Carnet de notes

Catégorie : Geek

  • We’ve streng­the­ned our passs­word complexity requi­re­ments

    1. We’ve streng­the­ned our passs­word complexity requi­re­ments. We’ve noti­ced that the recur­ring pass­word expi­ra­tion often results in the use a poor or weak pass­words. The new pass­word requi­re­ments are:

    • Mini­mum length for 16 charac­ters
    • Mini­mum of 4 words when using a pass­phrase (a sequence of unre­la­ted words)
    • Maxi­mum length of 100 charac­ters
    • No pass­words that reuse the same words too many times, contain a birth­date suffix/prefix, etc.

    We stron­gly encou­rage the use of pass­phrases, instead of a tradi­tio­nal pass­word with multiple charac­ter classes. Example pass­phrases are displayed on the pass­word reset site.

    2. We’re remo­ving pass­word expi­ra­tion enti­rely. After chan­ging your LDAP pass­word one last time, it will no longer expire. The only reason you will need to change your change your LDAP pass­word in the future is if it has been acci­den­tally leaked, or if one of your compu­ters/mobile device were lost, stolen, or compro­mi­sed.

    Je ne saurais trop remer­cier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les poli­tiques de mots de passe n’ont géné­ra­le­ment ni queue ni tête, et l’obli­ga­tion de chan­ger régu­liè­re­ment de mot de passe est proba­ble­ment la superbe mauvaise idée du siècle en termes de sécu­rité.

    Je râle encore contre tous ces sites qui ont une procé­dure de réini­tia­li­sa­tion mais qui t’em­pêchent de saisir de nouveau un mot de passe que tu avais oublié préa­la­ble­ment.

    Juste un point pour Mozilla : Pour les appa­reils perdus ou volés, la solu­tion est plus la possi­bi­lité d’avoir des mots de passe unique dédiés. Le mot de passe géné­rique n’est utile que là où il est tapé régu­liè­re­ment.

    Partout où le mot de passe est à demeure (par exemple la confi­gu­ra­tion du client email), le système devrait permettre d’uti­li­ser un mot de passe unique, dédié. Si l’ap­pa­reil est compro­mis on ne change pas le mot de passe géné­rique, on se contente de « griller » le mot de passe dédié dans la liste des auto­ri­sa­tions.

    Google le fait très bien pour ceux qui ont activé l’au­then­ti­fi­ca­tion en deux étapes.

  • Repré­sen­ta­tion de données

    Un graphique tourne un peu avec des données sur l’édu­ca­tion en France :

    Les chiffres sont inté­res­sants mais la visua­li­sa­tion est tota­le­ment biai­sée. Le point le plus flagrant est la posi­tion du zéro sur chaque axe qui augmente des diffé­rences.

    Première tenta­tive

    Quelqu’un a genti­ment fourni une version alter­na­tive, mais tout aussi biai­sée :

    L’in­ten­tion est honnête, mais la volonté de graduer tous les axes sur la même échelle n’a aucun sens quand on compare des choux et des carottes. Ici non seule­ment les données n’ont pas le même sens (le nombre d’heures et le nombre de jours n’ont pas à être compa­rés sur la même échelle, car ils ne repré­sentent pas une donnée cohé­rente), mais elles n’ont même pas la même unités : il y a des heures, des pour­cen­tages, des nombres de jours et des nombres de personnes. Penser que 100% corres­pond à 100 jours et 100 élèves n’a stric­te­ment aucun sens. Du coup les axes sont écra­sés et on ne verrait aucune diffé­rence quand bien même elle serait signi­fi­ca­tive.

    Choi­sir sa réfé­rence

    Refai­sons donc avec un maxi­mum diffé­rent sur chaque axe, mais lequel ?

    Premier choix, si on tente de compa­rer des chiffres bruts pour voir la répar­ti­tion sur toute la dyna­mique. Ca permet de voir où se massent la plupart des pays, et éven­tuel­le­ment sur quelle dyna­mique ça se répar­tit. On a l’avan­tage aussi d’avoir des chiffres abso­lus et pas des % par rapport à quelqu’un d’autre.

    Second choix, on veut avoir une vision de la répar­ti­tion euro­péenne, on les compare donc à la moyenne OCDE (on aurait pu choi­sir la médiane, mais elle ne faisait pas partie des données sources). Ça permet de visua­li­ser faci­le­ment qui s’échappe de la masse.

