Carnet de notes

Catégorie : Technique

Donnée confidentielle dans une session de navigation.

Je partage, ça peut servir à d’autres. Je cherchais à garder confidentiel une information confidentielle le temps d’une session de navigation. En gros je cherchais un genre de cookie de session mais qui reste côté client sans jamais transiter sur le réseau.

Le localStorage est top mais il persiste au delà de la session de navigation. Le sessionStorage est top mais il n’est pas partagé entre les onglets.

Visiblement certains se sont penchés sur la question il y a quelques années et sont revenus avec une solution toute bête mais efficace : Faire dialoguer les différents sessionStorage en surveillant les écritures dans le localStorage.

C’est tout con, ça prend juste 20 lignes, mais il fallait y penser.

Merci Rik

12 avril 2018
Un espace de publication chiffré côté client

Je ne veux plus gérer de serveur en ligne. Je me sens de moins en moins capable d’assurer la sécurité d’un tel environnement 24/7 seul et sur mon temps personnel. Je n’en ai pas la motivation, ne souhaite pas y investir le temps nécessaire. Ne parlons même pas de la possibilité de prendre des congés deux semaines hors de France sans connexion Internet ni veille sécurité. Rien qu’avoir ce blog sous wordpress me gêne.

Je vais déplacer mes services sur un environnement mutualisé, géré par des professionnels qui ont les moyens, le temps et les compétences. Je vais en profiter pour passer à peu près tout en fichiers HTML statiques. Publier des fichiers html, css et images sur un espace à 2€, ça limite pas mal la maintenance.

* * *

Mon problème c’est que j’ai aussi des parties de site à accès restreint, avec des documents qui ne doivent pas sortir n’importe où.

Je peux facilement trouver un hébergement mutualisé qui me permet de faire des accès restreints par authentification HTTP ou avec un bout de PHP en façade, mais j’ai une confiance limitée dans la confidentialité des fichiers que je peux poser sur un hébergeur mutualisé.

Du coup j’imagine utiliser du chiffrement côté client, avec un croisement entre Jekyll/Pelican et 0bin/cryptopad. Je chiffre les contenus lors de la génération et je les envoie chiffrés sur l’hébergement. Les contenus sont déchiffrés dans le navigateur du client avec un gros bout de JS, en utilisant un dérivé de mot de passe ou une clef cachée dans l’URL.

Le seul défaut que je vois c’est interdire l’accès à ceux qui désactivent volontairement Javascript, et imposer un peu d’attente aux autres pour déverrouiller les contenus : Pas idéal, pas pertinent pour tous les usages, mais ici ça me semble acceptable.

* * *

Il y a 0bin et Cryptopad (ainsi que d’autres) qui fonctionnent un peu sur ce principe, mais brancher ça dans Jekyll ou Pelican me semble nécessiter un peu de travail, surtout si je veux avoir plus que du texte et que je veux présenter à l’utilisateur uniquement les liens auxquels il a accès.

Si vous connaissez un CMS à publication statique qui a envisagé quelque chose du genre, je suis preneur.

12 avril 2018
[Aide] Communication entre une page et une extension navigateur

J’ai une page qui fait des traitements javascripts basés sur des appels XHR authentifiés vers son origine et sur des communications en window.postMessage avec des <iframe>. Elle n’a besoin d’aucune permission privilégiée, c’est juste une page web avec une origine normale.

J’aimerais pouvoir interroger cette page depuis une extension Firefox et qu’elle me communique le résultat de ses traitements, mais sans que ça n’affiche la page à l’utilisateur.

Au départ j’imaginais que l’extension pouvait lancer une <iframe> cachée et discuter avec elle en postMessage. On me dit que ce n’est pas possible.

Embarquer directement le code de la page dans l’extension n’est pas envisageable pour des raisons de sécurité (et on ne ferait que reporter le problème vu que cette page lance elle-même des iframes pour communiquer avec elles).

