Catégorie : Geek

Faut-il éteindre la CNIL ?

Sérieusement, on envisage de faire aujourd’hui exactement ce qu’on voulait empêcher en créant la CNIL : Croiser tous les fichiers publics, spécifiquement ceux qui tracent des questions sociales (retraite, famille, maladie, emploi, minimums sociaux).

On avait déjà croisé toute une série de fichiers policiers, accepté d’avoir eu pendant des années nombre de fichiers policiers officiels non déclarés, avec des informations obsolètes et souvent fausses (STIC, je pense à toi), parfois totalement illégales (traçage des rom et gens du voyage). Au mieux on a fait passé des lois quelques années après pour les légitimer. Au mieux on a eu droit à un entrefilet dans la presse.

Côté État, la CNIL n’a de toutes façons qu’un rôle consultatif dans nombre de cas. Le pire c’est quand son président vote au Sénat pour des projets que la CNIL réprouve. Joie.

Côté collectivités, la vidéo surveillance excessive qui ne respecte ni la proportionnalité ni la législation sur les règles d’exploitation est plutôt la norme que l’exception, quand elle est déclarée. Au pire on corrigera quand on se fera taper sur les doigts.

Côté privé le nombre de fichiers non déclarés ou hors la loi est juste phénoménal. Le traitement des données personnelles est fait quasiment sans limitation ni précautions. Négligence fautive ? Fuite de données personnelles ? Usage délictueux ? au pire il y a un rappel à la loi. Les sanctions sont exceptionnelles et absolument pas dissuasives.

Notre CNIL produit de très belles recommandations mais au final, elle sert à quoi ? Je suis volontairement provocateur, mais elle est à la fois stricte à la fois échoue à protéger les données du citoyen de l’état, des collectivités publiques, et des entreprises privées.

29 octobre 2014
Archiver le web

J’adore le principe de la wayback machine de l’initiative Internet Archive. Ils indexent le web et gardent une archive des versions rencontrées. On peut revoir les contenus qui ont disparu du web, ou consulter des anciennes versions de contenus qui ont changé entre temps.

Et si on réutilisait l’initiative à titre personnel ? Pouvoir retrouver les contenus déjà visités, même s’ils ont été retirés ou ont été amendés. Avec un peu de bidouille on pourrait même rechercher à travers nos archives.

C’est ce que propose l’IIPC avec le projet openwayback. Pour ceux qui ne veulent pas utiliser pywb.

Je pense de plus en plus à me constituer mon archive : Au moins avec les pages que je mets en favori, celles que je lie à partir de mon blog, les liens que j’enregistre dans Pocket, que je lis dans mon flux Twitter ou que j’y pose moi-même. Peut-être même que ça vaudrait le coup d’enregistrer tout ce qui passe dans mon historique de navigation.

Pour l’instant je n’ai jamais sauté le pas, mais est-ce si complexe ? pas certain. Il suffirait d’un peu de temps, d’un peu de code et de stockage en assez grande quantité. Rien d’infaisable.

Entre temps, d’autres se mettent en tête d’archiver le web, tout le web. Rien que ça. L’Internet Archive n’est qu’une composante parmi d’autres reliées grâce à Memento. L’Archive Team fait un travail parallèle : Eux réussisent à archiver les contenus de quelques services en vue avant qu’ils ferment, les contenus des redirecteurs d’URL, et même les contenus FTP.

Le web grossit à une vitesse formidable mais les possibilités de stockage restent suffisamment importantes pour qu’archiver le web soit du domaine du possible.

Photo d’entête sous licence CC BY-NC-ND par Pietromassimo Pasqui

23 octobre 2014
We’ve strengthened our passsword complexity requirements
1. We’ve strengthened our passsword complexity requirements. We’ve noticed that the recurring password expiration often results in the use a poor or weak passwords. The new password requirements are:
- Minimum length for 16 characters
- Minimum of 4 words when using a passphrase (a sequence of unrelated words)
- Maximum length of 100 characters
- No passwords that reuse the same words too many times, contain a birthdate suffix/prefix, etc.
We strongly encourage the use of passphrases, instead of a traditional password with multiple character classes. Example passphrases are displayed on the password reset site.
2. We’re removing password expiration entirely. After changing your LDAP password one last time, it will no longer expire. The only reason you will need to change your change your LDAP password in the future is if it has been accidentally leaked, or if one of your computers/mobile device were lost, stolen, or compromised.

Je ne saurais trop remercier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les politiques de mots de passe n’ont généralement ni queue ni tête, et l’obligation de changer régulièrement de mot de passe est probablement la superbe mauvaise idée du siècle en termes de sécurité.

