Carnet de notes

Catégorie : Geek

  • Help, je me sépare de mon infor­ma­ti­cien(ne)

    Help, je me sépare de mon infor­ma­ti­cien(ne)

    C’est la troi­sième fois que je conseille quelqu’un là dessus alors je fixe par écrit, au moins pour que quelqu’un d’autre puisse s’y réfé­rer, mais aussi pour que vous lecteurs puis­siez enri­chir.

    Contexte : Le couple se sépare (mais vit donc poten­tiel­le­ment sous le même toit pour l’ins­tant, ça peut mettre du temps), l’un des deux est infor­ma­ti­cien, l’autre craint de se faire espion­ner d’une quel­conque façon.

    Prendre du recul

    Premier conseil : Même si ça se passe mal, il est probable qu’il n’en soit rien. Au risque de faire une affir­ma­tion trop géné­rique, j’ai tendance à croire que sauf histo­rique immo­ral connu, plus la personne « sait » faire, plus elle est respon­sable vis à vis de la ques­tion de la sécu­rité infor­ma­tique et s’abs­tien­dra de trop déra­per.

    Très proba­ble­ment utili­ser le mode « navi­ga­tion privée » de votre navi­ga­teur web, ne pas lais­ser trai­ner de docu­ment (vider la corbeille !) et éviter d’uti­li­ser un compte email dont le conjoint connait le mot de passe devrait suffire.

    Main­te­nant imagi­nons le pire, la ques­tion est unique­ment d’ima­gi­ner le ratio sécu­rité/emmer­de­ment à viser. Plus vous voulez être en sécu­rité, plus ça va être emmer­dant à gérer (pour vous pour éviter d’être espionné, mais aussi pour l’autre de vous espion­ner) :

    Tout exter­na­li­ser

    Le plus simple est d’ar­rê­ter de commu­niquer sur des sujets sensibles avec vos anciens comptes email, face­book, skype, messa­ge­rie instan­ta­née, etc.

    Il est simple d’en créer d’autres dédiés à cet usage. Ces nouveaux comptes ne seront utili­sés que depuis des appa­reils et des réseaux « sécu­ri­sés », c’est à dire votre travail, le domi­cile d’un ami proche et de confiance, ou un cyber­ca­fé… mais pas les appa­reils ou le réseau de votre domi­cile.

    Si besoin il est possible d’uti­li­ser depuis la maison une tablette ou un télé­phone 3G (pas en wifi) à condi­tion d’avoir activé le chif­fre­ment de l’ap­pa­reil (c’est possible sous iphone/ipad comme sur les Android récent) *et* que le code PIN ou l’em­preinte digi­tale soit requis à chaque sortie de veille (pas la simple recon­nais­sance du visage) *et* que le conjoint ne connaisse pas ce code PIN ou n’ait pas enre­gis­tré sa propre empreinte.

    Atten­tion, si c’est un appa­reil pré-exis­tant, il faut reti­rer toutes les synchro­ni­sa­tions de données (par exemple les SMS qui se synchro­nisent avec votre compte Google Hangout de la maison, le Fire­fox ou le Chrome qui synchro­nisent et donc caftent votre histo­rique de navi­ga­tion avec celui de la maison, etc…) ainsi que les logi­ciels de sauve­garde. Au pire, un télé­phone premier prix neuf avec un petit forfait premier prix aussi ne coûte plus grand chose ; il est possible d’ache­ter ça pour l’oc­ca­sion.

    C’est contrai­gnant car ça exclut poten­tiel­le­ment la capa­cité de commu­niquer sur le sujet depuis le maté­riel du domi­cile conju­gal, mais c’est encore ce qui a le meilleur ratio sécu­rité/emmer­de­ment.

    Même chose pour les fichiers ou les docu­ments échan­gés : Ils restent sur l’ap­pa­reil du bureau ou de la personne de confiance, en ligne sur un service genre Google Drive ou Drop­box (avec un nouveau compte dédié à cet usage), ou éven­tuel­le­ment sur la tablette qui répond à la descrip­tion plus haut. La clef USB c’est cher­cher les ennuis et le stress.

    Atten­tion, si vous vous connec­tez une fois depuis un maté­riel ou un réseau qui n’est pas de confiance, sauf à chan­ger le mot de passe très rapi­de­ment (et depuis un appa­reil de confiance), vous pouvez tout recom­men­cer à zéro.