    Dernière possi­bi­lité, si on souhaite compa­rer le reste des pays à la France, on utilise nos propres chiffres comme réfé­rence au lieu de la moyenne OCDE. Ca permet de visua­li­ser plus faci­le­ment où la France parti­cu­liè­re­ment est signi­fi­ca­ti­ve­ment diffé­rente du reste :

     Le choix entre ces trois visua­li­sa­tions est tota­le­ment arbi­traire, en fonc­tion de ce qu’on recherche ou de ce qu’on veut montrer. Dans tous les cas, le choix même de la repré­sen­ta­tion, est déjà un acte d’ana­lyse et donc subjec­tif. Aucune n’est plus « objec­tive » que les autres.

    Dans l’in­ten­tion du graphique initial, c’est proba­ble­ment la dernière visua­li­sa­tion qui est la plus perti­nente, vu qu’elle montre faci­le­ment là où la France est isolée.

    Toujours aussi biaisé

    D’ailleurs mes trois graphiques sont eux-même biai­sés. Le départ à zéro semble natu­rel mais ne l’est en fait pas du tout. Une diffé­rence de 1% pour­rait très bien être extrê­me­ment signi­fi­ca­tive sur une donnée, et ne pas du tout être visible si on graphe bête­ment avec une échelle qui part de zéro.

    Même après avoir résolu cette ques­tion des axes, on n’au­rait pas fini pour autant :

    Pourquoi unique­ment ces quelques pays, ont-ils été sélec­tion­nés pour accen­tuer un discours pré-établi ? Est-ce qu’on n’au­rait pas plein d’autres pays qui sont proches de nous, voire encore plus diver­gents ?

    À défaut de mettre tous les pays de l’OCDE, colo­rier l’écart type serait appré­ciable pour voir si notre écart est parti­cu­liè­re­ment anor­mal ou pas. Avoir la médiane plutôt que la moyenne pour­rait aussi être perti­nent au cas où certains pays sont excep­tion­nel­le­ment hauts ou excep­tion­nel­le­ment bas.

    Au niveau des données elles-mêmes, pourquoi avoir pris un pour­cen­tage d’heures de math sur la tota­lité et pas avoir compté le nombre d’heures d’en­sei­gne­ment en valeur absolu ? Au niveau des résul­tats pour l’élève ça aurait été plus cohé­rent.

    On a aussi le nombre d’heures par jour et le nombre de jours. Le nombre d’heures par an est-il simi­laire pour tous ? Ca aurait été sacré­ment inté­res­sant de le grapher.

    Même chose pour le nombre d’élèves par classe : Pour combien d’en­sei­gnant ? Il y a-t-il des aides, des assis­tants mater­nelles, des assis­tants de vie, des accom­pa­gne­ments person­na­li­sés en plus de l’ins­ti­tu­teur prin­ci­pal ? Quelle est la propor­tion des ensei­gne­ments en demi groupe ou en groupes auto­nomes restreints par rapport aux ensei­gne­ments « pleine classe » ?

    Subjec­ti­vité et inten­tion

    Vous voulez une repré­sen­ta­tion objec­tive ? Ça n’existe pas. Une donnée objec­tive non plus d’ailleurs, même si ça ressemble à un chiffre brut. C’est bien tout le travail des analystes : Choi­sir une donnée, la méthode de calcul et de récolte, une repré­sen­ta­tion, puis la mettre en forme accom­pa­gnée des expli­ca­tions utiles. Tout ça se fait en fonc­tion d’un objec­tif parti­cu­lier déter­miné au départ.

    Du coup le graphique initial est tota­le­ment biaisé, mais fina­le­ment… pas forcé­ment plus qu’un autre. S’il cherche unique­ment à montrer que nous sommes hors du groupe formé par les 4 autres réfé­rences poin­tées, il y réus­sit et proba­ble­ment avec la meilleure visua­li­sa­tion de tout ce qui est présenté ici. Le défaut vient peut être unique­ment de ceux qui le critiquent, qui tentent de le sur-inter­pré­ter.

    Il y manquait surtout une légende pour guider la lecture. Ca passait pour des chiffres bruts, ce que ça n’était évidem­ment pas puisqu’il y avait une mise en forme et un objec­tif de commu­ni­ca­tion.

  • Hygiène de sécu­rité

    Hygiène de sécu­rité

    Aujourd’­hui on véri­fie la sécu­rité.