Je râle encore contre tous ces sites qui ont une procédure de réinitialisation mais qui t’empêchent de saisir de nouveau un mot de passe que tu avais oublié préalablement.

Juste un point pour Mozilla : Pour les appareils perdus ou volés, la solution est plus la possibilité d’avoir des mots de passe unique dédiés. Le mot de passe générique n’est utile que là où il est tapé régulièrement.

Partout où le mot de passe est à demeure (par exemple la configuration du client email), le système devrait permettre d’utiliser un mot de passe unique, dédié. Si l’appareil est compromis on ne change pas le mot de passe générique, on se contente de « griller » le mot de passe dédié dans la liste des autorisations.

Google le fait très bien pour ceux qui ont activé l’authentification en deux étapes.
4 octobre 2014
Représentation de données

Un graphique tourne un peu avec des données sur l’éducation en France :

Les chiffres sont intéressants mais la visualisation est totalement biaisée. Le point le plus flagrant est la position du zéro sur chaque axe qui augmente des différences.

Première tentative

Quelqu’un a gentiment fourni une version alternative, mais tout aussi biaisée :

L’intention est honnête, mais la volonté de graduer tous les axes sur la même échelle n’a aucun sens quand on compare des choux et des carottes. Ici non seulement les données n’ont pas le même sens (le nombre d’heures et le nombre de jours n’ont pas à être comparés sur la même échelle, car ils ne représentent pas une donnée cohérente), mais elles n’ont même pas la même unités : il y a des heures, des pourcentages, des nombres de jours et des nombres de personnes. Penser que 100% correspond à 100 jours et 100 élèves n’a strictement aucun sens. Du coup les axes sont écrasés et on ne verrait aucune différence quand bien même elle serait significative.

Choisir sa référence

Refaisons donc avec un maximum différent sur chaque axe, mais lequel ?

Premier choix, si on tente de comparer des chiffres bruts pour voir la répartition sur toute la dynamique. Ca permet de voir où se massent la plupart des pays, et éventuellement sur quelle dynamique ça se répartit. On a l’avantage aussi d’avoir des chiffres absolus et pas des % par rapport à quelqu’un d’autre.

Second choix, on veut avoir une vision de la répartition européenne, on les compare donc à la moyenne OCDE (on aurait pu choisir la médiane, mais elle ne faisait pas partie des données sources). Ça permet de visualiser facilement qui s’échappe de la masse.

Dernière possibilité, si on souhaite comparer le reste des pays à la France, on utilise nos propres chiffres comme référence au lieu de la moyenne OCDE. Ca permet de visualiser plus facilement où la France particulièrement est significativement différente du reste :

Le choix entre ces trois visualisations est totalement arbitraire, en fonction de ce qu’on recherche ou de ce qu’on veut montrer. Dans tous les cas, le choix même de la représentation, est déjà un acte d’analyse et donc subjectif. Aucune n’est plus « objective » que les autres.

Dans l’intention du graphique initial, c’est probablement la dernière visualisation qui est la plus pertinente, vu qu’elle montre facilement là où la France est isolée.

Toujours aussi biaisé

D’ailleurs mes trois graphiques sont eux-même biaisés. Le départ à zéro semble naturel mais ne l’est en fait pas du tout. Une différence de 1% pourrait très bien être extrêmement significative sur une donnée, et ne pas du tout être visible si on graphe bêtement avec une échelle qui part de zéro.

Même après avoir résolu cette question des axes, on n’aurait pas fini pour autant :

Pourquoi uniquement ces quelques pays, ont-ils été sélectionnés pour accentuer un discours pré-établi ? Est-ce qu’on n’aurait pas plein d’autres pays qui sont proches de nous, voire encore plus divergents ?

À défaut de mettre tous les pays de l’OCDE, colorier l’écart type serait appréciable pour voir si notre écart est particulièrement anormal ou pas. Avoir la médiane plutôt que la moyenne pourrait aussi être pertinent au cas où certains pays sont exceptionnellement hauts ou exceptionnellement bas.

Au niveau des données elles-mêmes, pourquoi avoir pris un pourcentage d’heures de math sur la totalité et pas avoir compté le nombre d’heures d’enseignement en valeur absolu ? Au niveau des résultats pour l’élève ça aurait été plus cohérent.

On a aussi le nombre d’heures par jour et le nombre de jours. Le nombre d’heures par an est-il similaire pour tous ? Ca aurait été sacrément intéressant de le grapher.

Même chose pour le nombre d’élèves par classe : Pour combien d’enseignant ? Il y a-t-il des aides, des assistants maternelles, des assistants de vie, des accompagnements personnalisés en plus de l’instituteur principal ? Quelle est la proportion des enseignements en demi groupe ou en groupes autonomes restreints par rapport aux enseignements « pleine classe » ?