    Utili­ser le maté­riel de la maison

    Globa­le­ment est à risque tout ce qui passe par la maison, un appa­reil ou un réseau commun, ou qui peut être récu­péré à partir de là. Je conseille d’évi­ter mais on peut tenter de limi­ter la casse :

    Tout d’abord vous pouvez aban­don­ner l’idée du simple anti-virus ou de l’ou­til magique qui enlè­vera tous les spywares. Il y a trop de portes possibles : utili­sa­teur admi­nis­tra­teur, mauvaises confi­gu­ra­tion, disque non chif­fré, sauve­garde auto­ma­tique ou synchro­ni­sa­tion vers une desti­na­tion acces­sible du conjoint… l’anti-spyware ne pourra jamais corri­ger tout ça. Votre éven­tuel ami infor­ma­ti­cien sera lui même bien à mal de garan­tir quoi que ce soit même en y passant des heures.

    Le PC de la maison est disqua­li­fié dans sa confi­gu­ra­tion actuelle, sans retour en arrière possible. La seule solu­tion est de le réins­tal­ler complè­te­ment de zéro, d’y acti­ver ensuite le chif­fre­ment des disques (indis­pen­sable si le conjoint peut avoir un accès physique à l’ap­pa­reil) et de choi­sir judi­cieu­se­ment un nouveau mot de passe. Si ce n’est pas votre métier, ça veut dire vous faire aider par une connais­sance pour tout ça.

    Atten­tion : réins­tal­ler votre ordi­na­teur habi­tuel sera proba­ble­ment remarqué donc ça ouvrira les hosti­li­tés (et le fait de se proté­ger contre une intru­sion peut faire que la personne d’en face se sente elle-même à risque et réalise des intru­sions qu’elle n’au­rait pas tenté sinon ; vous risquez de déclen­cher voire créer le problème contre lequel vous voulez vous défendre).

    Une solu­tion plus douce, si vous avez un lecteur CD, est d’uti­li­ser un live CD. En gros il s’agit d’amor­cer la machine avec un envi­ron­ne­ment gravé sur CD non réins­crip­tible (donc non modi­fiable par le conjoint) plutôt qu’a­vec le système du disque local (poten­tiel­le­ment contrôlé ou modi­fié par le conjoint). On peut en faire sous Windows ou sous Linux. Quelqu’un de confiance dans votre entou­rage pourra proba­ble­ment vous en faire un. Signez le CD ensuite avec un feutre pour le recon­naitre et vous assu­rer qu’on ne le chan­gera pas par un autre plus tard à votre insu. À partir de là si vous ne stockez rien sur le disque local et lais­sez tout en ligne, vous êtes à peu près sûr de ne pas avoir de problème.

    Bien entendu, dans les deux cas (réins­tal­la­tion ou live CD), ça n’a d’in­té­rêt que si vous utili­sez des nouveaux comptes de messa­ge­rie avec de nouveaux mots de passe, comme décrit plus haut. Malheu­reu­se­ment ça fonc­tionne avec le live CD mais pas avec une clef USB, qui pour­rait être modi­fiée.

    Seule précau­tion supplé­men­taire à prendre : Vous connec­ter direc­te­ment à la box inter­net, que ce soit par câble ou par wifi, mais *pas* en passant par un routeur ou un appa­reil maison. Si le réseau WIFI n’est pas celui de votre opéra­teur (Free­box, SFR, Orange, LaBox…) ou que d’un coup il vous rede­mande le mot de passe WIFI, consi­dé­rez que vous n’êtes plus en zone de confiance et que tout ce qui ne se fait pas dans un navi­ga­teur en mode sécu­risé (barre d’adresse verte ou avec le cade­nas) peut être espionné voire mani­pulé.

    Prendre conseil

    Dans tous les cas, si vous en êtes là, je ne saurais trop vous conseiller de commen­cer par prendre contact avec un avocat spécia­lisé dans les sépa­ra­tions. Lui pourra certai­ne­ment vous donner de nombreux conseils car il est habi­tué à la problé­ma­tique. Une personne de confiance dans votre entou­rage vous sera de toutes façons aussi très utile comme relai pour le cour­rier ou pour vous prêter un accès Inter­net.

    Courage.

    Si vous pouvez corri­ger ou complé­ter, je suis certain que la personne à qui j’adresse aujourd’­hui ce billet vous en sera recon­nais­sante.

    Photo d’en­tête sous licence CC BY-NC-SA par Fote­mas

  • Typo­gra­phie à l’école

    Typo­gra­phie à l’école

    Quelles bases de typo­gra­phie sont donc ensei­gnées à l’école ?  Le mot « typo­gra­phie » est-il utilisé ? — Emma­nuel

    Ques­tion inté­res­sante. J’ai fouillé mes souve­nirs.

