Carnet de notes

Catégorie : Technique

  • Hygiène de sécu­rité

    Hygiène de sécu­rité

    Aujourd’­hui on véri­fie la sécu­rité.

    Les services en ligne « sensibles »

    Même en ne gardant que le prin­ci­pal, il faut penser à :

    • votre boite email (qui sert à la récu­pé­ra­tion des mots de passe de tous les autres comptes),
    • votre service de nom de domaine,
    • celle de secours (qui sert à la récu­pé­ra­tion du mot de passe de la boite prin­ci­pale),
    • votre service de backup,
    • vos services de stockage ou synchro­ni­sa­tion en ligne,
    • votre héber­geur de serveur en ligne si vous en avez.

    [ ] La première étape c’est s’as­su­rer d’avoir des mots de passe « sûrs ». Ça veut dire suffi­sam­ment longs et complexes.

    Suivant les préfé­rences c’est au moins huit carac­tères aléa­toires entre chiffres lettres et symboles, au moins 12 carac­tères avec des lettres rela­ti­ve­ment aléa­toires, ou au moins 15 carac­tères mini­mum si vous avez des suites de mots communs.

    Le l34t sp33k, l’in­ver­sion des carac­tères, l’ajout d’une année, et globa­le­ment la plupart des varia­tions auxquelles vous pour­riez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité signi­fi­ca­tive.

    [ ] Seconde étape, s’as­su­rer que ces mots de passe sont uniques et vrai­ment diffé­rents (pas de simples varia­tions du même).

    Au grand mini­mum, s’as­su­rer d’avoir un mot de passe pour les services très sensibles diffé­rent du mot de passe que vous tapez tous les jours pour les services moins impor­tants. Ce mot de passe sensible ne devra être tapé que dans des espaces correc­te­ment sécu­ri­sés.

    [ ] Quand vous le pouvez, acti­vez l’ »authen­ti­fi­ca­tion en deux étapes ». C’est possible au moins pour Google, Gandi, Drop­box, iCloud. C’est fran­che­ment peu gênant vu la sécu­rité que ça apporte, ne pas le faire est limite une faute.

    [ ] Les « ques­tions secrètes » pour récu­pé­rer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécu­rité. En géné­ral il est très facile d’en trou­ver la réponse.

    À vous de voir si vous préfé­rez tricher et mettre de fausses réponses (au risque de ne pas vous en souve­nir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’ac­cès de la plupart des usur­pa­tions courantes.

    L’ac­cès depuis vos postes

    Tablette, télé­phone (même les « pas smart »), micro-ordi­na­teur, NAS de la maison…

    [ ] Tous doivent avoir un mot de passe à l’al­lu­mage et à la sortie de veille. Tous, pas d’ex­cep­tion.

    Sur les smart­phones et tablettes vous avez parfois la possi­bi­lité de mettre un « schema ». Ça fonc­tionne assez bien et c’est plutôt simple à déver­rouiller. Si vous n’avez pas d’autre choix, utili­sez le code PIN.

    Pour les autres les mots de passe doivent respec­ter les mêmes règles que pour les services en ligne.

    [ ] Tous ceux qui le peuvent doivent avoir un disque chif­fré. Micro-ordi­na­teurs, tablettes et smart­phones le permettent quasi­ment tous.

    Le coût en perfor­mance ou en batte­rie est quasi­ment nul sur les proces­seurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

    Sans ça n’im­porte qui avec très peu de connais­sances infor­ma­tiques peut passer outre votre mot de passe.

    Parfois il existe une procé­dure de récu­pé­ra­tion si jamais vous oubliez vos mots de passe, de façon à déver­rouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procé­dure de récu­pé­ra­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Les mises à jour sont confi­gu­rées pour être télé­char­gées auto­ma­tique­ment, et instal­lées dès qu’elles sont dispo­nibles.

    [ ] Si vous enre­gis­trez vos mots de passe dans votre navi­ga­teur pour ne pas les ressai­sir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

    Si en plus ces données sont synchro­ni­sées en ligne, le mot de passe qui gère le compte de synchro­ni­sa­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

    [ ] Vous avez une poli­tique de backup auto­ma­tisé et testé pour toutes vos données impor­tantes. Bien entendu le compte qui permet d’ac­cé­der aux données de backup est à consi­dé­rer comme sensible.

    La machine qui reçoit les backup doit avoir un disque chif­fré et si vous faites appel à un service tiers le chif­fre­ment des données doit se faire côté client pour que le pres­ta­taire ne puisse pas déco­der les données.

