Comme le développement et l’exploitation des applications avant elle, l’ingénierie de la performance est elle aussi en train de se transformer.

La communauté des ingénieurs de la performance dite « traditionnelle » (c’est-à-dire les experts de LoadRunner, SilkPerformer, etc.) est actuellement traversée par une peur presque palpable quant aux changements inexorables qui se profilent : il devient clair que le bon vieux « centre d’excellence de la performance » est en train de disparaître. Et certains de ces ingénieurs craignent d’être laissés sur le carreau, faute de pouvoir suivre le rythme du DevOps. Nombreux sont ceux qui se demandent comment faire évoluer leur carrière, sur quelles technologies se mettre à jour, et quelles compétences développer.

Voici quelques conseils pour embrasser les évolutions récentes de l’ingénierie de la performance :

#1 – Apprenez un nouveau langage de script

Que ce soit en Python, Ruby, Go ou n’importe quel autre langage de script, il y a fort à parier que vous exécutez, encore aujourd’hui, certaines tâches manuellement. Choisissez un langage que vous ne connaissez pas vraiment, et trouvez un moyen d’automatiser les tâches fastidieuses, chronophages et sans valeur ajoutée.

#2 – Ne sous-estimez pas la puissance de l’APM

Il y a aujourd’hui un consensus autour de l’Application Performance Management, selon lequel l’ingénierie de la performance ne peut plus aujourd’hui se passer d’outils d’APM.

En effet, tout désormais est question de services, d’APIs, d’applications et d’utilisateurs finaux. Autant de composants sur lesquels les solutions d’APM modernes permettent d’avoir une visibilité totale.

Mais ne croyez pas que ces solutions soient complexes à installer et configurer, et nécessitent de savoir comment instrumenter vos applications. Cela a pu être vrai dans le passé, ce n’est plus le cas aujourd’hui.

#3 – Shift-Left : Intégrez la performance dans les processus d’intégration et de livraison continues

Vous avez sans doute déjà entendu l’expression « Shift-Left », sans vraiment savoir à quoi cela faisait référence. En voici une explication intéressante : il s’agit de fournir à vos développeurs des feedbacks de performance suffisamment rapides, fréquents et concrets pour qu’ils puissent les intégrer immédiatement à la ligne de code qu’ils sont en train d’écrire. Ce n’est qu’à cette condition que l’on peut réellement parler d’ingénierie de la performance – et non simplement de test à la fin d’un cycle de développement.

#4 – Shift-Right : Tirez parti du monitoring en production

« Shift-Right » : même combat ! Il s’agit ici de définir, de mettre en œuvre et tirer parti d’un monitoring en production. C’est aux ingénieurs de la performance de faire valoir leur expertise pour définir, tester et valider ce qui doit être monitoré, les tableaux de bord à utiliser et les alertes à mettre en place en production.

De plus, les données issues du monitoring en production permettent de définir des scénarios de tests beaucoup plus réalistes en préproduction. Par exemple : les transactions les plus exécutées, le chemin de navigation le plus emprunté, le type de navigateurs, de devices et de bandes passantes des utilisateurs, etc.

Le monitoring de la performance en environnement de production revêt ainsi deux aspects :

–       Au lieu de créer un environnement de test distinct, c’est sur le matériel de production que les tests seront réalisés – par exemple, en dehors de heures de pointe, ou sur des environnements temporaires dupliquant à l’identique l’infrastructure de production.

–       De plus en plus d’architectures applicatives permettent de tester la performance avec du trafic réel, en exposant une nouvelle fonctionnalité à une partie des utilisateurs réels. Lorsque cela est possible, les ingénieurs de la performance peuvent optimiser le déploiement et la configuration, ou analyser les problèmes de performance une fois que le nouveau code est directement déployé en production. Des tests grandeur nature, avec de vrais utilisateurs !

Dans tous les cas, il est essentiel d’avoir un monitoring en temps réel, full stack et prenant en compte l’utilisateur final. En cas de problème de performance, un processus d’optimisation doit être mis en production. Et de nombreuses étapes de ce processus peuvent aujourd’hui être automatisées. C’est le cas par exemple de l’auto-mitigation, l’auto-optimisation ou encore l’auto-réparation du système.

#5 – Familiarisez-vous avec les dernières technologies Cloud et de conteneurs

Si vous n’avez pas encore lancé de serveur dans le cloud ni déployé d’environnement de conteneurs, ajoutez-le dès maintenant sur votre to-do list ! Commencez par exemple par un tutoriel AWS pour apprendre comment souscrire gratuitement à un compte AWS, lancer vos premières instances EC2 et vous connecter à distance à des machines Linux.

#6 – Utilisez l’intelligence artificielle à votre avantageL’intelligence artificielle est l’un, sinon LE mot tendance de l’année ! Nombreux sont les éditeurs à se vanter de tirer parti de l’IA, voire de proposer la seule véritable solution d’IA du marché.