Subjectivité et intention

Vous voulez une représentation objective ? Ça n’existe pas. Une donnée objective non plus d’ailleurs, même si ça ressemble à un chiffre brut. C’est bien tout le travail des analystes : Choisir une donnée, la méthode de calcul et de récolte, une représentation, puis la mettre en forme accompagnée des explications utiles. Tout ça se fait en fonction d’un objectif particulier déterminé au départ.

Du coup le graphique initial est totalement biaisé, mais finalement… pas forcément plus qu’un autre. S’il cherche uniquement à montrer que nous sommes hors du groupe formé par les 4 autres références pointées, il y réussit et probablement avec la meilleure visualisation de tout ce qui est présenté ici. Le défaut vient peut être uniquement de ceux qui le critiquent, qui tentent de le sur-interpréter.

Il y manquait surtout une légende pour guider la lecture. Ca passait pour des chiffres bruts, ce que ça n’était évidemment pas puisqu’il y avait une mise en forme et un objectif de communication.

24 septembre 2014
Hygiène de sécurité
Aujourd’hui on vérifie la sécurité.

Les services en ligne « sensibles »

Même en ne gardant que le principal, il faut penser à :
- votre boite email (qui sert à la récupération des mots de passe de tous les autres comptes),
- votre service de nom de domaine,
- celle de secours (qui sert à la récupération du mot de passe de la boite principale),
- votre service de backup,
- vos services de stockage ou synchronisation en ligne,
- votre hébergeur de serveur en ligne si vous en avez.
[ ] La première étape c’est s’assurer d’avoir des mots de passe « sûrs ». Ça veut dire suffisamment longs et complexes.

Suivant les préférences c’est au moins huit caractères aléatoires entre chiffres lettres et symboles, au moins 12 caractères avec des lettres relativement aléatoires, ou au moins 15 caractères minimum si vous avez des suites de mots communs.

Le l34t sp33k, l’inversion des caractères, l’ajout d’une année, et globalement la plupart des variations auxquelles vous pourriez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité significative.

[ ] Seconde étape, s’assurer que ces mots de passe sont uniques et vraiment différents (pas de simples variations du même).

Au grand minimum, s’assurer d’avoir un mot de passe pour les services très sensibles différent du mot de passe que vous tapez tous les jours pour les services moins importants. Ce mot de passe sensible ne devra être tapé que dans des espaces correctement sécurisés.

[ ] Quand vous le pouvez, activez l’ »authentification en deux étapes ». C’est possible au moins pour Google, Gandi, Dropbox, iCloud. C’est franchement peu gênant vu la sécurité que ça apporte, ne pas le faire est limite une faute.

[ ] Les « questions secrètes » pour récupérer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécurité. En général il est très facile d’en trouver la réponse.

À vous de voir si vous préférez tricher et mettre de fausses réponses (au risque de ne pas vous en souvenir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’accès de la plupart des usurpations courantes.

L’accès depuis vos postes

Tablette, téléphone (même les « pas smart »), micro-ordinateur, NAS de la maison…

[ ] Tous doivent avoir un mot de passe à l’allumage et à la sortie de veille. Tous, pas d’exception.

Sur les smartphones et tablettes vous avez parfois la possibilité de mettre un « schema ». Ça fonctionne assez bien et c’est plutôt simple à déverrouiller. Si vous n’avez pas d’autre choix, utilisez le code PIN.

Pour les autres les mots de passe doivent respecter les mêmes règles que pour les services en ligne.

[ ] Tous ceux qui le peuvent doivent avoir un disque chiffré. Micro-ordinateurs, tablettes et smartphones le permettent quasiment tous.

Le coût en performance ou en batterie est quasiment nul sur les processeurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

Sans ça n’importe qui avec très peu de connaissances informatiques peut passer outre votre mot de passe.

Parfois il existe une procédure de récupération si jamais vous oubliez vos mots de passe, de façon à déverrouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procédure de récupération doit être considéré comme sensible avec les mêmes règles que plus haut.

[ ] Les mises à jour sont configurées pour être téléchargées automatiquement, et installées dès qu’elles sont disponibles.

[ ] Si vous enregistrez vos mots de passe dans votre navigateur pour ne pas les ressaisir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

Si en plus ces données sont synchronisées en ligne, le mot de passe qui gère le compte de synchronisation doit être considéré comme sensible avec les mêmes règles que plus haut.

[ ] Vous avez une politique de backup automatisé et testé pour toutes vos données importantes. Bien entendu le compte qui permet d’accéder aux données de backup est à considérer comme sensible.