Dis, public, est-ce que tu aurais une suggestion ou une piste à explorer ?

4 avril 2018
La base de travail pour 2018

Une progressive web app prévue d’abord pour mobile, fonctionnant totalement hors ligne avec une synchro à la prochaine reconnexion et des données chiffrées côté client.

Oui, votre besoin a peut-être des usages ou des contraintes qui ne cadrent pas avec ce stéréotype mais ça mérite probablement d’y réfléchir deux fois avant d’écarter un des éléments.

Quand je vois nombre de projets sans chiffrement des données ou quasiment inutiles une fois hors ligne, j’ai l’impression de retrouver les projets d’il y a quelques années qui considéraient le mobile comme accessoire.

3 avril 2018
Et mes mots de passe ?
Oui, je sais, ça agace tout le monde alors plutôt que de vous dire quoi ne pas faire, on va se contenter de dire quoi faire, et on va être réaliste en y mettant un niveau d’effort et d’emmerdement très bas. J’écris des tartines mais ça se résume en 5 principes :

La première règle théorique c’est de ne pas réutiliser le même mot de passe deux fois, de ne pas les écrire en clair dans un fichier informatique (et si ce sont des mots de passe professionnels sensibles, de ne pas les écrire du tout).

Je ne sais pas vous mais j’ai trois zillions de sites, appareils et services qui me demandent un mot de passe. Cette première règle théorique est déjà impossible à suivre humainement. Il n’y a pas à tortiller, la première recommandation est incontournable :

1. Utilisez un gestionnaire de mots de passe

Un gestionnaire de mots de passe c’est une sorte de coffre fort pour vos mots de passe. Seul vous y avez accès.

Certains vous permettent de synchroniser ce coffre-fort sur vos différents appareils et vous offrent une interface pratique pour trouver et remplir les mots de passe qui vous sont demandés tout au long de la journée. Non seulement c’est plus sûr que vos anciennes habitudes, mais en plus ça sera plus pratique qu’avant. Tout bénef.

Je peux par exemple vous recommander l’open source Bitwarden mais il y a bien d’autres alternatives.

Oh, et comme vous avez un beau gestionnaire de mots de passe dédié, désactivez la mémorisation automatique des mots de passe de votre navigateur, votre gestionnaire de mots de passe s’en chargera à sa place. Je parie une bière que vous ne l’aviez de toutes façons pas configuré pour être aussi robuste que ce dernier (Chrome ne le permet d’ailleurs même pas pas).

2. Désactiver la mémorisation des mots de passe de votre navigateur

Maintenant il va falloir créer tous ces mots de passe différents qu’on va ensuite stocker dans le gestionnaire de mots de passe. Un bon mot de passe est long, complexe, aléatoire, unique.

Bien évidemment, n’utilisez *jamais* de générateur de mot de passe en ligne. Vous auriez un risque que votre mot de passe se retrouve immédiatement dans les listes à tester par les robots.

Tous les gestionnaires de mots de passe vous offriront un moyen sûr de générer des mots de passe de bonne qualité. Ils feront dans les 16 caractères avec différentes casses et des caractères spéciaux mais on s’en moque : Vous n’aurez ni à les retenir ni à les taper. En fait vous n’avez même pas besoin de savoir à quoi ils ressemblent.

3. Utilisez le générateur de mots de passe intégré à votre outil

Parfois un administrateur ou un service choisissent eux-même un mot de passe initial. Changez-le avec un généré par vos soins.

Si on vous dit qu’il est nécessaire de laisser le mot de passe qu’on vous a donné, ça doit lancer une alarme dans votre tête : Au mieux votre interlocuteur n’est pas compétent ou le service n’est pas sûr, au pire quelqu’un se réserve volontairement la capacité d’accéder à vos données. Dans tous les cas vous n’êtes pas en zone sécurisée sur ce service.

