Blog de JP Gouigoux

Je me mettrai pas de notes complètes sur cette session, car je l’avoue, j’ai séché la majeure partie. Ce n’était pas ce que je m’attendais à voir, malheureusement. J’ai tout de même appris des choses, car c’était une bonne session, mais j’ai préféré partir un peu en avance et fureter sur les stands, et aller voir la communauté .NET que de rester jusqu’à la fin.

Windows Azure Active Directory est un service d’identification prêt a l’usage, mis à disposition sur Azure. Il se trouve que ce service est en fonction depuis deux ans, avec accès des massifs, autour de trente millions par heure.

Pour entrer un peu plus dans le détail, il s’agit d’un service multi locataire pour gestion d’identités et contrôle d’accès aux applications. Les utilisateurs des services SaaS Microsoft (Office 365, CRM Online, Intune, etc.) sont déjà dessus. http://login.microsoftonline.com est le portail web d’authentification.

Un truc intéressant est qu’il est possible de faire un lien avec un AD local. D’ailleurs, certaines applications nécessitent la projection d’attributs depuis l’AD local vers WAAD. Typiquement, une application métier peut avoir besoin de paramètres qui viennent de l’annuaire, mais ces attributs ne sont pas nécessairement gérés dans WAAD. Les gérer dans l’AD local permet de les mettre à jour plus facilement.

Toujours le même groupe Rock pour nous accueillir, et franchement, ils sont bons :

Le Monde du Cloud a fait un excellent retour sur cette plénière, donc je me permets de vous renvoyer à leur article, même si je ne vais pas me défausser de mon compte-rendu, qui tient dans les quelques notes ci-dessous.

Le pitch était une approche interactive entre le responsable marketing et le DSI interne de Microsoft, le premier challengeant souvent le deuxième. On va voir comment la DSI répond, avec les produits MS évidemment (oui, on aurait été un peu surpris que le DSI de Microsoft nous déclare que l’informatique interne tournait en Linux…)

Les deux intervenants se mettent d’accord sur le fait que les tensions entre eux sont souvent des tensions entre smart (IT) et fast (métier). Le marketing a besoin de solutions rapides pour gagner des affaires, tandis que l’IT préfère naturellement réaliser de manière propre et architecturé. Le discours au final est qu’il est possible de grouper les deux, en utilisant les bons outils (sous-entendre bien sûr les nouveautés de Microsoft).

L’orateur principal cite Ford, qui a récemment publié un article sur Forbes (merci Sylvestre pour le lien) déclarant que toutes les entreprises sont désormais des entreprises de software. Il est vrai que, de plus en plus, non seulement les matériels embarquent de l’informatique (les voitures, mais pas seulement) mais les processus qui permettent à une entreprise de se différencier sont liés à l’informatique (Big Data, web marketing, etc.). Cela m’a immédiatement fait penser à la déclaration du maire de New York, Michael Bloomberg, qui a il y a quelques mois a déclaré qu’une de ses bonnes résolutions pour cette année était d’apprendre à programmer. J’ai déjà dit ce que j’avais à dire sur le danger de croire que Madame Michu peut devenir développeur en surfant sur Codacademy, mais bon… ça montre bien à quelle point le développement est en train de devenir pervasif. Certains pensaient que l’IT allait devenir une “commodity” (comprendre un simple prérequis technique qui ne participe plus à la différenciation d’une entreprise par rapport à ses concurrents). En pratique, c’est exactement l’inverse qui est en train de se produire, à savoir que l’informatique est à la base de nombreuses actions de différenciation.

On continue ensuite avec un dashboard sur les Tech Days, bon exemple des approches de type DataViz, permettant en un clin d’œil de comprendre la donnée plus en profondeur qu’un simple tableau le ferait.

On passe ensuite sur la virtualisation, dont on rappelle qu’elle est la pierre angulaire de l’informatique de services qui se profile. Support de NUMA dans HyperV 3, et presque plus de limite en nombre de CPU virtuels, Live migration de machines, PRA intégré avec HyperV replica, avec gestion de la translation d’adresses, etc. Les annonces sont nombreuses…

Petit détour par PowerShell, dans lequel il va vraiment falloir que je me plonge, car il regorge de fonctionnalités très pratiques et que je n’utilise pas assez. Par exemple, Install-WindowsFeature pour installer une fonction Windows, y compris sur des machines distantes. L’Intellisense Powershell va jusqu’au contexte, par exemple en affichant la liste des process courants pour le paramètre de la fonction d’information sur les process. Ca, c’est balèze…

Orchestrator pour créer graphiquement des architectures physiques.