    Les services en ligne « sensibles »

    Même en ne gardant que le prin­ci­pal, il faut penser à :

    • votre boite email (qui sert à la récu­pé­ra­tion des mots de passe de tous les autres comptes),
    • votre service de nom de domaine,
    • celle de secours (qui sert à la récu­pé­ra­tion du mot de passe de la boite prin­ci­pale),
    • votre service de backup,
    • vos services de stockage ou synchro­ni­sa­tion en ligne,
    • votre héber­geur de serveur en ligne si vous en avez.

    [ ] La première étape c’est s’as­su­rer d’avoir des mots de passe « sûrs ». Ça veut dire suffi­sam­ment longs et complexes.

    Suivant les préfé­rences c’est au moins huit carac­tères aléa­toires entre chiffres lettres et symboles, au moins 12 carac­tères avec des lettres rela­ti­ve­ment aléa­toires, ou au moins 15 carac­tères mini­mum si vous avez des suites de mots communs.

    Le l34t sp33k, l’in­ver­sion des carac­tères, l’ajout d’une année, et globa­le­ment la plupart des varia­tions auxquelles vous pour­riez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité signi­fi­ca­tive.

    [ ] Seconde étape, s’as­su­rer que ces mots de passe sont uniques et vrai­ment diffé­rents (pas de simples varia­tions du même).

    Au grand mini­mum, s’as­su­rer d’avoir un mot de passe pour les services très sensibles diffé­rent du mot de passe que vous tapez tous les jours pour les services moins impor­tants. Ce mot de passe sensible ne devra être tapé que dans des espaces correc­te­ment sécu­ri­sés.

    [ ] Quand vous le pouvez, acti­vez l’ »authen­ti­fi­ca­tion en deux étapes ». C’est possible au moins pour Google, Gandi, Drop­box, iCloud. C’est fran­che­ment peu gênant vu la sécu­rité que ça apporte, ne pas le faire est limite une faute.

    [ ] Les « ques­tions secrètes » pour récu­pé­rer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécu­rité. En géné­ral il est très facile d’en trou­ver la réponse.

    À vous de voir si vous préfé­rez tricher et mettre de fausses réponses (au risque de ne pas vous en souve­nir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’ac­cès de la plupart des usur­pa­tions courantes.

    L’ac­cès depuis vos postes

    Tablette, télé­phone (même les « pas smart »), micro-ordi­na­teur, NAS de la maison…

    [ ] Tous doivent avoir un mot de passe à l’al­lu­mage et à la sortie de veille. Tous, pas d’ex­cep­tion.

    Sur les smart­phones et tablettes vous avez parfois la possi­bi­lité de mettre un « schema ». Ça fonc­tionne assez bien et c’est plutôt simple à déver­rouiller. Si vous n’avez pas d’autre choix, utili­sez le code PIN.

    Pour les autres les mots de passe doivent respec­ter les mêmes règles que pour les services en ligne.

    [ ] Tous ceux qui le peuvent doivent avoir un disque chif­fré. Micro-ordi­na­teurs, tablettes et smart­phones le permettent quasi­ment tous.

    Le coût en perfor­mance ou en batte­rie est quasi­ment nul sur les proces­seurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

    Sans ça n’im­porte qui avec très peu de connais­sances infor­ma­tiques peut passer outre votre mot de passe.

    Parfois il existe une procé­dure de récu­pé­ra­tion si jamais vous oubliez vos mots de passe, de façon à déver­rouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procé­dure de récu­pé­ra­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Les mises à jour sont confi­gu­rées pour être télé­char­gées auto­ma­tique­ment, et instal­lées dès qu’elles sont dispo­nibles.

    [ ] Si vous enre­gis­trez vos mots de passe dans votre navi­ga­teur pour ne pas les ressai­sir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

    Si en plus ces données sont synchro­ni­sées en ligne, le mot de passe qui gère le compte de synchro­ni­sa­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Vous avez une poli­tique de backup auto­ma­tisé et testé pour toutes vos données impor­tantes. Bien entendu le compte qui permet d’ac­cé­der aux données de backup est à consi­dé­rer comme sensible.

    La machine qui reçoit les backup doit avoir un disque chif­fré et si vous faites appel à un service tiers le chif­fre­ment des données doit se faire côté client pour que le pres­ta­taire ne puisse pas déco­der les données.

