Nouveaux outils

Vault as a service

Lancement d’un Vault as a Service en bêta publique par Hashicorp :

Infracost.io

Calculez une estimation de l’évolution du coût de l’infra dès la Pull Request sur votre code Terraform avec https://www.infracost.io/.

Digital Ocean + Gitlab

Annonce d'une intégration forte pour App Platform (Digital Ocean) qui permet de déployer une application à chaque push sur un repo GitLab https://www.digitalocean.com/blog/introducing-gitlab-integration-for-digitalocean-app-platform/

Lancement de Google EventArc

EventArc, une sorte de IFTT (plateforme de gestion de triggers entre services web) interne à la GCP, permet d'envisager des intégrations natives entre services GCP en émettant des évènements à partir de l'audit log. Lancés en bêta en Novembre dernier, ces évènements ciblent nativement Cloud Run et PubSub (pour des intégrations manuelles à d'autres services). L'idée est de cibler dans le futur d'autres services que Cloud Run.
https://cloud.google.com/blog/topics/developers-practitioners/eventarc-unified-eventing-experience-google-cloud

Green-itude de votre infra

Estimez le coût énergétique de votre infra grâce à Scaphandre :
https://bpetit.nce.re/fr/2021/01/scaphandre-v0.1.1-mesurer-la-consommation-d%C3%A9nergie-des-coulisses-du-num%C3%A9rique/

Un seul service pour les gouverner tous (vos EKS)

Nouveau service managé chez AWS : la fédération des clusters EKS
https://aws.amazon.com/about-aws/whats-new/2021/01/introducing-federated-amazon-eks-clusters-aws/

Dans les pas d'une transformation DevOps

Adidas publie un guide à destination des entreprises qui entame une transformation DevOps de leurs équipes IT :
https://github.com/adidas/adidas-devops-maturity-framework

Analysez vos binaires

Radare2 un outil Open Source pour la décompilation et l'analyse de binaire : https://opensource.com/article/21/1/linux-radare2


Nouvelles versions

Litmus 1.12.0 est là

https://github.com/litmuschaos/litmus/releases/tag/1.12.0

Terraform CDK 0.1

Bonne nouvelle pour les amateurs de Java et C# : Terraform étend son CDK pour couvrir ces 2 nouveaux langages

https://www.hashicorp.com/blog/announcing-cdk-for-terraform-0-1

ArgoCD Notifications 1.0

Reprise de la partie notifications des events d'ArgoCD : new version ! Une mineure qui semble plus être une majeure qu'autre chose

https://blog.argoproj.io/notifications-for-argo-bb7338231604

Podman 3.0

Podman passe en version 3.0 ! Principale nouveauté : le support de docker-compose. Tous les détails par son principal contributeur ici : https://www.redhat.com/sysadmin/podman-docker-compose

Toutes les (nombreuses) autres nouveautés sont détaillées ici : https://github.com/containers/podman/blob/master/RELEASE_NOTES.md#300


Changements de licences (et de tarifs)


Grafana Cloud

Nouveauté chez Grafana Cloud : une souscription gratuite pour leur service qui inclut 10 000 métriques pour Prometheus ou Graphite et 50GB de logs collectés via Loki. Le tout avec ou sans une période de rétention de 14 jours !

https://grafana.com/blog/2021/01/12/the-new-grafana-cloud-the-only-composable-obse[…]and-traces-now-with-free-and-paid-plans-to-suit-every-use-case/

RedHat gratuit

Suite à la nouvelle organisation, notamment sur le fonctionnement de CentOS, RedHat projette de rendre son système d'exploitation éponyme gratuit sous certaines conditions : https://www.linuxtricks.fr/news/10-logiciels-libres/488-red-hat-enterprise-linux-bientot-gratuit-pour-presque-tous/

Gitlab supprime l'une de ses offres

Gitlab retire le plan Bronze/Starter à 4$/mois pour concentrer son offre autour des plans Free, Premium et Ultimate. Les utilisateurs concernés pourront renouveler une dernière année à ce tarif ou bien se verront offrir un tarif de transition échelonné sur trois ans vers l’offre Premium.

https://www.theregister.com/2021/01/27/gitlab_removes_starter_tier/

ElasticSearch devient beaucoup moins OpenSource...