Le principe de l’ITaaS : découpler, par exemple sur une création d’un SharePoint, la création du site proprement dite, qui vient de l’utilisateur, et le provisioning qui est fait par l’IT. Il y a bien découplage du service, avec l’IT qui suit l’état de santé machine, et intervient avant les conséquences métier, et le métier qui est un utilisateur simple de la solution, sans vue de l’IT sous-jacente. On sent que les approches Cloud ont vraiment diffusé jusqu’à la moëlle du comportement des applications de Microsoft.

L’administration dans ce cas descend jusqu’au niveau profilage, y compris Intellitrace. Ca, c’est vraiment très fort : on voit une démo dans laquelle un plantage est suivi par l’administrateur jusqu’à la ligne de code qui la cause. Approche très Devops, dont on ne peut que s’inspirer si on travaille chez un éditeur de logiciels. On peut aller jusqu’au Business ScoreCard sur le SLA effectif !

Virtualisation et proactive monitoring comme pré-requis du cloud privé ou hybride. Dans AlwaysOn, les serveurs replica sont utilises pour le backup, etc. de façon a alléger les serveurs principaux.

SCCM peut déployer des .appx, des applis d’un store, même du Mac OS X. BYOD Intune gère la security policy, y compris pour du Android ou iOS : par exemple, autoriser APN, forcer MDP au déverrouillage, etc. Bref, ce qu’il faut pour que le BYOD soit moins perçu comme une sourde menace par l’IT.

DirectAccess permet de pousser des policies de sécurité sur les devices connectés, et est plus facile a paramétrer en version 2012. Windows To Go permet de streamer des applications. 180 000 utilisateurs de DirectAccess pour Microsoft, dont 95 000 employés.

On finit sur un vrai feu d’artifice à la Microsoft, avec un reporting des machines d’une infrastructure réalisé dans Visio, et qui permet de descendre visuellement dans des schémas d’architecture physique jusqu’à la machine ayant un problème. Très fort… mais le coup de grâce, c’est la démo finale d’un affichage de cartographie dynamique 3D dans Excel, en mode touch, et avec animation d’indicateurs. Le tout réalisé en trois clics de souris, aussi simplement que la création d’un graphique ou d’un tableau croisé dynamique. Je ne peux que vous conseiller de regarder les dernières minutes sur internet, car une description en texte ne rend rien…

Bon, je n’ai pas pour habitude de faire de la publicité sur ce blog qui est purement technique, mais les circonstances font que je me dois de mettre en avant ceux qui font les choses bien, et l’ENI mérite vraiment qu’on parle d’eux.

Il faut d’abord que je vous donne un exemple de mauvais éditeur, de façon à bien faire comprendre en quoi l’ENI en est un excellent.

Que je vous explique… Je suis allé aux TechDays, et j’ai rencontré sur place une société d’édition dont je tairai le nom, à qui j’ai proposé de réaliser la traduction en français d’un de leurs bouquins qui le mérite vraiment. Leur réponse immédiate a été de me dire que ce bouquin n’était pas un best-seller en France (ben oui, il n’est disponible qu’en anglais) ni même aux USA, et qu’ils ne voyaient donc pas l’intérêt de le traduire.

Sur le fait qu’il ne fasse pas un carton, même dans sa langue natale, je n’étais pas très surpris. En effet, il s’agit d’un livre qui recueille les meilleurs articles en provenance d’un blog très influent. Il n’est donc pas illogique que les ventes ne soient pas énormes, vu que chacun peut avoir le contenu gratuitement. Mais seulement en anglais, ce qui me semblait justifier une traduction…

Je comprends bien qu’un éditeur doit faire des choix et gagner de l’argent, mais dans ce cas, j’ai un peu de mal à saisir leur attitude : ils ont un traducteur volontaire, donc ils peuvent être à peu près sûr de sa motivation. J’ai également traduit un de mes livres en anglais, donc pour ce qui est d’une traduction dans l’autre sens, ils pouvaient raisonnablement penser que ça se passerait bien. Vous pensez que c’est une raison de coût ? Non plus : je ne leur demandais pas de fixe, et leurs contrats ne sont d’ailleurs qu’aux royalties. Où était le risque pour eux ? Dans le suivi de la création du livre ? J’en ai déjà écrit plusieurs, je n’ai pas besoin que l’éditeur me tienne la main… J’ai même tendu la perche en expliquant que j’étais très motivé pour traduire ce livre, qu’il était à mon avis excellent, et que je me fichais des royalties, mais rien…