    Tout ça est un mini­mum, main­te­nant imagi­nez quelqu’un qui connait la réponse à la ques­tion secrète de votre opéra­teur télé­pho­nique. À partir de ça il peut réini­tia­li­ser le mot de passe pour accé­der à votre compte. Là il a une inter­face pour lire et écrire des SMS. Il demande alors la réini­tia­li­sa­tion du mot de passe de votre boite email prin­ci­pale, qui se fait via SMS. À partir de là il réini­tia­lise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récu­pé­rer vos photos, même si vous les avez effacé, et peut être même de quoi faire des vire­ments. Situa­tion fictive mais on a vu des attaques bien plus inven­tives.

    Si vous avez lu jusqu’au bout (sérieu­se­ment ?) je suis curieux de savoir quelle propor­tion de ces bonnes pratiques vous vali­dez, ou si vous respec­tez tout en détail pour l’in­té­gra­lité de vos maté­riels et comptes sensibles.

    Photo d’en­tête sous licence CC BY-NC-SA par Steve Crane

  • Embouts mousse

    Embouts mousse

    Je suis repassé pendant deux semaines sans mousse, pour le même casque, et je me dis que ça vaut peut être de faire une recom­man­da­tion à ceux qui ne connaissent pas :

    Si vous avez des écou­teurs intra-auri­cu­laires, pensez à jeter les embouts en plas­tique souple pour y mettre des embouts en mousse à mémoire de forme.

    La diffé­rence est juste évidente après s’y être habi­tué : Isola­tion sans compa­rai­son, au point de rendre inutile tous les intras à réduc­tion de bruit active, qui donne un son direct, clair et sans perdi­tion. À ça s’ajoute une tenue dans l’oreille qui vous permet de courir et sauter sans que ça ne bouge d’un poil.

    Sur Amazon vous avez des packs avec trois tailles pour 20 à 25 €. Ça peut valoir le cout de mettre un peu moins dans le casque mais d’en tirer vrai­ment le maxi­mum. Oh, et si vous n’en avez jamais mis, jetez un oeil sur le web pour voir comment ça fonc­tionne.

    Photo d’en­tête sous licence CC BY-NC-SA par Tom Wigley

  • A color picker pen that repro­duce any color

    J’en connais qui vont se jeter dessus si jamais la qualité de l’encre et de rendu est sympa. Le stylo capture une couleur via un capteur et sait la repro­duire en interne en mélan­geant des encres.

    scri-2684729-jpg_2324692Bon, 150$ le stylo avec de la vraie encre (l’autre est juste un capteur et une pointe capa­ci­tive pour tablette) mais tout de même…

    Ils promettent 20% de moins pour ceux qui feraient un kicks­tar­ter. Ça fait descendre à quelque chose comme 90€ avec le trans­port. Cher mais possible pour un coup de coeur.

  • GPG keysi­gning and govern­ment iden­ti­fi­ca­tion

    Ok, je n’uti­lise pas GPG. J’ai tenté par le passé mais trop peu de gens en face l’uti­lisent pour que ce soit perti­nent de mon côté (oui, je sais que l’ar­gu­ment est cyclique).

    Have you been a US barten­der before? Or held any other posi­tion where you’ve had to verify an ID? It’s not an easy thing to do. People in those posi­tions have books of valid IDs from different states. They have lights that show the secu­rity marks. They still get it wrong regu­larly. A very amateur fake ID, or borro­wed real ID, will fool just about everyone in any infor­mal context.

    Par contre j’ai toujours trouvé idiot la procé­dure qui demande à ce qu’on véri­fie physique­ment l’iden­tité du corres­pon­dant. Ce qui m’in­té­resse c’est que la personne à qui j’écris ou qui m’écrit est bien celle que j’at­tends. Pour ça la seule solu­tion c’est de faire un ou plusieurs aller-retours écrits.

    Non seule­ment je ne serai abso­lu­ment pas capable de détec­ter une fausse carte d’iden­tité, même une mal faite à 30€, mais en plus je n’ai que faire de son iden­tité civile. Ce n’est pas du tout ce que je cherche à certi­fier.

    Entre ceux qui véri­fient l’iden­tité civile à la légère en lieu et place de l’iden­tité numé­rique, et ceux qui ne véri­fient rien, le « web of trust » est assez illu­soire aujourd’­hui. Il nous faut des outils qui auto­ma­tisent et guident nos pas, sans quoi rien ne chan­gera.