    Au niveau carac­tère

    On m’a appris les majus­cules, les minus­cules, les chiffres, les ponc­tua­tions et l’es­pace.

    On ne m’a pas appris la diffé­ren­cia­tion entre majus­cule et capi­tale, ou même l’exis­tence des petites capi­tales, ni le fait que les points de suspen­sions est un carac­tère à part entière et pas trois points sépa­rés.

    On ne m’a pas appris non plus les cadra­tin et demi cadra­tin, les chevrons pour faire des cita­tions à l’in­té­rieur d’autres cita­tions ou le sens des crochets. On ne m’a pas appris non plus qu’il y a diffé­rentes tailles d’es­pace (mais ça s’est fait tout seul à l’usage pour l’écri­ture manus­crite). Je ne parle même pas de savoir ce qu’est une liga­ture.

    On m’a aussi expli­ci­te­ment mal appris que les majus­cules ne prennent jamais d’ac­cent ou de cédille, et je crois que ce mauvais appren­tis­sage perdure encore aujourd’­hui.

    On m’a aussi expli­ci­te­ment appris le mauvais genre pour « une espace », et j’ai encore du mal aujourd’­hui à me corri­ger.

    Au niveau du mot

    On m’a appris à sépa­rer les mots par des espaces, à capi­ta­li­ser les noms propres, ce qu’est un sigle ou une abré­via­tion. On m’a même appris la césure et qu’elle se fait entre deux syllabes.

    On ne m’a par contre pas appris – ou je ne m’en souviens pas – comment arbi­trer entre les diffé­rentes écri­tures des sigles et acro­nymes (capi­tales ou non, points entre les lettres ou non).

    Sur la césure on ne m’a pas non plus appris à faire des coupures élégantes, ou quand éviter de les faire.

    Au niveau de la phrase

    On m’a appris la majus­cule en début de phrase et le point en fin de phrase, quelle ponc­tua­tion prend une espace avant ou après.

    On m’a toujours appris à ne pas mettre de virgule entre les deux derniers éléments d’un inven­taire quand un « et » ou un « ou » est présent, même si j’ai appris à parfois le faire moi-même plus tard.

    On ne m’a par contre pas appris à gérer la ponc­tua­tion des listes.

    On ne m’a pas appris non plus la notion d’es­pace insé­cable, même si en pratique la « règle du bon sens » fait qu’on m’a inter­dit de reve­nir à la ligne avant une ponc­tua­tion autre que l’ou­ver­ture de guille­met ou de paren­thèse, avant les symboles d’unité, ou (pour les profes­seurs les plus tatillons) au milieu d’un « 15 septembre ».

    La capa­cité de ne pas mettre une capi­tale après les deux points quand il s’agit d’un inven­taire a été diffé­rente chaque année suivant le profes­seur. Pour le coup on m’a appris tout et son contraire.

    Au niveau du para­graphe

    On m’a appris la notion de para­graphe, le saut de ligne et même l’in­den­ta­tion. On m’a appris la notion de titre, l’es­pace sous et sur le titre.

    On ne m’a pas appris que c’est norma­le­ment soit un sauf de ligne soit une inden­ta­tion mais pas forcé­ment les deux – et assez rapi­de­ment plus personne n’a demandé ou fait atten­tion à la présence ou non d’une inden­ta­tion. On ne m’a pas appris non plus à réel­le­ment conce­voir une diffé­rence entre un nouveau para­graphe et un simple retour à la ligne – même si j’ai finis par la faire de moi-même.

    On ne m’a pas appris à gérer les veuves ou les orphe­lines.

    La notion de phrase : On m’a appris la majus­cule en début de phrase

    Autres

    On m’a appris le souli­gné, on m’a donné très tardi­ve­ment la signi­fi­ca­tion de l’ita­lique mais jamais du gras. On ne m’a par contre jamais donné les armes pour faire de l’écri­ture clavier avec un usage élégant entre les guille­mets et l’ita­lique plutôt que le gras et le souli­gné.

    De manière géné­rale on ne m’a jamais appris à vrai­ment utili­ser le clavier ou que l’in­for­ma­tique permet plus que le simple ASCII : majus­cules accen­tuées, cadra­tins, espace insé­cable, espace fine, apos­trophe et guille­met typo­gra­phique, et encore moins les traits d’union et traits de césure expli­cite ou la césure option­nelle. On ne m’a globa­le­ment pas appris l’in­for­ma­tique du tout en fait, que ce soit clavier ou trai­te­ment de texte – je ne parle même pas de choix des fontes. Ça peut expliquer aussi le faible niveau typo­gra­phique des échanges élec­tro­niques actuels.