Ils ne veulent tout simplement pas faire ce bouquin parce qu’ils savent qu’il ne va pas leur rapporter BEAUCOUP. Ils ne veulent que du best-seller…

C’est ce qui m’a décidé à vous parler de l’ENI, car eux sont radicalement différents : ce sont des passionnés de l’édition, des gens prêts à prendre sans arrêt des risques pour améliorer leur contenu global, à publier un livre même s’il ne se vendra qu’à quelques centaines d’exemplaires, car il participe à la richesse de leur corpus. J’adore cet esprit .

Attention, ils ne vont pas non plus éditer un livre sur la corrélation entre le taux de natalité chez les babouins et l’architecture néogothique japonaise, juste pour la beauté du geste… Mais s’il y a un intérêt, ils se lancent ! Ils ne restent pas le nez dans leurs courbes de vente, à spéculer et tirer des plans sur la comète : ils font, ils réalisent ! Bref, ils font le vrai travail d’un éditeur pour que le livre n’est pas qu’un tas de papier qui permet de gagner de l’argent, mais un outil fondamental pour améliorer la diffusion des connaissances.

Ils sont chaque année aux TechDays, et je ne peux que vous encourager à aller les voir si vous avez un projet de livre. Ils sont ouverts, toute l’équipe est super sympa, et très compétente.

Personnellement, c’est presque plus pour eux que je souhaite le succès des bouquins que j’ai écrit pour l’ENI : vu le travail que ça représente, on ne le fait pas pour l’argent, et on est déjà très content et fier dès la parution du premier exemplaire. Tout ce qui se vend en plus, c’est bien pour l’auteur mais pas essentiel. Pour eux, c’est important, car ça leur permet de continuer à innover !

Et pour ce qui est de l’innovation et de l’allant, il faut savoir qu’ils impriment tout en numérique (donc pas de gâchis de papier pour des livres qui vont au pilon si invendus), qu’ils sortent entre 12 et 14 livres PAR MOIS, que leur offre de bibliothèque numérique contient tous les livres qu’ils éditent, ET CE DES LEUR SORTIE (pas comme d’autres qui ne les mettent dans leur bibliothèque numérique que trois mois après la sortie de l’e-book, pour faire payer la nouveauté), qu’ils n’hésitent pas à créer des collections complètes de nouveautés. Aux Tech Days, il y avait par exemple une toute nouvelle collection sur le marketing, avec des bouquins sur le web marketing, l’utilisation des réseaux sociaux, etc. J’avais envie de tout acheter, et je pense que mon comptable va avoir à mettre la main à la poche ces prochains jours… Il s’appelle Jean-Marc, mais je l’appelle Papa Noël .

Le fait que les livres soient écrits directement en français est également gage de qualité. Pour être bilingue, j’ai souvent vu des traductions qui mériteraient punition en place publique. Pas le cas chez ENI : tous les auteurs sont des spécialistes de leur sujet, et sélectionnés pour s’exprimer clairement.

Bref, vous aurez compris que je les aime bien. Et si ce panégyrique ne vous a pas convaincu, achetez sur le site ENI ne serait-ce que parce que vous achèterez français et local ! Moins de transport, moins de CO², moins d’engraissement des vendeurs internet américains . Je ne vois même plus un seul argument pour aller voir les autres…

Même intervenant que sur la meilleure session sécurité de l’an passé, et celle-ci est encore de très haut niveau. Je n’ai pas noté son nom, car je suis arrivé un peu à la bourre, mais vous pourrez le retrouver facilement sur le site des Tech Days si cela vous intéresse. Le nom de l’article reprend mot pour mot le titre de la session dont je fais le compte-rendu rapide.

APT veut dire Advanced Persistant Threat. En gros, c’est pour désigner un type d’attaque informatique qui fait intervenir plusieurs vecteurs, et dans laquelle l’attaquant parvient à prendre le contrôle durable d’une infrastructure, en posant par exemple des rootkits sur plusieurs machines, de façon à réinfecter une machine dès qu’elle est nettoyée, ou en planquant des services malveillants de façon qu’ils soient plus difficilement détectables, l’idéal étant bien sûr que la victime ne se rende carrément pas compte qu’elle est infectée, ni même qu’elle a été attaquée. Au passage, dans le milieu de la sécurité, la blague a la mode est “les deux types d’entreprise sont celles qui ont été attaquées, et celles qui ne le savent pas”.

