ?

J’utilise principalement des outils issus du monde du logiciel libre, il serait impossible de les citer tous tellement ils sont nombreux.

On y trouve le noyau Linux, la distribution Gentoo, le gestionnaire de source git et l’éditeur de texte Emacs. Ce sont des outils que certains pourraient trouver préhistoriques, mais ce n’est vraiment pas le cas. Ils évoluent à une vitesse impressionnante, et une fois pris en main, ils permettent de travailler très efficacement !

Pour Virtual Browser, nous utilisons aussi beaucoup la distribution Ubuntu, donc Debian, le langage python ainsi que le framework django.

Pour la gestion de bugs, nous utilisons redmine, chacun ajoute des tâches (bugs et fonctionnalités), en rapport à des retours clients par exemple, puis Mathieu Lafon (directeur R&D) affecte ces tâches aux membres de l’équipe.

2) Quels sont les principaux projets sur lesquels vous travaillez actuellement ?

En ce moment, nous travaillons d’arrache pied sur la version 2.0 qui sortira en fin de mois. Je viens par exemple de passer un certain temps sur l’agent iPhone qui est la première version de Virtual Browser pour Smartphone. Cela n’a pas été une mince affaire, en effet l’iPhone a des contraintes vraiment particulières. Mais au final, cet agent (baptisé VB iAgent) fonctionne bien, et permet par exemple d’utiliser Internet Explorer sur iPhone !

A part ça, je travaille principalement sur le serveur Virtual Browser. J’ai développé une grande partie du mode “cluster”, disponible depuis la version 1.3, qui permet d’installer Virtual Browser sur plusieurs machines. On peut ainsi avoir de la haute disponibilité, de la répartition de charge et du cloisonnement physique entre les navigateurs.

Nous avançons aussi sur plusieurs projets pour l’avenir de Virtual Browser, et qui arriveront à la suite de la version 2.0.

3) Pourquoi avoir choisi commonIT ? Quelles ont été vos motivations pour travailler dans cette start-up ?

J’ai choisit commonIT pour plusieurs raisons. Tout d’abord, parce que j’ai tout de suite été séduit par le produit Virual Browser, qui à mon sens répond à une véritable problématique. Le navigateur a vraiment une place importante aujourd’hui, mais cela apporte son lot de problèmes notamment du point de vu de la sécurité. Aucun navigateur n’est épargné, même si certains sont plus touchés que d’autres. De plus, avant l’émergence des navigateurs alternatifs (Firefox, Chrome, Safari, Opera) de nombreuses applications web ont été créées pour fonctionner uniquement sous IE6 (et sans respecter les standards W3C, ce qui aurait évité bien des problèmes). Virtual Browser permet de régler ces problèmes de compatibilité, en permettant d’utiliser facilement différents moteurs de rendu et différents plugins.

De plus, être dans une structure telle que commonIT, avec une petite équipe me donne l’occasion de travailler sur des sujets très variés et surtout d’avoir un réel impact sur l’évolution du produit et de la société. C’est le type de challenge que je recherchais.

Corentin Chary, Ingénieur Développeur chez commonIT

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

L’innovation est une valeur au coeur de la stratégie et de la vie de commonIT. Afin de la favoriser, nous avons décidé d’être partenaire d’un programme de formation appelé “Projets Innovants” au département Télécommunications, Services et Usages de l’INSA de Lyon.

Issus pour partie de cette école, nous avions à coeur de nous investir dans le travail universitaire qui est fait, dans l’IT et dans l’innovation, par l’INSA. Sous la responsabilité de Stéphane Frénot (enseignant chercheur) et Hugues Benoit-Cattin (directeur du département), cette formation s’adresse aux élèves ingénieurs de 4ième année et a pour but d’apprendre aux étudiants les processus qui favorisent l’innovation technologique au travers d’une méthodologie théorique et d’une mise en pratique par la réalisation d’un projet sur une période de 6 mois. Dans le cadre de ce partenariat, commonIT distillera ses conseils pratiques et partagera son expérience de startup. Nous organiserons également la remise d’un prix aux 3 projets les plus innovants en fin de programme au mois de juin.