4. Ne laissez jamais les mots de passe par défaut, changez-les

Il reste qu’il faut retenir le mot de passe qui donne accès au gestionnaire de mots de passe lui-même. Il faut aussi retenir celui pour ouvrir la session sur le poste de travail personnel et celui pour le pendant professionnel. Personnellement je retiens aussi celui de ma boite email perso, qui donne virtuellement accès à tout si je perds les autres clefs.

J’ai trois possibilités :
1. ~~Retenir 4x 16 caractères et symboles aléatoires.~~
2. Utiliser une suite de symboles qui dérivent d’une phrase qu’on peut retenir
3. Utiliser une suite de mots plutôt qu’une suite de caractères
Le (2) c’est ce que propose par exemple l’outil de la CNIL. Il est un peu agaçant parce qu’il reconnait assez peu de choses comme des caractères spéciaux, mais ça montre bien la démarche.

Le (3) part de l’idée opposée. On tire au hasard une suite de mots dans une liste. Certains proposent de simplement les tirer au dé. Il est possible d’améliorer la mémorisation de ces mots en imaginant une petite histoire ou petite comptine qui les utilise.

Dans les deux cas l’idée est de relier le mot de passe à une phrase ou des mots qui se mémorisent plus facilement.

5. Utilisez une méthode « sure » pour générer les quelques mots de passe que vous devrez vraiment retenir vous-même

Le danger c’est que notre imagination est limitée par notre environnement.

N’utilisez pas un proverbe ou un refrain pour le (2), même si ça vous semble peu connu (un ordinateur est capable de tester des dizaines de millions de proverbes ou refrains « peu connus », c’est à dire plus que vous n’en connaissez vous-même et les variantes que vous pouvez en imaginer).

Chaque suite de termes évidents affaiblira votre mot de passe. Tiens, est-ce que vous avez commencé votre phrase par « Je », « Il » ou « Le » ? Vous avez le droit de rajouter un mot/symbole parce que le premier ne compte plus.

Ne choisissez pas vous-même les mots pour le (3). Le vocabulaire passif de quelqu’un de cultivé est limité à quelques milliers de mots. Le vocabulaire courant est bien plus faible et celui que vous aurez le loisir d’avoir en tête sera de quelques centaines tout au plus, avec une série de mots à très forte probabilité (par exemple tout ce qui est lié à l’informatique, à la sécurité ou à ce qui se trouve proche de votre bureau).

N’utilisez rien qui vous est propre (date, nom, entreprise, événement, musique préférée, etc.) Ne vous croyez pas plus fin que les autres en cherchant activement un mot complexe, en opérant des variations ou remplacements de lettres. Un robot sera bien plus efficace que vous à ces petits jeux. Vraiment.

* * *

Et voilà. Maintenant vous avez des mots de passe sûrs, uniques, stockés en sécurité. C’est déjà infiniment mieux que la moyenne, et ça ne vous a pas coûté grand chose en effort.

La dernière étape c’est de renouveler vos anciens mots de passe : ceux qui peuvent être trouvés par des robots, ceux qui sont les mêmes sur plusieurs services, etc. Certains gestionnaires de mots de passe comme Dashlane peuvent même le faire pour vous.

Bonus : Renouvelez vos anciens mots de passe peu sûrs

Si vous avez envie d’aller plus loin on peut parler de ne pas laisser déverrouillé votre gestionnaire de mots de passe, de mettre en place une authentification à double facteur, de bien penser à ce que vos postes de travail et votre smartphone se verrouillent immédiatement après une courte période d’inactivité, qu’ils demandent une authentification au réveil, qu’ils aient des disques chiffrés… mais tout ça est pour un second épisode.
2 mars 2018
Dis Mozilla, et si tu écoutais tes utilisateurs ?

La première fois que Mozilla a imaginé de mettre des publicités dans la page « nouvel onglet ». Quand on réfléchit à des pistes nouvelles, parfois on s’égare. Pas de problème. La conclusion de la communauté était que non, il ne fallait pas de publicités dans les nouveaux onglets. Même en opt-out, même en respectant le « do not track ». À partir de là on sait.

