Carnet de notes

Catégorie : Geek

  • Hygiène de sécu­rité

    Hygiène de sécu­rité

    Aujourd’­hui on véri­fie la sécu­rité.

    Les services en ligne « sensibles »

    Même en ne gardant que le prin­ci­pal, il faut penser à :

    • votre boite email (qui sert à la récu­pé­ra­tion des mots de passe de tous les autres comptes),
    • votre service de nom de domaine,
    • celle de secours (qui sert à la récu­pé­ra­tion du mot de passe de la boite prin­ci­pale),
    • votre service de backup,
    • vos services de stockage ou synchro­ni­sa­tion en ligne,
    • votre héber­geur de serveur en ligne si vous en avez.

    [ ] La première étape c’est s’as­su­rer d’avoir des mots de passe « sûrs ». Ça veut dire suffi­sam­ment longs et complexes.

    Suivant les préfé­rences c’est au moins huit carac­tères aléa­toires entre chiffres lettres et symboles, au moins 12 carac­tères avec des lettres rela­ti­ve­ment aléa­toires, ou au moins 15 carac­tères mini­mum si vous avez des suites de mots communs.

    Le l34t sp33k, l’in­ver­sion des carac­tères, l’ajout d’une année, et globa­le­ment la plupart des varia­tions auxquelles vous pour­riez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité signi­fi­ca­tive.

    [ ] Seconde étape, s’as­su­rer que ces mots de passe sont uniques et vrai­ment diffé­rents (pas de simples varia­tions du même).

    Au grand mini­mum, s’as­su­rer d’avoir un mot de passe pour les services très sensibles diffé­rent du mot de passe que vous tapez tous les jours pour les services moins impor­tants. Ce mot de passe sensible ne devra être tapé que dans des espaces correc­te­ment sécu­ri­sés.

    [ ] Quand vous le pouvez, acti­vez l’ »authen­ti­fi­ca­tion en deux étapes ». C’est possible au moins pour Google, Gandi, Drop­box, iCloud. C’est fran­che­ment peu gênant vu la sécu­rité que ça apporte, ne pas le faire est limite une faute.

    [ ] Les « ques­tions secrètes » pour récu­pé­rer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécu­rité. En géné­ral il est très facile d’en trou­ver la réponse.

    À vous de voir si vous préfé­rez tricher et mettre de fausses réponses (au risque de ne pas vous en souve­nir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’ac­cès de la plupart des usur­pa­tions courantes.

    L’ac­cès depuis vos postes

    Tablette, télé­phone (même les « pas smart »), micro-ordi­na­teur, NAS de la maison…

    [ ] Tous doivent avoir un mot de passe à l’al­lu­mage et à la sortie de veille. Tous, pas d’ex­cep­tion.

    Sur les smart­phones et tablettes vous avez parfois la possi­bi­lité de mettre un « schema ». Ça fonc­tionne assez bien et c’est plutôt simple à déver­rouiller. Si vous n’avez pas d’autre choix, utili­sez le code PIN.

    Pour les autres les mots de passe doivent respec­ter les mêmes règles que pour les services en ligne.

    [ ] Tous ceux qui le peuvent doivent avoir un disque chif­fré. Micro-ordi­na­teurs, tablettes et smart­phones le permettent quasi­ment tous.

    Le coût en perfor­mance ou en batte­rie est quasi­ment nul sur les proces­seurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

    Sans ça n’im­porte qui avec très peu de connais­sances infor­ma­tiques peut passer outre votre mot de passe.

    Parfois il existe une procé­dure de récu­pé­ra­tion si jamais vous oubliez vos mots de passe, de façon à déver­rouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procé­dure de récu­pé­ra­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Les mises à jour sont confi­gu­rées pour être télé­char­gées auto­ma­tique­ment, et instal­lées dès qu’elles sont dispo­nibles.

    [ ] Si vous enre­gis­trez vos mots de passe dans votre navi­ga­teur pour ne pas les ressai­sir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

    Si en plus ces données sont synchro­ni­sées en ligne, le mot de passe qui gère le compte de synchro­ni­sa­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Vous avez une poli­tique de backup auto­ma­tisé et testé pour toutes vos données impor­tantes. Bien entendu le compte qui permet d’ac­cé­der aux données de backup est à consi­dé­rer comme sensible.