Peu importe qu’on l’appelle Intelligence artificielle, Machine Learning, ou simplement « capacité d’analyses rapides et automatiques de beaucoup de données, accessibles via REST ». Ce qui compte, c’est que l’ingénierie de la performance puisse tirer parti des dernières avancées en la matière. L’analyse des données de performances a toujours été extrêmement chronophage pour les ingénieurs. Or le volume de données ne cesse d’augmenter, aujourd’hui et plus encore dans les années à venir. La seule façon de passer ces données au crible, de trouver les modèles et les anomalies, c’est de faire appel à un moteur d’intelligence artificielle.

Demandez à votre fournisseur comment il se positionne en matière d’IA. Assurez-vous qu’il fournit un moyen non pas seulement d’analyser plus de données, mais aussi d’en comprendre les dépendances et les interrelations.

#7 – Ne considérez plus le NoOps comme un buzzword

Le NoOps est sans aucun doute la prochaine grosse révolution, après la livraison et l’exploitation continues.

NoOps, c’est tout ce qui concerne l’automatisation intelligente des opérations d’exploitation traditionnelles, notamment : le provisioning de ressources, les changements de configuration, les redémarrages, la gestion des pannes, etc.

Le changement semble inexorable, et il est nécessaire que les ingénieurs de la performance le mesurent, et surtout qu’ils prennent les bonnes initiatives, et négocient ainsi le meilleur virage pour leur carrière.

Les pirates informatiques sont opportunistes. Au fur et à mesure que les constructeurs augmentent la puissance des matériels, ces dispositifs deviennent des cibles de plus en plus utiles pour les Botnets. Dans le même temps, les pirates informatiques recherchent les vulnérabilités des périphériques ou exploitent des applications et des périphériques mobiles Dès l’instant qu’un réseau n’est pas sécurisé.

Les Ransomwares ont permis de monétiser facilement ces vulnérabilités et ont eu comme effet secondaire de faire exploser la valeur des crypto-monnaies en raison de leur intérêt croissant. L’extraction de crypto-monnaies (cryptocurrency mining), qui consiste à confirmer des transactions en Bitcoin ou autre monnaies virtuelles, est parfaitement légal. Les développeurs d’applications mobiles recherchent des moyens de monétiser leur travail sur ce marché concurrentiel et l’extraction de bitcoin via ces applications est devenue une opportunité intéressante. Cependant, cette méthode de monétisation pose problèmes lorsque les utilisateurs ne savent pas que leurs appareils sont utilisés pour extraire de la monnaie numérique.

Les récentes poursuites judiciaires contre Apple, accusé de ralentir les performances des versions les plus anciennes de ses iPhones, pourrait devenir un précédent juridique dans le cadre de futures poursuites pour des affaires de « cryptocurrency mining ». Si un utilisateur peut poursuivre Apple en justice puisque son téléphone a été ralenti sans qu’il ne le sache, des développeurs qui installent des capacités minières affectant les performances et la durée de vie des batteries pourraient également être tenus responsables.

Non seulement cette menace est amenée à s’installer, mais elle est en train de devenir aussi présente que les ransomwares. Par exemple, des indicateurs fiables montrent que les pirates utilisent d’anciennes vulnérabilités plus pour miner de la crypto-monnaies après avoir initialement tenté une infection pour générer des bitcoins sans exiger de rançon. Au fur et à mesure que ce pool se rétrécit, les mineurs se concentrent sur l’extraction de la valeur par d’autres moyens, tels que l’utilisation du malware comme arme DDoS.

Bien que la malveillance de ce type d’applications mobiles et de navigateurs Web infectés fasse l’objet de débats, nous pouvons dire avec certitude que nous assistons à la naissance d’une nouvelle forme de malware. Et sans une stratégie robuste de sécurité et de surveillance, ainsi que la visibilité du réseau pour protéger les applications et les ordinateurs, on doit s’attendre à devenir les prochaines victimes du cryptocurrency mining.

L’extraction à l’ère du mobile

L’ère du mobile a créé une occasion pour les pirates de tirer le meilleur parti des logiciels malveillants destinés à miner de la crypto-monnaie. Cette pratique nécessite de la puissance CPU pour générer de la valeur, de la puissance de traitement de données et consomme de l’électricité, trois besoins qui coûtent de l’argent.

Les recherches montrent qu’il existe de nombreuses applications Android malveillantes qui circulent actuellement sur Internet. Parmi elles, certains crypto-mines ont réussi à contourner les filtres pour intégrer le Google Play Store. Une récente analyse sur les malwares visant les mobiles a conduit les chercheurs à identifier un certain nombre de portefeuilles de crypto-monnaie et de comptes appartenant tous à un même développeur russe, lequel affirme que son activité est parfaitement légale pour faire de l’argent.

Dans le domaine de l’industrie, nous avons un point de vue totalement différent et nous considérons que le minage de crypto-monnaies est un détournement du dispositif d’un utilisateur. Bien qu’il soit techniquement légal que l’extraction de crypto-monnaies soit divulguée, ces actions sont délibérément trompeuses et manquent souvent de transparence.