C’est une réflexion en cours dans de nombreuses entreprises cette année : “Devons nous passer à Windows 7 ? Si oui, quand et quels seront les problèmes potentiels liés à la migration ?”.

Et dans les éléments à prendre en compte, le navigateur n’est pas le moins important. Il est vrai que d’un coté, Microsoft explique que la version 8 de son Internet Explorer est “plus sûre, plus rapide et plus simple que jamais”… sous entendu que les versions 6 et 7. Mais d’un autre coté, bon nombre d’applications web en entreprise nécessitent encore IE6. Ce sont parfois des applications qui ont été développées en interne, ou par un prestataire externe, elle ne sont plus forcément supportées et en tout cas, le passage des postes de l’entreprise en Windows 7 (et donc en IE8) pose question.

Doit-on faire évoluer ces applications compatible IE6 pour permettre aux utilisateur de s’y connecter avec IE8 ? Est-ce possible ? Combien ça coûte ? Et quelle est la pérennité de ce choix ?

Il y aura forcément des versions de IE après la version 8. Il y aura aussi de nouveaux navigateurs et de nouveaux terminaux (pourquoi pas quelques Mac et quelques smartphones ?). Fatalement, il faudra à nouveau supporter ces navigateurs et donc intervenir sans cesse sur ces applications pour les mettre à jour. A moins que…

A moins qu’une alternative beaucoup plus intéressante économiquement et beaucoup plus pérenne soit possible. Il faudrait pouvoir laisser ces applications en l’état (donc compatibles IE6) et permettre aux utilisateurs d’utiliser indifféremment IE6 et IE8 depuis leur poste Windows 7. C’est précisément ce que permet Virtual Browser.

En effet, avec Virtual Browser, vous pouvez migrer vos postes sur Windows 7 et virtualiser IE6 (et pourquoi pas d’autres navigateurs ?) pour permettre à vos utilisateurs de continuer à accéder aux applications compatibles avec ce navigateur.

L’idée est d’isoler le bon navigateur et les bons plugins (flash, java, …) dans une bulle virtuelle du serveur Virtual Browser. Cette bulle, montée à la volée et unique pour chaque utilisateur, est dédiée à la connexion vers la (ou les) application(s) nécessitant cette configuration de browser. Pour en savoir plus, consultez le témoignage d’un utilisateur.

Et hop, encore une faille annoncée dans IE hier soir. Cette fois, elle permet l’accès à tous les fichiers présents sur le disque dur du PC, et toutes les versions d’IE sont concernées… mais la configuration par défaut dans les versions récentes de Windows (Vista, Server 2008, 7) empêche l’exploitation de cette faille. C’est donc principalement sous Windows XP que le risque existe. Cette version de Windows reste tout de même l’OS le plus répandu (à l’heure où j’écris ces lignes, plus de 66% de parts de marché d’après NetMarketshare).

La réaction de Bernard Ourghanlian (Directeur de la sécurité de Microsoft), rapportée par Clubic, est très intéressante ; il dit notamment (je cite) : “Nous aimerions bien nous débarasser d’Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft (jusqu’en 2014), Internet Explorer 6.0 le sera également“.

Au delà de cette nouvelle faille qui prouve l’intérêt sécuritaire de l’approche de cloisonnement que nous avons développée pour Virtual Browser, les propos de Bernard Ourghanlian illustrent également la problématique liée à la gestion du/des navigateur(s) en entreprise : le déploiement et les mises à jour de ce client représente une charge importante, et donc un coût non moins important pour les entreprises. Là aussi, Virtual Browser facilite le travail de l’administrateur grâce à son architecture centralisée et aux fonctions de mises à jour des différents composants du navigateur (moteur de rendu, plugins, …).

Bref, les mois se suivent et se ressemblent… Et tout porte à penser que les entreprises ont besoin de revoir l’architecture d’exécution, de déploiement et de mise-à-jour de leur navigateur. C’est le sens de nos efforts et la finalité de Virtual Browser.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités. 

Le 7 janvier 2010, 01Informatique dédie sa page startup à CommonIT. Dans ce numéro, la page 20 est donc consacrée à notre société et à Virtual Browser. L’article de Stéphane Bellec présente précisément notre solution, les avantages qu’elle apporte et met en avant les aspects innovants de Virtual Browser.