La machine qui reçoit les backup doit avoir un disque chiffré et si vous faites appel à un service tiers le chiffrement des données doit se faire côté client pour que le prestataire ne puisse pas décoder les données.

Tout ça est un minimum, maintenant imaginez quelqu’un qui connait la réponse à la question secrète de votre opérateur téléphonique. À partir de ça il peut réinitialiser le mot de passe pour accéder à votre compte. Là il a une interface pour lire et écrire des SMS. Il demande alors la réinitialisation du mot de passe de votre boite email principale, qui se fait via SMS. À partir de là il réinitialise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récupérer vos photos, même si vous les avez effacé, et peut être même de quoi faire des virements. Situation fictive mais on a vu des attaques bien plus inventives.

Si vous avez lu jusqu’au bout (sérieusement ?) je suis curieux de savoir quelle proportion de ces bonnes pratiques vous validez, ou si vous respectez tout en détail pour l’intégralité de vos matériels et comptes sensibles.

Photo d’entête sous licence CC BY-NC-SA par Steve Crane
3 septembre 2014
Embouts mousse

Je suis repassé pendant deux semaines sans mousse, pour le même casque, et je me dis que ça vaut peut être de faire une recommandation à ceux qui ne connaissent pas :

Si vous avez des écouteurs intra-auriculaires, pensez à jeter les embouts en plastique souple pour y mettre des embouts en mousse à mémoire de forme.

La différence est juste évidente après s’y être habitué : Isolation sans comparaison, au point de rendre inutile tous les intras à réduction de bruit active, qui donne un son direct, clair et sans perdition. À ça s’ajoute une tenue dans l’oreille qui vous permet de courir et sauter sans que ça ne bouge d’un poil.

Sur Amazon vous avez des packs avec trois tailles pour 20 à 25 €. Ça peut valoir le cout de mettre un peu moins dans le casque mais d’en tirer vraiment le maximum. Oh, et si vous n’en avez jamais mis, jetez un oeil sur le web pour voir comment ça fonctionne.

Photo d’entête sous licence CC BY-NC-SA par Tom Wigley

14 août 2014
A color picker pen that reproduce any color

J’en connais qui vont se jeter dessus si jamais la qualité de l’encre et de rendu est sympa. Le stylo capture une couleur via un capteur et sait la reproduire en interne en mélangeant des encres.

Bon, 150$ le stylo avec de la vraie encre (l’autre est juste un capteur et une pointe capacitive pour tablette) mais tout de même…

Ils promettent 20% de moins pour ceux qui feraient un kickstarter. Ça fait descendre à quelque chose comme 90€ avec le transport. Cher mais possible pour un coup de coeur.

18 juin 2014
GPG keysigning and government identification

Ok, je n’utilise pas GPG. J’ai tenté par le passé mais trop peu de gens en face l’utilisent pour que ce soit pertinent de mon côté (oui, je sais que l’argument est cyclique).

Have you been a US bartender before? Or held any other position where you’ve had to verify an ID? It’s not an easy thing to do. People in those positions have books of valid IDs from different states. They have lights that show the security marks. They still get it wrong regularly. A very amateur fake ID, or borrowed real ID, will fool just about everyone in any informal context.

Par contre j’ai toujours trouvé idiot la procédure qui demande à ce qu’on vérifie physiquement l’identité du correspondant. Ce qui m’intéresse c’est que la personne à qui j’écris ou qui m’écrit est bien celle que j’attends. Pour ça la seule solution c’est de faire un ou plusieurs aller-retours écrits.

Non seulement je ne serai absolument pas capable de détecter une fausse carte d’identité, même une mal faite à 30€, mais en plus je n’ai que faire de son identité civile. Ce n’est pas du tout ce que je cherche à certifier.

Entre ceux qui vérifient l’identité civile à la légère en lieu et place de l’identité numérique, et ceux qui ne vérifient rien, le « web of trust » est assez illusoire aujourd’hui. Il nous faut des outils qui automatisent et guident nos pas, sans quoi rien ne changera.

16 juin 2014
Naming conventions in Europe, Asia and North Africa

Vous me rappelez pourquoi vous pensez que deux champs « nom » et « prénom » sont pertinents ?

Pour plus de détails : People have name (ou pas)

11 juin 2014
Free SSL Certificates for Open Source Projects

Je colle ça ici au cas où ça serve à quelqu’un, ou moi plus tard : GlobalSign donne des certificats SSL gratuits pour les projets Open Source (license OSI).

Visiblement ils offrent même des wildcards. Bon, ça ne leur coûte rien, mais ça peut être pratique.

9 juin 2014