Nous avons été témoins de l’utilisation de mineurs intégrés à des applications légitimes, disponibles sur l’Android Store, et qui sont utilisés pour extraire de la valeur à partir de téléphones mobiles, lorsque leurs propriétaires ne les utilisent pas. Au cours des derniers mois, il y a eu plusieurs cas de pirates exploitant des crypto-monnaies, même une fois que la fenêtre de navigateur était fermée.

Parmi les autres méthodes qu’utilisent les pirates pour déployer des mineurs de crypto-monnaies, on retrouve l’utilisation des forcers bruts Telnet/SSH, ainsi que l’injection SQL et l’installation directe des mineurs. Le crypto-minage, qu’il s’opère via les navigateurs ou les applications mobiles, va persister, de telle sorte que les entreprises concernées devraient améliorer leurs performances de sécurité, en apportant une visibilité et un contexte au niveau des applications à leurs outils de surveillance.

Plus d’appareils, plus de minage

Alors que de nouvelles menaces de sécurité émergent chaque semaine, il y a de fortes chances pour que d’autres périphériques soient rapidement infectés par des malwares de cryptocurrency mining. L’accroissement de la présence de dispositifs IoT va créer de nouvelles cibles pour les mineurs de crypto-monnaies. Nous pourrons également voir des attaques hybrides qui s’appuient d’abord sur un ransomware puis sur un crypto-mineur, afin de profiter deux fois d’une même attaque sur chaque ordinateur.

La plupart de ces attaques se produisent à la périphérie du réseau. L’une des attaques les plus fréquentes qui tente d’installer des crypto-mineurs est la vulnérabilité EternalBlue. Celle-ci a permis le développement de ransomwares comme WannaCry et Not-Petya. Et alors que les pirates n’utilisent pas de nouveaux outils ou de méthodes avancées pour déployer ces mineurs de crypto-monnaies, ils rencontrent quand même du succès. Par conséquent, les entreprises doivent avoir une stratégie réactive de gestion des correctifs, s’assurer que leurs règles IPS sont à jour, effectuer des tests pour s’assurer qu’elles peuvent détecter les vulnérabilités qui ne peuvent pas être corrigées immédiatement, et enfin, surveiller le trafic réseau pour identifier le trafic d’exploitation de chaque poste.

Si les organisations n’ont pas d’informations sur leurs réseaux, elles ne sont pas en mesure de savoir si leurs terminaux exploitent de la crypto-monnaie sans autorisation, divulguent des données en cas de brèche ou diffusent des malwares en interne. La mise en place d’une solution de surveillance du réseau les alertera dès le début d’un compromis en montrant un changement dans la configuration du trafic réseau.

Lorsque Microsoft a lancé Windows 10 au cours de l’été 2015, l’objectif était d’atteindre un milliard de terminaux fonctionnant avec cette mouture du système d’exploitation dans les 3 ans. Cet objectif ne sera pas atteint. Microsoft ne l’évoque d’ailleurs plus. Toutefois la progression de Windows 10 est forte.

C’est ainsi que Windows 10 vient de dépasser Windows 7, selon les statistiques établies par StatCounter. Au cours du mois de janvier, Windows 10 est passé de 41,69% à 42,78% de parts de marché, tandis que Windows 7 est descendu à 41,86% de parts de marché.

On a un peu tendance à l’oublier, mais entre Windows 7 et Windows 10, il y a eu Windows 8 et Windows 8.1 ;-) Ce dernier est en dessous de la barre des 10% de parts de marché.

Même si la progression de Windows 10 n’est pas aussi forte que Microsoft l’aurait souhaité, elle fait oublier l’échec de Windows 8.x.

Il est vrai que Microsoft a employé les grands moyens pour que Windows 10 s’impose : gratuité pendant un an, incitations critiquables voire trompeuses à pousser les utilisateurs à mettre à niveau, et des logiciels majeurs qui ne fonctionneront bientôt plus que sur cette version de l’OS.

Carlo Purrassanta, le nouveau président de Microsoft France, annonce l’ouverture de quatre centres de données dans notre pays, ainsi que l’ouverture d’une école d’intelligence artificielle au sein de son Campus d’Issy-les-Moulineaux.

En fin d’année dernière, dans le cadre du développement mondial de son cloud Azure, Microsoft annonçait la disponibilité d’Azure France en préversion. A l’époque Microsoft n’évoquait pas le nombre de centres de données, mais indiquait que ceux-ci seraient répartis en deux régions : le Centre et le Sud.

Cette expansion géographique d’Azure, expliquait alors Microsoft, vise à améliorer les performances et la disponibilité, tout en répondant aux exigences réglementaires locales et en offrant aux clients la possibilité de localiser leurs données. Microsoft promet une disponibilité à 99,99% sur Azure France.

En ce début d’année, les choses prennent leur tournure concrète. Ce sont quatre centres de données Microsoft qui seront ouverts d’ici fin mars. Trois seront localisés à Paris, le quatrième à Marseille.

L’école d’intelligence artificielle aura pour mission « d’accompagner des publics éloignés de l’emploi vers des métiers d’avenir : jeunes demandeurs d’emplois en reconversion, personnes issues de formations alternatives en matière de développement web (Grande Ecole du Numérique), avec une attention particulière à l’égard des femmes. » indique Microsoft.