Changement de licence pour ElasticSearch et Kibana, attention si vous exploitez ces produits :
https://anonymoushash.vmbrasseur.com/2021/01/14/elasticsearch-and-kibana-are-now-business-risks

... Et Amazon réagit en conséquence

La réponse d'AWS au changement de licence annoncé par Elastic ne s'est pas fait attendre. En effet, ce changement remet en cause le service managé basé sur ces produits et vendu jusqu'alors par Amazon : https://aws.amazon.com/fr/blogs/opensource/stepping-up-for-a-truly-open-source-elasticsearch/


Côté Cloud Providers


Twitter aime AWS

Twitter annonce qu'il utilisera désormais AWS pour ses services :
https://www.bloomberg.com/news/articles/2020-12-15/twitter-will-use-amazon-web-services-to-power-user-feeds

Palmarès du Cloud

GCP désigné comme le fournisseur le plus rapide de 2021 (oui, déjà !) et AWS conserve la palme du meilleur rapport qualité-prix. Plus de détails sur cette étude menée par Cockroach Labs ici :
https://www.distributique.com/actualites/lire-gcp-designe-cloud-le-plus-performant-de-2021-par-cockroach-labs-30880.html

Slack accuse AWS

Slack, qui avait connu des perturbations en début d'année, a communiqué plus d'informations sur le problème qui serait lié à un soucis du côté de son fournisseur Cloud, AWS : https://www.lemondeinformatique.fr/actualites/lire-la-panne-de-slack-debut-2021-imputee-a-aws-81733.html

Formation AWS

Amazon lance un plan de formation gratuit pour s’assurer toujours plus d’utilisateurs :
https://www.clubic.com/pro/entreprises/amazon/actualite-351013-amazon-veut-former-gratuitement-29-millions-de-personnes-au-cloud-computing-d-ici-2025.html

La Poste en panne

Une importante panne informatique rend inaccessibles de nombreux services à La Poste :
https://www.rtl.fr/actu/economie-consommation/la-poste-touchee-par-une-panne-informatique-plusieurs-services-indisponibles-7800961743


Sécurité


Apprendre en s'amusant

http://flaws.cloud/ : un serious game voué à mettre en avant les faiblesses les plus courantes des services managés AWS.

Faille au sein de Sudo

Sudo est victime d'une faille de sécurité. https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

Tester la solidité de votre infrastructure AWS

Un condensé intéressant des principales façons de tester la solidité de votre infrastructure AWS :
https://tldrsec.com/blog/lesser-known-aws-attacks/

Appel à commentaires de l'ANSSI

L’ANSSI lance un appel public à commentaires sur le référentiel d’exigences applicables aux prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) : https://www.ssi.gouv.fr/actualite/appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-daccompagnement-et-de-conseil-en-securite-des-systemes-dinformation-pacs/

Répertoire de failles

Publication d'un site où sont listées des failles dans certains malwares : https://www.zdnet.com/article/new-website-launched-to-document-vulnerabilities-in-malware-strains/

Grosse boulette chez Nissan

Et pour conclure cette section Sécurité, la palme de la brèche la plus facile à utiliser revient à Nissan :


Justice, gloire et beauté


AWS refuse de poursuivre l'hébergement de Parler

Action assez exceptionnelle de la part d'AWS pour être soulevée. Dans un climat de tension politique aux US, AWS a décidé de mettre fin à l'hébergement de l'application Parler utilisé massivement par les pro-Trump : https://www.zdnet.fr/actualites/washington-aws-deconnecte-parler-39915885.htm