    La machine qui reçoit les backup doit avoir un disque chif­fré et si vous faites appel à un service tiers le chif­fre­ment des données doit se faire côté client pour que le pres­ta­taire ne puisse pas déco­der les données.

    Tout ça est un mini­mum, main­te­nant imagi­nez quelqu’un qui connait la réponse à la ques­tion secrète de votre opéra­teur télé­pho­nique. À partir de ça il peut réini­tia­li­ser le mot de passe pour accé­der à votre compte. Là il a une inter­face pour lire et écrire des SMS. Il demande alors la réini­tia­li­sa­tion du mot de passe de votre boite email prin­ci­pale, qui se fait via SMS. À partir de là il réini­tia­lise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récu­pé­rer vos photos, même si vous les avez effacé, et peut être même de quoi faire des vire­ments. Situa­tion fictive mais on a vu des attaques bien plus inven­tives.

    Si vous avez lu jusqu’au bout (sérieu­se­ment ?) je suis curieux de savoir quelle propor­tion de ces bonnes pratiques vous vali­dez, ou si vous respec­tez tout en détail pour l’in­té­gra­lité de vos maté­riels et comptes sensibles.

    Photo d’en­tête sous licence CC BY-NC-SA par Steve Crane

  • Embouts mousse

    Embouts mousse

    Je suis repassé pendant deux semaines sans mousse, pour le même casque, et je me dis que ça vaut peut être de faire une recom­man­da­tion à ceux qui ne connaissent pas :

    Si vous avez des écou­teurs intra-auri­cu­laires, pensez à jeter les embouts en plas­tique souple pour y mettre des embouts en mousse à mémoire de forme.

    La diffé­rence est juste évidente après s’y être habi­tué : Isola­tion sans compa­rai­son, au point de rendre inutile tous les intras à réduc­tion de bruit active, qui donne un son direct, clair et sans perdi­tion. À ça s’ajoute une tenue dans l’oreille qui vous permet de courir et sauter sans que ça ne bouge d’un poil.

    Sur Amazon vous avez des packs avec trois tailles pour 20 à 25 €. Ça peut valoir le cout de mettre un peu moins dans le casque mais d’en tirer vrai­ment le maxi­mum. Oh, et si vous n’en avez jamais mis, jetez un oeil sur le web pour voir comment ça fonc­tionne.

    Photo d’en­tête sous licence CC BY-NC-SA par Tom Wigley

  • A color picker pen that repro­duce any color

    J’en connais qui vont se jeter dessus si jamais la qualité de l’encre et de rendu est sympa. Le stylo capture une couleur via un capteur et sait la repro­duire en interne en mélan­geant des encres.

    scri-2684729-jpg_2324692Bon, 150$ le stylo avec de la vraie encre (l’autre est juste un capteur et une pointe capa­ci­tive pour tablette) mais tout de même…

    Ils promettent 20% de moins pour ceux qui feraient un kicks­tar­ter. Ça fait descendre à quelque chose comme 90€ avec le trans­port. Cher mais possible pour un coup de coeur.

  • GPG keysi­gning and govern­ment iden­ti­fi­ca­tion

    Ok, je n’uti­lise pas GPG. J’ai tenté par le passé mais trop peu de gens en face l’uti­lisent pour que ce soit perti­nent de mon côté (oui, je sais que l’ar­gu­ment est cyclique).

    Have you been a US barten­der before? Or held any other posi­tion where you’ve had to verify an ID? It’s not an easy thing to do. People in those posi­tions have books of valid IDs from different states. They have lights that show the secu­rity marks. They still get it wrong regu­larly. A very amateur fake ID, or borro­wed real ID, will fool just about everyone in any infor­mal context.

    Par contre j’ai toujours trouvé idiot la procé­dure qui demande à ce qu’on véri­fie physique­ment l’iden­tité du corres­pon­dant. Ce qui m’in­té­resse c’est que la personne à qui j’écris ou qui m’écrit est bien celle que j’at­tends. Pour ça la seule solu­tion c’est de faire un ou plusieurs aller-retours écrits.