    Tout ça est un mini­mum, main­te­nant imagi­nez quelqu’un qui connait la réponse à la ques­tion secrète de votre opéra­teur télé­pho­nique. À partir de ça il peut réini­tia­li­ser le mot de passe pour accé­der à votre compte. Là il a une inter­face pour lire et écrire des SMS. Il demande alors la réini­tia­li­sa­tion du mot de passe de votre boite email prin­ci­pale, qui se fait via SMS. À partir de là il réini­tia­lise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récu­pé­rer vos photos, même si vous les avez effacé, et peut être même de quoi faire des vire­ments. Situa­tion fictive mais on a vu des attaques bien plus inven­tives.

    Si vous avez lu jusqu’au bout (sérieu­se­ment ?) je suis curieux de savoir quelle propor­tion de ces bonnes pratiques vous vali­dez, ou si vous respec­tez tout en détail pour l’in­té­gra­lité de vos maté­riels et comptes sensibles.

    Photo d’en­tête sous licence CC BY-NC-SA par Steve Crane

  • Justice folle sur le numé­rique

    Notre justice est folle. Bon, celle des US, mais ça aurait pu se passer ici.

    No-ip est un service qui permet à des inter­nautes de donner un nom public à leurs machines person­nelles pour pouvoir y accé­der faci­le­ment depuis Inter­net. On parle de millions d’uti­li­sa­teurs.

    Ce service a été anec­do­tique­ment utilisé par des logi­ciels malveillants pour infec­ter des machines sous Micro­soft Windows.

    Réac­tion : Micro­soft s’adresse à la justice pour faire cesser le problème (plus exac­te­ment ici : filtrer les accès malveillants et réus­sir à en tracer l’ori­gine). La justice lui délègue tota­le­ment la gestion des noms de domaine No-ip corres­pon­dants.

    Bien entendu Micro­soft n’a pas eu l’in­fra­struc­ture suffi­sante pour gérer le trafic et le service No-ip s’est partiel­le­ment écroulé, lais­sant les utili­sa­teurs dans le noir.

    À vrai dire tout se serait bien passé que le scan­dale serait quand même là. La justice vient de donner à Micro­soft, qui n’est pas ciblé par les attaques infor­ma­tiques mais unique­ment concerné indi­rec­te­ment parce que ça exploite des failles de son OS, l’ac­cès aux noms de domaine d’une société tierce à qui on ne reproche rien.

    Avec ça Micro­soft contrôle (et ici a fait s’écrou­ler) le busi­ness d’un tiers, peut en tracer le volume, les clients, les services utili­sés, etc. Sans compen­sa­tion aucune.

    Tout ça sans même avoir contac­ter No-ip pour tenter de résoudre le problème en colla­bo­ra­tion initia­le­ment.

    Vous avez un .com ? prenez peur.

     

  • Auto­pre­fixer

    Je note ici autant pour ceux qui ne connaissent pas que pour mon moi de plus tard : Auto­pre­fixer, qui prend une CSS clas­sique et qui ajoute les versions préfixées utiles pour les diffé­rents navi­ga­teurs.

    Ça ne le fait pas bête­ment, genre pour flex­box ça sait gérer les diffé­rences de syntaxes. Bref : utile.

  • Reti­ring the Netflix Public API

    To better focus our efforts and to align them with the needs of our global member base, we will be reti­ring the public API program. Effec­tive on Novem­ber 14, 2014, public API deve­lo­pers will no longer be able to access Netflix content. All requests to the public API will return 404 errors.

    […]

    Thank you to all of the deve­lo­pers who have parti­ci­pa­ted in the ecosys­tem throu­ghout the years.

    Termi­ner comme ça c’est ajou­ter une insulte à l’hu­mi­la­tion.

    Vous nous avez bien servi, main­te­nant nous capi­ta­li­sons sur ce que vous avez créé et qui nous rému­nère le plus et nous vous coupons l’ac­cès au reste. L’éco­sys­tème ne nous inté­res­sait que le temps qu’on gagne une posi­tion domi­nante.

  • The empe­ror’s new clothes were built with Node.js

    Atten­tion ça va réagir :)

    I want to address one-by-one all of the strange and misgui­ded argu­ments for Node.js in one place.

    C’est chez Eric Jiang, et si c’est plein d’opi­nion, d’iro­nie et de cari­ca­ture, c’est quand même vrai sur le fond.