Intéressant concept de watering hole : le trou d’eau autour duquel se rassemblent les bêtes pour s’abreuver est un lieu particulier de vulnérabilité, et il a l’avantage de les rassembler toutes en un seul endroit. Il semble que des sites comme http://www.lequipe.fr soient des points d’eau pour de nombreuses entreprises… Du coup, si ce site est compromis par une page vérolée, cela pourrait d’après l’intervenant provoquer un crash du CAC 40 .

A la question “pourquoi y a-t-il autant de failles”, la réponse de l’intervenant est toute empreinte de bon sens : “parce que tout le monde développe en Java au lieu d’en ADA”. C’est sûr qu’avec de mauvais outils (du point de vue de la sécurité), un développeur ne peut pas faire tout le temps des miracles. Plutôt que de compter sur lui pour ne jamais oublier de valider la donnée, toujours canoniser les syntaxes, etc., ça serait plus simple avec des langages où la sécurité était dès le début partie prenante…

Etonnamment, cette année, on a entendu parler plusieurs fois d’attaques de type Pass The Hash, alors que ce genre d’attaque existe depuis bien longtemps. Pour expliquer rapidement de quoi il s’agit, lorsqu’on tape un mot de passe dans Windows, il est transformé en un condensat, plus souvent appelé par son nom anglais “hash” (ce qui rend quand même le nom de l’attaque plus marrant). Ceci permet de ne pas avoir le mot de passe en clair, mais simplement une chaîne qui ne peut pas être re-transformée en le mot de passe original, mais qui pourra être validée par Windows comme celle qui correspond au hash du vrai mot de passe, ou pas et dans ce cas-là, pas d’accès.

Le souci est qu’avec LM ou NTLM, les méthodes d’authentification préhistoriques de Windows, il suffit d’envoyer le hash pour s’identifier correctement. Il ne s’agit pas d’un challenge-response ou d’une méthode évoluée comme Kerberos. Or, comme il est difficile de forcer l’utilisation de Kerberos dans tous les clients Windows, on se retrouve à se trimballer encore ce genre de protocole, qui, si un attaquant trouve le hash en mémoire, est éminemment vulnérable.

Les smartcards ne sont pas nécessairement la panacée en termes de sécurité. Elles fonctionnent avec des mots de passe aléatoires, mais utilisant toujours le hash LM qui est stocké en mémoire et sensible aux mêmes attaques. Il faut donc empêcher l’accès des attaquants à la machine de toute façon, car tant que la session n’est pas fermée, il peut se loguer sur une autre connexion, et analyser la mémoire pour le retrouver et l’exploiter très simplement avec des outils trouvables facilement sur internet.

Il est à noter d’ailleurs que le mot de passe Windows est en mémoire en clair, ne serait-ce que pour le SSO, le RDP, et plus particulièrement le HTTPBasic qui en ont besoin. Plus particulièrement, parce que pour les premiers besoins qui sont Microsoft, on pourrait imaginer des moyens qui ne le rendraient pas nécessaire. Mais pour HTTPBasic, on est coincé : l’envoi du mot de passe se fait par un simple encodage Base64 du user suivi du mot de passe, donc il FAUT l’avoir quelque part. En pratique, il n’est pas vraiment en clair, et il faut décrypter la mémoire, mais si on est sur la session, on a la clé !

L’outil Mimikatz a des drivers signés Microsoft, ce qui lui permet de retrouver ces mots de passe, et ne pas être rejeté par la sécurité interne de Windows. Pour ces problèmes de “vrais faux certificats”, voir le rapport d’expertise sur intrusion chez Diginotar sur http://www.rijksoverheid.nl. Dans le même genre, l’outil Cachedump permet de retrouver les mots de passe ActiveDirectory stockés pour l’autorisation de login hors connexion.

Simple Assembly Explorer, Xenocode : outils à tester…

Pour empêcher la messagerie de bloquer un ZIP contenant un EXE, on peut lui mettre un mot de passe, la plupart décident alors qu’il vaut mieux le laisser passer malgré qu’elle ne puisse pas analyser le contenu. Office utilise par défaut VelvetSweatshop comme mot de passe…

Explorer est en général largement autorisé dans les pare-feu, et constitue donc une cible idéale pour une prise de contrôle.