    Je regrette aussi qu’on ne m’ait pas ensei­gné les ques­tions typo­gra­phiques en tant que tel, peut-être rien que pour me dire que la typo­gra­phie est diffé­rente dans d’autres langues.

    Clai­re­ment, dans tous les cas, personne n’avait même abordé le terme de typo­gra­phie. À l’heure où on parle de la perti­nence d’en­sei­gner l’écri­ture à la main, c’est surpre­nant.

    Et vous ?

    Photo d’en­tête sous licence CC BY-NC-SA par Relly Annett-Baker

  • Faut-il éteindre la CNIL ?

    Sérieu­se­ment, on envi­sage de faire aujourd’­hui exac­te­ment ce qu’on voulait empê­cher en créant la CNIL : Croi­ser tous les fichiers publics, spéci­fique­ment ceux qui tracent des ques­tions sociales (retraite, famille, mala­die, emploi, mini­mums sociaux).

    On avait déjà croisé toute une série de fichiers poli­ciers, accepté d’avoir eu pendant des années nombre de fichiers poli­ciers offi­ciels non décla­rés, avec des infor­ma­tions obso­lètes et souvent fausses (STIC, je pense à toi), parfois tota­le­ment illé­gales (traçage des rom et gens du voyage). Au mieux on a fait passé des lois quelques années après pour les légi­ti­mer. Au mieux on a eu droit à un entre­fi­let dans la presse.

    Côté État, la CNIL n’a de toutes façons qu’un rôle consul­ta­tif dans nombre de cas. Le pire c’est quand son président vote au Sénat pour des projets que la CNIL réprouve. Joie.

    Côté collec­ti­vi­tés, la vidéo surveillance exces­sive qui ne respecte ni la propor­tion­na­lité ni la légis­la­tion sur les règles d’ex­ploi­ta­tion est plutôt la norme que l’ex­cep­tion, quand elle est décla­rée. Au pire on corri­gera quand on se fera taper sur les doigts.

    Côté privé le nombre de fichiers non décla­rés ou hors la loi est juste phéno­mé­nal. Le trai­te­ment des données person­nelles est fait quasi­ment sans limi­ta­tion ni précau­tions. Négli­gence fautive ? Fuite de données person­nelles ? Usage délic­tueux ? au pire il y a un rappel à la loi. Les sanc­tions sont excep­tion­nelles et abso­lu­ment pas dissua­sives.

    Notre CNIL produit de très belles recom­man­da­tions mais au final, elle sert à quoi ? Je suis volon­tai­re­ment provo­ca­teur, mais elle est à la fois stricte à la fois échoue à proté­ger les données du citoyen de l’état, des collec­ti­vi­tés publiques, et des entre­prises privées.

  • Archi­ver le web

    Archi­ver le web

    J’adore le prin­cipe de la wayback machine de l’ini­tia­tive Inter­net Archive. Ils indexent le web et gardent une archive des versions rencon­trées. On peut revoir les conte­nus qui ont disparu du web, ou consul­ter des anciennes versions de conte­nus qui ont changé entre temps.

    Et si on réuti­li­sait l’ini­tia­tive à titre person­nel ? Pouvoir retrou­ver les conte­nus déjà visi­tés, même s’ils ont été reti­rés ou ont été amen­dés. Avec un peu de bidouille on pour­rait même recher­cher à travers nos archives.

    C’est ce que propose l’IIPC avec le projet open­way­back. Pour ceux qui ne veulent pas utili­ser pywb.

    Je pense de plus en plus à me consti­tuer mon archive : Au moins avec les pages que je mets en favori, celles que je lie à partir de mon blog, les liens que j’en­re­gistre dans Pocket, que je lis dans mon flux Twit­ter ou que j’y pose moi-même. Peut-être même que ça vaudrait le coup d’en­re­gis­trer tout ce qui passe dans mon histo­rique de navi­ga­tion.

    Pour l’ins­tant je n’ai jamais sauté le pas, mais est-ce si complexe ? pas certain. Il suffi­rait d’un peu de temps, d’un peu de code et de stockage en assez grande quan­tité. Rien d’in­fai­sable.