  • GPG keysi­gning and govern­ment iden­ti­fi­ca­tion

    Ok, je n’uti­lise pas GPG. J’ai tenté par le passé mais trop peu de gens en face l’uti­lisent pour que ce soit perti­nent de mon côté (oui, je sais que l’ar­gu­ment est cyclique).

    Have you been a US barten­der before? Or held any other posi­tion where you’ve had to verify an ID? It’s not an easy thing to do. People in those posi­tions have books of valid IDs from different states. They have lights that show the secu­rity marks. They still get it wrong regu­larly. A very amateur fake ID, or borro­wed real ID, will fool just about everyone in any infor­mal context.

    Par contre j’ai toujours trouvé idiot la procé­dure qui demande à ce qu’on véri­fie physique­ment l’iden­tité du corres­pon­dant. Ce qui m’in­té­resse c’est que la personne à qui j’écris ou qui m’écrit est bien celle que j’at­tends. Pour ça la seule solu­tion c’est de faire un ou plusieurs aller-retours écrits.

    Non seule­ment je ne serai abso­lu­ment pas capable de détec­ter une fausse carte d’iden­tité, même une mal faite à 30€, mais en plus je n’ai que faire de son iden­tité civile. Ce n’est pas du tout ce que je cherche à certi­fier.

    Entre ceux qui véri­fient l’iden­tité civile à la légère en lieu et place de l’iden­tité numé­rique, et ceux qui ne véri­fient rien, le « web of trust » est assez illu­soire aujourd’­hui. Il nous faut des outils qui auto­ma­tisent et guident nos pas, sans quoi rien ne chan­gera.

  • John Oliver (HBO) – Neutra­lité du net

    Ok, le ton est humo­ris­tique, et pas des plus fins, c’est déli­rant, ridi­cule, mais au final il y a des éléments sérieux et c’est un des meilleurs argu­men­taires que j’ai vu sur la neutra­lité du net.

    Ça se regarde jusqu’au bout.

  • Free SSL Certi­fi­cates for Open Source Projects

    Je colle ça ici au cas où ça serve à quelqu’un, ou moi plus tard : GlobalSign donne des certi­fi­cats SSL gratuits pour les projets Open Source (license OSI).

    Visi­ble­ment ils offrent même des wild­cards. Bon, ça ne leur coûte rien, mais ça peut être pratique.

  • Code Reviews: Just Do It

    After parti­ci­pa­ting in code reviews for a while here at Vertigo, I believe that peer code reviews are the single biggest thing you can do to improve your code. If you’re not doing code reviews right now with another deve­lo­per, you’re missing a lot of bugs in your code and chea­ting your­self out of some key profes­sio­nal deve­lop­ment oppor­tu­ni­ties. As far as I’m concer­ned, my code isn’t done until I’ve gone over it with a fellow deve­lo­per.
    — Code Reviews: Just Do It

    Des Pull-Request systé­ma­tiques ont été instau­rées à TEA, et je m’en féli­cite sans aucune ombre de doute. Cette revue de code forcée améliore bien évidem­ment la qualité, mais elle permet de faire circu­ler l’in­for­ma­tion, de diffu­ser la connais­sance, de parta­ger les expé­riences, et d’aug­men­ter la valeur de tous.

    Certes, au niveau temps c’est proba­ble­ment comp­ta­ble­ment une erreur. Main­te­nant si on prend en compte l’aug­men­ta­tion de valeur que l’en­semble de l’équipe en retire, l’équa­tion est toute autre. Une fois qu’on impute ce temps aussi aux cases forma­tion, culture interne, diffu­sion des pratiques, redon­dance des connais­sances, le coût n’est fran­che­ment plus énorme.

    Merci à Anne Sophie et Olivier d’avoir parlé de nos pratiques au Mix-IT d’il y a deux semaines. C’est proba­ble­ment ces PR systé­ma­tiques qui ont généré le plus de surprises. Ce n’est visi­ble­ment pas encore fréquent ailleurs.

    Tentez pendant un mois et reve­nez en parler avec nous un soir autour de verre.

  • One Product Team

    One Product Team: We are not a sepa­rate group of desi­gners, gang of deve­lo­pers, bunch of testers, with a king product owner, who only meet each other when it is needed.

    We sit toge­ther as a team. We talk and play every­day. And we all love what we are buil­ding.

    — User expe­rience and design in BBC Play­lis­ter: how to be David Fincher

    La sépa­ra­tion stricte des rôles, avec un process, un enchaî­ne­ment, une hiérar­chie, des bureaux distincts… comment avons-nous pu construire de telles habi­tudes ?