Certains sites web sont suffisamment astucieux pour ne montrer des pages vérolées que si le client qui les accèdent est celui qu’elles veulent infecter, tout en présentant à tous les autres une version saine. Le traitement peut se faire par exemple de façon à ne montrer un code menaçant que lorsqu’on les appelle depuis un domaine précis, de façon a réduire la détection. Il faut d’ailleurs savoir qu’il n’est même plus nécessaire d’utiliser des cookies pour pister un utilisateur : les user agent sont tellement divers et variés qu’en les utilisant comme complément de l’adresse IP et de la résolution d’écran, on a une identification individuelle quasiment aussi efficace.

Une technique utilisée par certains antivirus pour contourner les analyses d’accès aux API sensibles consiste à ne pas appeler l’adresse mémoire de la fonction directement, mais l’adresse + 5. En effet, toutes les fonctions Windows commencent par un MOV EDI qui sert au patch dynamique. En pratique, ceci est très rarement utilisé par Microsoft, mais maintenant que c’est connu, les antivirus vont ajuster le tir.

Quand un malware utilise les commentaires d’un bitmap pour envoyer les commandes, le proxy ne le voit pas, et en plus purge les logs toutes les heures, perdant ainsi l’attaque !

Au passage, d’ailleurs, le conférencier explique que tous les moyens de détection basés sur les heures de modification des fichiers sont inefficaces de manière inhérente, car les pirates utilisent désormais souvent l’API SetFileTime pour faire croire que les fichiers qu’ils mettent en place ont été installés en même temps que l’OS.

L’Alternate Data Stream de NTFS est également oublié souvent par les détecteurs d’attaques. Pour info, il s’agit des $$DATA qu’on voit parfois apparaître dans les noms de fichiers. Un fichier peut en effet, en NTFS, embarquer plusieurs canaux d’information, même si en pratique, on n’en utilise quasiment jamais qu’un seul, à savoir celui correspondant au contenu.

Un virus peut contourner l’antivirus qui fonctionne par émulation en s’exécutant sur une socket, car les antivirus n’émulent pas encore le réseau, même local.

Et pour achever de nous faire rendre compte que dans le domaine de la sécurité, le jeu du chat et de la souris est bien parti pour durer encore quelques décennies au moins, une dernière information sur le fait que Nortel est reste piraté pendant 10 ans, car ça coutait trop cher de nettoyer tout le réseau par rapport aux dégâts effectifs causés par le pirate, dont ils tentaient de suivre tout de même l’activité, mais sans être capable de le virer de manière définitive.

Bref, excellente session où on apprend plein de choses en termes de sécurité. Pour les personnes qui ont besoin d’être au courant, je la recommande chaudement. Elle se passe normalement à chaque TechDays.

C’est David Rousset qui présente cette session. Il commence par parler des animations, et des possibilités de CSS3 dans ce domaine. Il est désormais possible de composer des animations simples uniquement en CSS, sans avoir à recourir à du JavaScript.

Le Grid Layout est apparemment en cours de reprise par le W3C. Mozilla a manifesté un intérêt à l’implémenter, le seul problème étant qu’entre Firefox OS et Firefox Mobile, ils n’ont pas eu beaucoup de temps l’année passée, et ça ne se fera donc pas avant fin 2013.

Le travail sur le grid peut se faire en fraction unit plutôt qu’en pixels, ce qui permet de s’adapter relativement simplement aux différentes résolutions. Le layout est défini très simplement dans le CSS, en définissant les colonnes, les lignes, et en assignant les positions dans celles-ci aux différents éléments. Bon, quand on vient de XAML, tout ça paraît très simple, mais visiblement, dans le monde du web, ce genre de container est une révolution. Du coup, ça a vraiment du sens à ce que ça devienne une norme… Les Media Queries aident pour prendre en compte l’orientation. Il s’agit de condition qui peuvent être appliquées sur du CSS pour spécifier s’il doit s’appliquer en fonction de la résolution, de l’orientation de l’écran, etc.

Dans CSS3, il y a aussi les 3D transform, le multi colonnes, et le float positionning. Il est notable que les éléments 3D transform ne sont pas préfixés par “-ms” : on peut donc l’utiliser partout, en tout cas dans les navigateurs récents. Les animations CSS sont plus fluides qu’avec JQuery car elles sont accélérées matériellement par les navigateurs qui le supporte.