    Entre temps, d’autres se mettent en tête d’ar­chi­ver le web, tout le web. Rien que ça. L’In­ter­net Archive n’est qu’une compo­sante parmi d’autres reliées grâce à Memento. L’Archive Team fait un travail paral­lèle : Eux réus­sisent à archi­ver les conte­nus de quelques services en vue avant qu’ils ferment, les conte­nus des redi­rec­teurs d’URL, et même les conte­nus FTP.

    Le web gros­sit à une vitesse formi­dable mais les possi­bi­li­tés de stockage restent suffi­sam­ment impor­tantes pour qu’ar­chi­ver le web soit du domaine du possible.

    Photo d’en­tête sous licence CC BY-NC-ND par Pietro­mas­simo Pasqui

  • We’ve streng­the­ned our passs­word complexity requi­re­ments

    1. We’ve streng­the­ned our passs­word complexity requi­re­ments. We’ve noti­ced that the recur­ring pass­word expi­ra­tion often results in the use a poor or weak pass­words. The new pass­word requi­re­ments are:

    • Mini­mum length for 16 charac­ters
    • Mini­mum of 4 words when using a pass­phrase (a sequence of unre­la­ted words)
    • Maxi­mum length of 100 charac­ters
    • No pass­words that reuse the same words too many times, contain a birth­date suffix/prefix, etc.

    We stron­gly encou­rage the use of pass­phrases, instead of a tradi­tio­nal pass­word with multiple charac­ter classes. Example pass­phrases are displayed on the pass­word reset site.

    2. We’re remo­ving pass­word expi­ra­tion enti­rely. After chan­ging your LDAP pass­word one last time, it will no longer expire. The only reason you will need to change your change your LDAP pass­word in the future is if it has been acci­den­tally leaked, or if one of your compu­ters/mobile device were lost, stolen, or compro­mi­sed.

    Je ne saurais trop remer­cier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les poli­tiques de mots de passe n’ont géné­ra­le­ment ni queue ni tête, et l’obli­ga­tion de chan­ger régu­liè­re­ment de mot de passe est proba­ble­ment la superbe mauvaise idée du siècle en termes de sécu­rité.

    Je râle encore contre tous ces sites qui ont une procé­dure de réini­tia­li­sa­tion mais qui t’em­pêchent de saisir de nouveau un mot de passe que tu avais oublié préa­la­ble­ment.

    Juste un point pour Mozilla : Pour les appa­reils perdus ou volés, la solu­tion est plus la possi­bi­lité d’avoir des mots de passe unique dédiés. Le mot de passe géné­rique n’est utile que là où il est tapé régu­liè­re­ment.

    Partout où le mot de passe est à demeure (par exemple la confi­gu­ra­tion du client email), le système devrait permettre d’uti­li­ser un mot de passe unique, dédié. Si l’ap­pa­reil est compro­mis on ne change pas le mot de passe géné­rique, on se contente de « griller » le mot de passe dédié dans la liste des auto­ri­sa­tions.

    Google le fait très bien pour ceux qui ont activé l’au­then­ti­fi­ca­tion en deux étapes.

  • Repré­sen­ta­tion de données

    Un graphique tourne un peu avec des données sur l’édu­ca­tion en France :

    Les chiffres sont inté­res­sants mais la visua­li­sa­tion est tota­le­ment biai­sée. Le point le plus flagrant est la posi­tion du zéro sur chaque axe qui augmente des diffé­rences.

    Première tenta­tive

    Quelqu’un a genti­ment fourni une version alter­na­tive, mais tout aussi biai­sée :

    L’in­ten­tion est honnête, mais la volonté de graduer tous les axes sur la même échelle n’a aucun sens quand on compare des choux et des carottes. Ici non seule­ment les données n’ont pas le même sens (le nombre d’heures et le nombre de jours n’ont pas à être compa­rés sur la même échelle, car ils ne repré­sentent pas une donnée cohé­rente), mais elles n’ont même pas la même unités : il y a des heures, des pour­cen­tages, des nombres de jours et des nombres de personnes. Penser que 100% corres­pond à 100 jours et 100 élèves n’a stric­te­ment aucun sens. Du coup les axes sont écra­sés et on ne verrait aucune diffé­rence quand bien même elle serait signi­fi­ca­tive.

    Choi­sir sa réfé­rence

    Refai­sons donc avec un maxi­mum diffé­rent sur chaque axe, mais lequel ?

    Premier choix, si on tente de compa­rer des chiffres bruts pour voir la répar­ti­tion sur toute la dyna­mique. Ca permet de voir où se massent la plupart des pays, et éven­tuel­le­ment sur quelle dyna­mique ça se répar­tit. On a l’avan­tage aussi d’avoir des chiffres abso­lus et pas des % par rapport à quelqu’un d’autre.