    Non seule­ment je ne serai abso­lu­ment pas capable de détec­ter une fausse carte d’iden­tité, même une mal faite à 30€, mais en plus je n’ai que faire de son iden­tité civile. Ce n’est pas du tout ce que je cherche à certi­fier.

    Entre ceux qui véri­fient l’iden­tité civile à la légère en lieu et place de l’iden­tité numé­rique, et ceux qui ne véri­fient rien, le « web of trust » est assez illu­soire aujourd’­hui. Il nous faut des outils qui auto­ma­tisent et guident nos pas, sans quoi rien ne chan­gera.

  • Naming conven­tions in Europe, Asia and North Africa

    Vous me rappe­lez pourquoi vous pensez que deux champs « nom » et « prénom » sont perti­nents ?

    BpetxyZIEAAfDXR.png_largePour plus de détails : People have name (ou pas)

     

  • Free SSL Certi­fi­cates for Open Source Projects

    Je colle ça ici au cas où ça serve à quelqu’un, ou moi plus tard : GlobalSign donne des certi­fi­cats SSL gratuits pour les projets Open Source (license OSI).

    Visi­ble­ment ils offrent même des wild­cards. Bon, ça ne leur coûte rien, mais ça peut être pratique.

  • Baisse de batte­rie [help]

    J’ai un S3 qui n’a pas loin de deux ans. Je l’uti­lise beau­coup, proba­ble­ment un cycle de batte­rie complet par jour en moyenne avant mes aven­tures. Bien évidem­ment la batte­rie s’épuise.

    Aujourd’­hui la charge tient en gros une demie-jour­née. Quand je le mets sur secteur la charge si faible que le télé­phone se décharge au lieu de se char­ger si l’uti­lise en même temps. Pire, des fois il se décharge jusqu’à épui­se­ment au lieu de se char­ger alors qu’il est bran­ché.

    IMG_20140603_223434

    Je ne saurai dire si c’est venu progres­si­ve­ment ou si quelque chose s’est déclen­ché à un moment donné. Je situe tout de même un palier qui remonte à entre 1 et 3 mois.

    Causes

    Câble, bloc secteur : Exclu, ça m’ar­rive avec diffé­rents sources.

    Faux contact : J’ai effec­ti­ve­ment un faux contact occa­sion­nel au niveau de la prise micro-usb du télé­phone, qui arrive d’ailleurs plus fréquem­ment qu’a­vant. J’ex­clus toute­fois le faux contact simple car le télé­phone indique clai­re­ment quand il est sur secteur ou quand le câble n’est pas bien connecté. Il vibre quand il se connecte/décon­necte. Bref, parfois il se décharge alors qu’il est effec­ti­ve­ment bien connecté au secteur.

    Appli­ca­tion super consom­ma­trice : Le graphique des consom­ma­tions me semble habi­tuel. L’es­sen­tiel est pris par l’écran et le système, dans ce ordre. L’ap­pli­ca­tion la plus consom­ma­trice arrive signi­fi­ca­ti­ve­ment derrière et les consom­ma­tions me semblent révé­la­trices de mon usage.

    Système consom­ma­teur : J’ai une mise à jour système qui a eu lieu il y a 1 à 3 mois, donc je le note, mais sans avoir d’autres éléments (c’est l’OS d’ori­gine, à jour).

    Batte­rie en fin de vie : C’est une piste probable, mais j’avoue que j’ai moyen­ne­ment envie de payer une nouvelle batte­rie pour rien sur un ancien télé­phone si la cause racine n’est pas celle là.

    Problème au niveau maté­riel, hors batte­rie : Éven­tua­lité que mpn faux contact soit le symp­tôme d’un problème plus gênant, qu’ef­fec­ti­ve­ment le télé­phone ne prenne pas la charge même s’il détecte la connexion au secteur, voire qu’il fasse une décharge de la batte­rie conti­nue mais signi­fi­ca­tive quoi qu’il se passe. Et là… à part chan­ger le télé­pho­ne…

    Solu­tions

    Je sais que personne ne peut prétendre à un diagnos­tic certain à partir de ça mais j’ai­me­rai éviter de procé­der à un achat de batte­rie si la proba­bi­lité que ça vienne de là soit réduite. Et j’ai­me­rai encore plus éviter de rache­ter un nouveau télé­phone inuti­le­ment.