La seconde fois, quand Mozilla a participé à un contexte promotionnel pour une série TV, on a bien voulu parler de faux pas. L’exercice était limité, la réponse a toutefois été sans appel : Non.

Un verre ça va, trois verres bonjour les dégâts. Après ces deux tentatives, remettre le couvert une troisième fois avec une idée quasi identique à la première, ça commence à être un problème dont il faut parler, plus des errements.

Mozilla, je comprends le problème de financement mais si tu n’écoutes pas tes utilisateurs, tout le financement imaginable se révélera bien vain.

30 janvier 2018
[Lecture] The whole web at maximum FPS: How WebRender gets rid of jank

Probablement le meilleur article que j’ai vu sur le fonctionnement d’un navigateur moderne avec les différentes étapes et l’utilisation du GPU, par Lin Clark. À lire.

14 octobre 2017
[Lecture] Optical Effects in User Interfaces (for True Nerds)

Une bonne illustration vaut mieux qu’un long discours mais ce n’est qu’un petit exemple au milieu d’un océan de discussions autour des alignements et des effets visuels.

Ça se trouve sur Optical Effects in User Interfaces (for True Nerds), Slava Shestopalov, Muzli. (via)

10 octobre 2017
Que se passe-t-il le jour où je ne suis plus là ? (bis)

J’avais écrit quelques lignes par le passé mais le sujet se fait de plus en plus présent avec quelques conversations et les histoires autour de moi.

Je n’ai pas de croyance spirituelle sur la mort, ni de dernières volontés. J’ai toujours trouvé ça égoïste et présomptueux. Si je ne suis plus là, ce n’est plus moi qui compte. D’autres décideront, en fonction de leurs besoins et de leurs croyances à eux. Mon problème est ailleurs.

Pour les biens matériels, c’est plus compliqué

Marié en communauté de biens j’imaginais une continuité assez simple, ma femme récupérant à son seul nom le patrimoine autrefois commun. Malheureusement, je me trompais lourdement.

Le patrimoine n’est pas réellement commun, il est juste partagé. Me revient ce qui est acquis avant mariage ou par héritage, plus la moitié de ce qui reste. Cette somme sera divisé pour l’héritage puis taxée.

Aujourd’hui je me rends compte que la taxe peut impliquer de devoir revendre la maison commune. Je me rends compte que les revenus communs viennent essentiellement de mon salaire. Légalement mon fils obtiendra au moins la moitié de mon héritage et l’usage de ces fonds avant sa majorité est très règlementé.

Comment vivront ma femme et mon fils après moi ? Je n’ai pas encore la réponse à cette question et c’est en soi assez terrifiant.

L’espérance de vie est un chiffre traitre. J’ai déjà perdu des amis plus jeunes que moi. Je peux vivre encore 50 ans comme avoir un accident dès demain. Il devient important pour moi de me préoccuper d’assurance vie et de prévoyance. Urgent même.

L’enfer administratif

Parfois il suffit d’une anecdote. Mon père à l’hôpital. Un paiement d’impôt qui tombe et qui doit être fait sans attendre. Chercher les papiers de la banque, des impôts, comment faire… Un peu de stress à une période où on souhaite tout sauf ça.

À la maison l’administratif n’est pas partagé ; il est réparti. Oups. Chercher la mutuelle, les impôts. Ma conjointe saura-t-elle que j’ai la portabilité de mon ancienne prévoyance professionnelle et comment la contacter ? Pensera-t-elle à l’assurance du crédit ? Et les actions de la startup que j’avais fondé ?

Au delà des simples papiers, c’est aussi moi qui ait la clef de tout ce qui est numérique. Une amie a perdu son mari informaticien il y a un an. Tout n’est pas simple. Je vois encore la messagerie gmail du disparu passer au vert à chaque fois qu’elle se sert de leur boite email commune.