    Second choix, on veut avoir une vision de la répar­ti­tion euro­péenne, on les compare donc à la moyenne OCDE (on aurait pu choi­sir la médiane, mais elle ne faisait pas partie des données sources). Ça permet de visua­li­ser faci­le­ment qui s’échappe de la masse.

    Dernière possi­bi­lité, si on souhaite compa­rer le reste des pays à la France, on utilise nos propres chiffres comme réfé­rence au lieu de la moyenne OCDE. Ca permet de visua­li­ser plus faci­le­ment où la France parti­cu­liè­re­ment est signi­fi­ca­ti­ve­ment diffé­rente du reste :

     Le choix entre ces trois visua­li­sa­tions est tota­le­ment arbi­traire, en fonc­tion de ce qu’on recherche ou de ce qu’on veut montrer. Dans tous les cas, le choix même de la repré­sen­ta­tion, est déjà un acte d’ana­lyse et donc subjec­tif. Aucune n’est plus « objec­tive » que les autres.

    Dans l’in­ten­tion du graphique initial, c’est proba­ble­ment la dernière visua­li­sa­tion qui est la plus perti­nente, vu qu’elle montre faci­le­ment là où la France est isolée.

    Toujours aussi biaisé

    D’ailleurs mes trois graphiques sont eux-même biai­sés. Le départ à zéro semble natu­rel mais ne l’est en fait pas du tout. Une diffé­rence de 1% pour­rait très bien être extrê­me­ment signi­fi­ca­tive sur une donnée, et ne pas du tout être visible si on graphe bête­ment avec une échelle qui part de zéro.

    Même après avoir résolu cette ques­tion des axes, on n’au­rait pas fini pour autant :

    Pourquoi unique­ment ces quelques pays, ont-ils été sélec­tion­nés pour accen­tuer un discours pré-établi ? Est-ce qu’on n’au­rait pas plein d’autres pays qui sont proches de nous, voire encore plus diver­gents ?

    À défaut de mettre tous les pays de l’OCDE, colo­rier l’écart type serait appré­ciable pour voir si notre écart est parti­cu­liè­re­ment anor­mal ou pas. Avoir la médiane plutôt que la moyenne pour­rait aussi être perti­nent au cas où certains pays sont excep­tion­nel­le­ment hauts ou excep­tion­nel­le­ment bas.

    Au niveau des données elles-mêmes, pourquoi avoir pris un pour­cen­tage d’heures de math sur la tota­lité et pas avoir compté le nombre d’heures d’en­sei­gne­ment en valeur absolu ? Au niveau des résul­tats pour l’élève ça aurait été plus cohé­rent.

    On a aussi le nombre d’heures par jour et le nombre de jours. Le nombre d’heures par an est-il simi­laire pour tous ? Ca aurait été sacré­ment inté­res­sant de le grapher.

    Même chose pour le nombre d’élèves par classe : Pour combien d’en­sei­gnant ? Il y a-t-il des aides, des assis­tants mater­nelles, des assis­tants de vie, des accom­pa­gne­ments person­na­li­sés en plus de l’ins­ti­tu­teur prin­ci­pal ? Quelle est la propor­tion des ensei­gne­ments en demi groupe ou en groupes auto­nomes restreints par rapport aux ensei­gne­ments « pleine classe » ?

    Subjec­ti­vité et inten­tion

    Vous voulez une repré­sen­ta­tion objec­tive ? Ça n’existe pas. Une donnée objec­tive non plus d’ailleurs, même si ça ressemble à un chiffre brut. C’est bien tout le travail des analystes : Choi­sir une donnée, la méthode de calcul et de récolte, une repré­sen­ta­tion, puis la mettre en forme accom­pa­gnée des expli­ca­tions utiles. Tout ça se fait en fonc­tion d’un objec­tif parti­cu­lier déter­miné au départ.

    Du coup le graphique initial est tota­le­ment biaisé, mais fina­le­ment… pas forcé­ment plus qu’un autre. S’il cherche unique­ment à montrer que nous sommes hors du groupe formé par les 4 autres réfé­rences poin­tées, il y réus­sit et proba­ble­ment avec la meilleure visua­li­sa­tion de tout ce qui est présenté ici. Le défaut vient peut être unique­ment de ceux qui le critiquent, qui tentent de le sur-inter­pré­ter.