  • Naming conven­tions in Europe, Asia and North Africa

    Vous me rappe­lez pourquoi vous pensez que deux champs « nom » et « prénom » sont perti­nents ?

    BpetxyZIEAAfDXR.png_largePour plus de détails : People have name (ou pas)

     

  • Free SSL Certi­fi­cates for Open Source Projects

    Je colle ça ici au cas où ça serve à quelqu’un, ou moi plus tard : GlobalSign donne des certi­fi­cats SSL gratuits pour les projets Open Source (license OSI).

    Visi­ble­ment ils offrent même des wild­cards. Bon, ça ne leur coûte rien, mais ça peut être pratique.

  • Baisse de batte­rie [help]

    J’ai un S3 qui n’a pas loin de deux ans. Je l’uti­lise beau­coup, proba­ble­ment un cycle de batte­rie complet par jour en moyenne avant mes aven­tures. Bien évidem­ment la batte­rie s’épuise.

    Aujourd’­hui la charge tient en gros une demie-jour­née. Quand je le mets sur secteur la charge si faible que le télé­phone se décharge au lieu de se char­ger si l’uti­lise en même temps. Pire, des fois il se décharge jusqu’à épui­se­ment au lieu de se char­ger alors qu’il est bran­ché.

    IMG_20140603_223434

    Je ne saurai dire si c’est venu progres­si­ve­ment ou si quelque chose s’est déclen­ché à un moment donné. Je situe tout de même un palier qui remonte à entre 1 et 3 mois.

    Causes

    Câble, bloc secteur : Exclu, ça m’ar­rive avec diffé­rents sources.

    Faux contact : J’ai effec­ti­ve­ment un faux contact occa­sion­nel au niveau de la prise micro-usb du télé­phone, qui arrive d’ailleurs plus fréquem­ment qu’a­vant. J’ex­clus toute­fois le faux contact simple car le télé­phone indique clai­re­ment quand il est sur secteur ou quand le câble n’est pas bien connecté. Il vibre quand il se connecte/décon­necte. Bref, parfois il se décharge alors qu’il est effec­ti­ve­ment bien connecté au secteur.

    Appli­ca­tion super consom­ma­trice : Le graphique des consom­ma­tions me semble habi­tuel. L’es­sen­tiel est pris par l’écran et le système, dans ce ordre. L’ap­pli­ca­tion la plus consom­ma­trice arrive signi­fi­ca­ti­ve­ment derrière et les consom­ma­tions me semblent révé­la­trices de mon usage.

    Système consom­ma­teur : J’ai une mise à jour système qui a eu lieu il y a 1 à 3 mois, donc je le note, mais sans avoir d’autres éléments (c’est l’OS d’ori­gine, à jour).

    Batte­rie en fin de vie : C’est une piste probable, mais j’avoue que j’ai moyen­ne­ment envie de payer une nouvelle batte­rie pour rien sur un ancien télé­phone si la cause racine n’est pas celle là.

    Problème au niveau maté­riel, hors batte­rie : Éven­tua­lité que mpn faux contact soit le symp­tôme d’un problème plus gênant, qu’ef­fec­ti­ve­ment le télé­phone ne prenne pas la charge même s’il détecte la connexion au secteur, voire qu’il fasse une décharge de la batte­rie conti­nue mais signi­fi­ca­tive quoi qu’il se passe. Et là… à part chan­ger le télé­pho­ne…

    Solu­tions

    Je sais que personne ne peut prétendre à un diagnos­tic certain à partir de ça mais j’ai­me­rai éviter de procé­der à un achat de batte­rie si la proba­bi­lité que ça vienne de là soit réduite. Et j’ai­me­rai encore plus éviter de rache­ter un nouveau télé­phone inuti­le­ment.

    Des idées ?

  • Un livre en mark­down ?

    Je n’étais pas le premier à tenter l’ex­pé­rience. Github me semblait adapté pour un livre tech­nique : git pour le contrôle de version et les fusions, site connu avec édition en ligne pour faire simple quand on le souhaite, petits fichiers textes en mark­down.

    D’autres sont allés plus loin, et ils ont eu raison. Voici gitbook. Si vous voulez écrire colla­bo­ra­ti­ve­ment, c’est proba­ble­ment une des premières options à consi­dé­rer.

     

    Il sont allés jusqu’à faire un éditeur.