La justice US a donné une première décision avant le jugement ! https://www.20minutes.fr/high-tech/2958903-20210122-violences-washington-amazon-oblige-heberger-parler-tranche-juge-americaine

Ultime décret controversé signé par Donald Trump

Les plateformes de Cloud Computing américaines devront pouvoir identifier les utilisateurs non américains pour faciliter la lutte contre le cybercrime :
https://www.zdnet.fr/actualites/donald-trump-pousse-les-fournisseurs-de-cloud-americain-a-jouer-aux-indics-39916511.htm


Certification européenne des fournisseurs Cloud à l'étude

L'agence européenne en charge de la cybersécurité étudie une certification des fournisseurs cloud à l'échelle européenne. Cette certification comparable à la certification SecNumCloud en France est en cours de discussion actuellement, cet article nous parle de sa création et de son possible fonctionnement. https://www.latribune.fr/opinions/tribunes/comment-l-europe-va-t-elle-s-y-prendre-pour-certifier-les-fournisseurs-de-cloud-871261.html

AWS n'existe plus en Chine

Amazon interdit d'utiliser le logo AWS en Chine. La marque AWS appartient à une société chinoise de services logiciels (ActionSoft Science & Technology Development Co), selon les règles de la Haute Cour de Pékin.

En fait, l'histoire amusante est qu'Amazon a utilisé la marque AWS avant l'entreprise chinoise, mais le tribunal a ordonné à Amazon de cesser d'utiliser le terme AWS ou tout autre logo similaire en Chine et de verser une indemnité de 76,5 millions de yuans, soit 11,8 millions de dollars, à ActionSoft. Le verdict est daté de mai 2020 mais a été rendu public à la fin du mois dernier. Les tribunaux chinois publient souvent des décisions des mois après leur adoption.

Un représentant d'Amazon a déclaré : «Amazon a été le premier à utiliser le logo AWS en Chine pour vendre des services Cloud depuis de nombreuses années. Nous sommes totalement en désaccord avec la décision de la Cour et avons fait appel de l'affaire devant la Cour populaire suprême. »
https://www.wsj.com/articles/amazon-banned-from-using-aws-logo-in-china-trademark-ruling-11609841232 (article payant et en anglais).

Google reconnu revendeur de services (gratuits)

Google condamné par le TGI de Paris face à l’UFC. Bien que le jugement date d’un an, ce n’est que récemment que vous avez pu voir le lien “publication judiciaire” sur l’accueil du moteur de recherche. Par ailleurs, un petit lien “information consommateurs” est disponible en bas de page. Si les différents articles résument les enjeux et les résultats, la lecture du jugement vous apprendra des choses importantes.

En effet, si pour l’UFC l’idée était de montrer que Google profitait d’une position de force pour demander plus d’informations que nécessaire à l’utilisateur, un des résultats dont parlent moins les articles pourrait avoir des répercussions à plus long terme.

La justice a notamment estimé que Google, bien que fournissant un service gratuit, était bien sujet au droit de la consommation car il y avait bien un contrat (les conditions d’utilisation) demandant à l’utilisateur des informations personnelles en contrepartie de l’utilisation des services. Cette contrepartie non-monétaire fait que le service n’est pas gratuit. Dès lors, les conditions d’utilisation sont discutables au sens du droit à la consommation, ce qui explique pourquoi l’UFC a pu faire “sauter” une partie des clauses dénoncées. La justice a bien insisté sur le fait que la valorisation des données faites par Google grâce à la revente/fourniture de services payants prouvait la valeur des informations de l’utilisateur.

Ainsi, accéder à un service, même gratuit, ne permet pas au fournisseur de faire tout ce qu’il veut ! Quand “vous êtes le produit”, vous êtes un client qui peut faire valoir ses droits !

L’annonce du résultat par l’UFC

Le point de vue de l’UFC sur le jugement et la réaction de Google

Le jugement sur le site de Google