    Il y manquait surtout une légende pour guider la lecture. Ca passait pour des chiffres bruts, ce que ça n’était évidem­ment pas puisqu’il y avait une mise en forme et un objec­tif de commu­ni­ca­tion.

  • Hygiène de sécu­rité

    Hygiène de sécu­rité

    Aujourd’­hui on véri­fie la sécu­rité.

    Les services en ligne « sensibles »

    Même en ne gardant que le prin­ci­pal, il faut penser à :

    • votre boite email (qui sert à la récu­pé­ra­tion des mots de passe de tous les autres comptes),
    • votre service de nom de domaine,
    • celle de secours (qui sert à la récu­pé­ra­tion du mot de passe de la boite prin­ci­pale),
    • votre service de backup,
    • vos services de stockage ou synchro­ni­sa­tion en ligne,
    • votre héber­geur de serveur en ligne si vous en avez.

    [ ] La première étape c’est s’as­su­rer d’avoir des mots de passe « sûrs ». Ça veut dire suffi­sam­ment longs et complexes.

    Suivant les préfé­rences c’est au moins huit carac­tères aléa­toires entre chiffres lettres et symboles, au moins 12 carac­tères avec des lettres rela­ti­ve­ment aléa­toires, ou au moins 15 carac­tères mini­mum si vous avez des suites de mots communs.

    Le l34t sp33k, l’in­ver­sion des carac­tères, l’ajout d’une année, et globa­le­ment la plupart des varia­tions auxquelles vous pour­riez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité signi­fi­ca­tive.

    [ ] Seconde étape, s’as­su­rer que ces mots de passe sont uniques et vrai­ment diffé­rents (pas de simples varia­tions du même).

    Au grand mini­mum, s’as­su­rer d’avoir un mot de passe pour les services très sensibles diffé­rent du mot de passe que vous tapez tous les jours pour les services moins impor­tants. Ce mot de passe sensible ne devra être tapé que dans des espaces correc­te­ment sécu­ri­sés.

    [ ] Quand vous le pouvez, acti­vez l’ »authen­ti­fi­ca­tion en deux étapes ». C’est possible au moins pour Google, Gandi, Drop­box, iCloud. C’est fran­che­ment peu gênant vu la sécu­rité que ça apporte, ne pas le faire est limite une faute.

    [ ] Les « ques­tions secrètes » pour récu­pé­rer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécu­rité. En géné­ral il est très facile d’en trou­ver la réponse.

    À vous de voir si vous préfé­rez tricher et mettre de fausses réponses (au risque de ne pas vous en souve­nir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’ac­cès de la plupart des usur­pa­tions courantes.

    L’ac­cès depuis vos postes

    Tablette, télé­phone (même les « pas smart »), micro-ordi­na­teur, NAS de la maison…

    [ ] Tous doivent avoir un mot de passe à l’al­lu­mage et à la sortie de veille. Tous, pas d’ex­cep­tion.

    Sur les smart­phones et tablettes vous avez parfois la possi­bi­lité de mettre un « schema ». Ça fonc­tionne assez bien et c’est plutôt simple à déver­rouiller. Si vous n’avez pas d’autre choix, utili­sez le code PIN.

    Pour les autres les mots de passe doivent respec­ter les mêmes règles que pour les services en ligne.

    [ ] Tous ceux qui le peuvent doivent avoir un disque chif­fré. Micro-ordi­na­teurs, tablettes et smart­phones le permettent quasi­ment tous.

    Le coût en perfor­mance ou en batte­rie est quasi­ment nul sur les proces­seurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

    Sans ça n’im­porte qui avec très peu de connais­sances infor­ma­tiques peut passer outre votre mot de passe.

    Parfois il existe une procé­dure de récu­pé­ra­tion si jamais vous oubliez vos mots de passe, de façon à déver­rouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procé­dure de récu­pé­ra­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Les mises à jour sont confi­gu­rées pour être télé­char­gées auto­ma­tique­ment, et instal­lées dès qu’elles sont dispo­nibles.

    [ ] Si vous enre­gis­trez vos mots de passe dans votre navi­ga­teur pour ne pas les ressai­sir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

    Si en plus ces données sont synchro­ni­sées en ligne, le mot de passe qui gère le compte de synchro­ni­sa­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Vous avez une poli­tique de backup auto­ma­tisé et testé pour toutes vos données impor­tantes. Bien entendu le compte qui permet d’ac­cé­der aux données de backup est à consi­dé­rer comme sensible.

    La machine qui reçoit les backup doit avoir un disque chif­fré et si vous faites appel à un service tiers le chif­fre­ment des données doit se faire côté client pour que le pres­ta­taire ne puisse pas déco­der les données.