Toujours dans les animations, même si un peu plus compliqué, on peut faire de la transition, bref du morph de propriétés d’un état à un autre. Si on veut animer plus finement, on peut même faire du keyframe avec des courbes d’animation. On va finir par se retrouver avec Maya recréé dans IE si ça continue !

http://ie.microsoft.com/testdrive propose des outils graphiques pour générer ces CSS, ce qui rend le travail beaucoup plus simples, surtout pour des gens qui n’y connaissent rien, et qui sinon galèreraient non seulement avec le contenu, mais également avec la syntaxe.

On passe ensuite aux APIs HTML 5. Vu la densité, je n’ai pas eu le temps de tout prendre en notes, donc je mets une belle photo pour la liste, et je détaillerai plus bas celles en gras, que David Rousset explique plus particulièrement sur cette session :

FileAPI permet comme son nom l’indique de gérer des fichiers de la machine locale, avec évidemment les restrictions de sécurité afférente, typiquement l’acceptation de l’utilisateur d’un accès donné. L’API peut charger du binaire, qui sera alors traité en JavaScript avec des streams comme on le ferait dans n’importe quel autre langage.

Il y a également la gestion du drag and drop. Attention, on ne parle pas du drag and drop à l’intérieur de la page, mais plutôt de la capacité de déplacer un élément du poste local sur le navigateur, et que celui-ci passe au contenu de la page cible la possibilité de réceptionner l’évènement, plutôt que ce soit le navigateur qui s’en occupe. Par exemple, si on déplace un fichier image, au lieu que le navigateur affiche l’image, il pourra la passer au conteneur de réception dans une page HTML.

Les formulaires ont également évolué en HTML5. En particulier, il existe de nouveaux types d’input, plus spécialisés. Ainsi, il est possible d’avoir un clavier adaptatif en fonction du type justement. Par exemple, un clavier avec pavé numérique quand on se trouve dans un champ n’acceptant que des nombres. Toujours dans les formulaires, la validation peut être désormais réalisée par HTML5, et on n’aura plus à recourir à JavaScript, sauf pour des cas réellement complexes. Il existe des pseudo classes CSS pour améliorer le look des messages de validation si on le souhaite.

Une autre API HTML5 est IndexedDB, qui stocke des clés-valeurs. D’après David Rousset, c’est en passe de prendre le dessus sur la norme d’Apple qui proposait un appel de type SQL. A voir si les normes confirmeront l’information. Edit suite échange avec David : IndexedDB est bien devenu le standard choisi par le W3C, et il est désormais implémenté par Microsoft sur IE, mais aussi Google dans Chrome et Mozilla dans Firefox. ne reste qu’Apple à faire bande à part avec WebSqlDB, pourtant obsolète suite à l’adoption du concurrent par le W3C…

Single page application pratique car on garde toujours le DOM, mais attention a la mémoire

On continue avec les problématiques de performance de JavaScript. A l’origine, l’exécution a été pensé monothread, d’où le blocage de l’affichage ou le warning ‘ce script prend trop de temps, voulez vous le killer ?’. Il sera désormais possible de créer des threads de work. Les webworkers sont supportés partout. La limitation est bien sur qu’il n’y a pas d’accès a la GUI ou au DOM.

Une dernière petite API pour la route : PointerEvents pour le touch. Il s’agit d’une proposition Microsoft, qui semble bien acceptée car celle poussée par Apple au début est désormais retenue par le même, pour des problèmes de brevets. Microsoft pousse une API souris stylet et touche unifiés. Les mots clés à utiliser sont MSPointer et MSGesture. Attention, il faut spécifier la zone qui traite différemment les événements “touch” par rapport au navigateur lui-même, sinon il ne peut pas savoir où le mouvement des doigts vers le bas signifie un scroll ou doit être passé au canvas pour traitement de l’évènement touch associé.

On finit cette session très intéressante par deux outils :

• Modern.IE pour tester les applications web et qui, contrairement à ce que son nom laisse entendre, peut servir pour les autres navigateurs qu’IE
• Browserstack pour valider automatiquement des pages web dans n machines virtuelles avec des OS et des navigateurs différents. Il y a une offre d’essai gratuite en ce moment. Pour ma part, je croyais avoir vu des plugins Firefox qui simulaient le comportement de différents navigateurs, mais ce n’est peut-être pas assez fin…