    Des idées ?

  • Un livre en mark­down ?

    Je n’étais pas le premier à tenter l’ex­pé­rience. Github me semblait adapté pour un livre tech­nique : git pour le contrôle de version et les fusions, site connu avec édition en ligne pour faire simple quand on le souhaite, petits fichiers textes en mark­down.

    D’autres sont allés plus loin, et ils ont eu raison. Voici gitbook. Si vous voulez écrire colla­bo­ra­ti­ve­ment, c’est proba­ble­ment une des premières options à consi­dé­rer.

     

    Il sont allés jusqu’à faire un éditeur.

  • Anony­mat des paie­ments, atten­tion aux fausses solu­tions

    Conti­nuing the analogy, the meme in the early 90s was, “on the Inter­net, nobody knows you’re a dog.” But that chan­ged quickly once e-commerce and adver­ti­sing began to provide an incen­tive for perva­sive tracking and data mining. Bitcoin anony­mity today is where Inter­net and web anony­mity was in the 90s — a variety of research papers have shown how users’ pseu­do­ny­mous Bitcoin addresses can be linked to each other and poten­tially to their real-world iden­ti­ties, but it remains to be seen if linking/tracking services will deve­lop and flou­rish. It would be enti­rely unsur­pri­sing if they did.
    — The impor­tance of anony­mous cryp­to­cur­ren­cies

    Ne pas oublier que l’his­to­rique des tran­sac­tions Bitcoin est public, à vie. Est-ce qu’un jour une société aura suffi­sam­ment d’in­for­ma­tions pour tenter de tracer en partie l’usage et l’état des finances de tiers ? Fran­che­ment loin d’être impos­sible.

    Bitcoin est d’un côté bien plus anonyme qu’un paie­ment par carte bancaire, mais d’un autre côté poten­tiel­le­ment aussi plus dange­reux sur le long terme.

  • Anonyme et Pseu­do­nyme sont sur un bateau

    Car voilà la triste vérité. Bien souvent, même incons­ciem­ment, vouloir à tout prix connaitre l’iden­tité civile d’une personne n’a qu’un but : pouvoir le juger sur le nom, le passé, le milieu social, les études, l’em­ploi ou pire.
    […]
    Nul besoin de savoir s’il a fait des études dans cette spécia­lité, s’il est brillant ou s’il est typé asia­tique. A l’ex­trême limite, on peut vouloir connaitre les acti­vi­tés profes­sion­nelles de la personne, mais guère plus.

    [source: anonyme et pseu­do­nyme sont sur un bateau]

    Le pire c’est quand le milieu artis­tique lutte contre ces inter­nautes anonymes qui se cachent derrière des pseu­do­nymes. Outre la malheu­reuse confu­sion entre pseu­do­nyme et anonyme, il faut appré­cier l’iro­nie de ceux qui utilisent des noms de scène ou nom de plume et qui ne répondent que par ce nom.

    Mais surtout il y a un glis­se­ment de culture sur l’iden­tité des gens. Ma filia­tion, mon nom de famille, ma scola­rité font partie de qui je suis, mais fina­le­ment l’iden­tité que je construis ici est d’abord liée à ce que je dis, comment je réagis, pourquoi. Au mieux mon iden­tité civile peut expliquer mon iden­tité actuelle pour un histo­rien, mais c’est assez peu perti­nent pour l’es­sen­tiel des inter­ven­tions.

    J’uti­li­sais autre­fois un pseu­do­nyme. J’ai arrêté de le faire par la pres­sion sociale, parce que c’était trop peu crédible pour trop de monde et que j’in­ter­ve­nais de toutes façons publique­ment trop souvent avec mon iden­tité civile. Puis je reprends un peu la main progres­si­ve­ment, en tronquant mon nom de famille, voire en repre­nant un pseu­do­nyme qui n’est qu’une contrac­tion de mon nom civil, donc « plus crédible » et « moins anonyme » pour beau­coup tout en gardant une certaine opacité.

    Ces ques­tions ne sont pas réglées, mais j’at­tends le jour où ce qu’on dit sera plus impor­tant que notre iden­tité civile.