    Tout ça est un mini­mum, main­te­nant imagi­nez quelqu’un qui connait la réponse à la ques­tion secrète de votre opéra­teur télé­pho­nique. À partir de ça il peut réini­tia­li­ser le mot de passe pour accé­der à votre compte. Là il a une inter­face pour lire et écrire des SMS. Il demande alors la réini­tia­li­sa­tion du mot de passe de votre boite email prin­ci­pale, qui se fait via SMS. À partir de là il réini­tia­lise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récu­pé­rer vos photos, même si vous les avez effacé, et peut être même de quoi faire des vire­ments. Situa­tion fictive mais on a vu des attaques bien plus inven­tives.

    Si vous avez lu jusqu’au bout (sérieu­se­ment ?) je suis curieux de savoir quelle propor­tion de ces bonnes pratiques vous vali­dez, ou si vous respec­tez tout en détail pour l’in­té­gra­lité de vos maté­riels et comptes sensibles.

    Photo d’en­tête sous licence CC BY-NC-SA par Steve Crane

  • Embouts mousse

    Embouts mousse

    Je suis repassé pendant deux semaines sans mousse, pour le même casque, et je me dis que ça vaut peut être de faire une recom­man­da­tion à ceux qui ne connaissent pas :

    Si vous avez des écou­teurs intra-auri­cu­laires, pensez à jeter les embouts en plas­tique souple pour y mettre des embouts en mousse à mémoire de forme.

    La diffé­rence est juste évidente après s’y être habi­tué : Isola­tion sans compa­rai­son, au point de rendre inutile tous les intras à réduc­tion de bruit active, qui donne un son direct, clair et sans perdi­tion. À ça s’ajoute une tenue dans l’oreille qui vous permet de courir et sauter sans que ça ne bouge d’un poil.

    Sur Amazon vous avez des packs avec trois tailles pour 20 à 25 €. Ça peut valoir le cout de mettre un peu moins dans le casque mais d’en tirer vrai­ment le maxi­mum. Oh, et si vous n’en avez jamais mis, jetez un oeil sur le web pour voir comment ça fonc­tionne.

    Photo d’en­tête sous licence CC BY-NC-SA par Tom Wigley

  • A color picker pen that repro­duce any color

    J’en connais qui vont se jeter dessus si jamais la qualité de l’encre et de rendu est sympa. Le stylo capture une couleur via un capteur et sait la repro­duire en interne en mélan­geant des encres.

    scri-2684729-jpg_2324692Bon, 150$ le stylo avec de la vraie encre (l’autre est juste un capteur et une pointe capa­ci­tive pour tablette) mais tout de même…

    Ils promettent 20% de moins pour ceux qui feraient un kicks­tar­ter. Ça fait descendre à quelque chose comme 90€ avec le trans­port. Cher mais possible pour un coup de coeur.

  • GPG keysi­gning and govern­ment iden­ti­fi­ca­tion

    Ok, je n’uti­lise pas GPG. J’ai tenté par le passé mais trop peu de gens en face l’uti­lisent pour que ce soit perti­nent de mon côté (oui, je sais que l’ar­gu­ment est cyclique).

    Have you been a US barten­der before? Or held any other posi­tion where you’ve had to verify an ID? It’s not an easy thing to do. People in those posi­tions have books of valid IDs from different states. They have lights that show the secu­rity marks. They still get it wrong regu­larly. A very amateur fake ID, or borro­wed real ID, will fool just about everyone in any infor­mal context.

    Par contre j’ai toujours trouvé idiot la procé­dure qui demande à ce qu’on véri­fie physique­ment l’iden­tité du corres­pon­dant. Ce qui m’in­té­resse c’est que la personne à qui j’écris ou qui m’écrit est bien celle que j’at­tends. Pour ça la seule solu­tion c’est de faire un ou plusieurs aller-retours écrits.

    Non seule­ment je ne serai abso­lu­ment pas capable de détec­ter une fausse carte d’iden­tité, même une mal faite à 30€, mais en plus je n’ai que faire de son iden­tité civile. Ce n’est pas du tout ce que je cherche à certi­fier.

    Entre ceux qui véri­fient l’iden­tité civile à la légère en lieu et place de l’iden­tité numé­rique, et ceux qui ne véri­fient rien, le « web of trust » est assez illu­soire aujourd’­hui. Il nous faut des outils qui auto­ma­tisent et guident nos pas, sans quoi rien ne chan­gera.