Ce petit coup de pousse ne s’arrête pas là, car le même jour j’ai eu la chance d’être invité pour une mini interview de 3 minutes (en 3 questions) dans l’émission 01 Busuiness sur BFM Radio.

Vous pouvez écouter toute l’émission 01 Business dans le podcast du 7 janvier 2010 “les enjeux du e-learning en entreprise” sur le site de BFM en cliquant ici. L’interview de commonIT commence à 42″40′.

Les chercheurs de McAfee Labs, la division recherche de McAfee, viennent de publier leur rapport annuel “2010 Threat Predictions”. Sans surprise on y apprend que le navigateur reste le vecteur d’attaque privilégié, plus particulièrement à travers les sites de réseaux sociaux. Ainsi, par exemple, l’utilisation de plus en plus fréquent de raccourcis d’URL (bit.ly, tinyurl.com) pour gagner de la place dans les “tweets” de Twitter permet très (trop) facilement de faire cliquer l’utilisateur, même avertit, sur un lien détourné lançant des attaques sur la machine de l’utilisateur, sur ses autres sessions web (cross-site) et sur le réseau local sur lequel le poste est situé (celui de l’entreprise s’il sur au bureau…). McAfee avertit également sur les risques des extensions du navigateur tels Flash ou Acrobat d’Adobe ainsi que l’arrivée de HTML 5.0, qui font “fondre la ligne entre les applications web et les applications du poste de travail”. La nécessité d’une politique de sécurité d’accès web concrétisée par un cloisonnement des usages et la gestion précise des droits de chacun sera plus que jamais d’actualité en 2010.

Accédez au rapport de McAfee ici.

La dernière version de Virtual Browser amène son lot de nouveautés (comme à chaque nouvelle version… merci à l’équipe de Mathieu ;-)). Mais parmi elles, il en est une qui va donner une nouvelle dimension à notre produit. En effet, il est désormais possible de publier sur le serveur Virtual Browser, aux cotés des différents moteur de navigation que nous intégrons déjà (IE, Firefox, java, flash, …), les clients ICA et RDP. Autrement dit, avec VB, un utilisateur peut se connecter aussi bien à des applications web qu’à des applications virtuelles ou à des bureaux virtuels complets.

La nouveauté est suffisamment importante pour qu’on s’arrête un instant sur sa finalité. Cette nouvelle version offre en fait la possibilité pour un utilisateur de se connecter, à partir d’un client unique, sécurisé, multiplatforme et ne nécessitant aucune installation sur le poste, à toute application webifiée ou virtualisée sans se soucier: (i) ni de ce qu’il y a sur son poste, (ii) ni de la compatibilité entre son client et l’application, (iii) ni du chemin d’accès à l’application en questions. L’objectif que nous poursuivons derrière cela est de faire de VB un browser universel d’accès au cloud.

Le terme de “Cloud” (ou “Cloud Computing“) est assez nouveau et donc pas encore parfaitement défini. Dans notre définition, il recouvre l’ensemble des applications, web ou virtuelles, hébergées par l’entreprise (private cloud) ou par des fournisseurs de service en ligne (Software-as-a-Service). Aujourd’hui, les entreprises vont petit à petit vers le Cloud Computing, ce qui a conduit leur datacenter à se disperser, un peu dans les environnements virtuels (Citrix et consorts), un peu dans les Intranet, un peu sur Internet, chez Google, Salesforce et les autres leaders du SaaS.

En positionnant VB comme un client universel d’accès au cloud, nous voulons accompagner les entreprises dans cette évolution en permettant trois choses fondamentales :

1- La sécurité grâce au chiffrement des flux, à l’authentification des accès et au cloisonnement des différents environnements : (i) Internet, (ii) applications internes, (iii) applications en ligne, (iv) poste de l’entreprise et (v) poste non maîtrisé

2- La centralisation du management et des mises à jour sur un serveur unique, redondant et évolutif

3- L’indépendance entre le poste utilisateur et les applications publiées. Le compatibilité et le chemin d’accès à une application sont totalement indépendants du poste de travail.