Quid du NAS avec toute la mémoire familiale quand il tombe en panne ? Je me rends compte que l’accès aux fichiers ne se relance même pas tout seul après une coupure électrique. Ce sont les 5 premières années de mon fils que je lui dénierais.

Il faudrait une documentation à jour, et que je ne laisse pas les choses à moitié finalisées. Je peux faire semblant de croire que je m’y tiendrais mais je nage là en plein instant théorique. Une option plus crédible est de ne pas avoir trop de sécurité (genre un mot de passe unique partagé simple et connu, ou au moins ne pas chiffrer les disques) et qu’un ami informaticien fasse le relai à ma disparition – Stéphane, Corinne, Delphine, je compte sur vous. Très insatisfaisant.

Les mots de passe

Le conjoint en soins intensifs, vous vous voyez devoir à la fois lui dire que ça va s’arranger – et le croire vous-même – et essayer de lui dire que ça serait bien qu’il vous dicte tous ses mots de passe, juste au cas où ? Moi non. En tout cas je ne veux pas l’imposer à ma femme. Sérieusement, ça me semble une vraie torture. Et encore, ça c’est le scénario optimiste où il est encore temps de demander les mots de passe.

Je n’ai pas encore de réponse à ça. Je ne peux pas écrire mes mots de passe en clair ou prétendre qu’ils ne changeront pas avant ma mort.

Je vois par contre aussi que chiffrer le trousseau n’est pas si évident que ça. Aujourd’hui je n’imagine même pas que l’emplacement et le moyen d’accès au trousseau seront retenus des années. Une clef d’accès complexe relève de la science fiction.

« retiens cette clef d’accès bien complexe qui donne accès à mon trousseau de mots de passe au cas où ; tu ne dois pas l’écrire et tu ne t’en serviras peut-être pas pendant 10 ans mais il te sera indispensable à ce moment là… enfin si je n’ai pas oublié de te donner la nouvelle quand je la mettrai à jour »

Dashlane propose quelque chose mais je crains que ça ne veuille dire qu’ils stockent mes mots de passe de façon déchiffrable sur leurs serveurs, ce qui me gêne énormément (pour ne pas dire plus).

Pour l’instant mon option la plus réaliste est d’utiliser le mécanisme d’inactivité de Gmail. Ils savent alerter et donner accès à ma boite email à un tiers désigné si je suis inactif pendant un certain temps. Comme c’est ma boite email principale, ma femme pourrait en théorie récupérer n’importe quel compte en ligne à partir de là.

Je me vois cependant mal proposer un déclencheur après juste une semaine, et si je mets un mois la plupart des informations arriveront trop tard. La balance entre l’intimité et la sécurité du conjoint me parait difficile à trouver, sans compter que rester sur Gmail n’est pas forcément mon plan long terme.

Je crains même que le nom de domaine perso ne puisse être un problème à ma disparition. S’il expire au mauvais moment et est acheté par un tiers, c’est toute une série d’identifiants qui seront perdus… et potentiellement des comptes en ligne inaccessibles pour la même raison. Je ne pense pas que Google donnerait accès à ma boite email si le nom de domaine a été racheté par un tiers et si la personne qui me survit ne connait même pas le mot de passe. Il faudrait que je note ça aussi dans les quelques lignes à transmettre après ma disparition.

9 octobre 2017
Chacun ses comptes

C’était en 2010. Une collègue et amie divorce. C’est malheureux. Ça arrive.

Le compagnon de l’époque est informaticien et là, les questions… Puis-je contacter mon avocate sans qu’il sache ce que je lui dis ? Il a le mot de passe du laptop, je déclare un peu la guerre si je les change, non ? Et comment faire pour savoir s’il n’y a pas un malware qui m’espionne ? Et le WIFI, peut-il intercepter ce que j’y fais ? Va-t-il fouiller ma boite email personnelle pour chercher des anecdotes qui lui permettrait de contester la garde de mes enfants ? il a peut-être le mot de passe, ou peut-être a-t-il une sauvegarde. Et mon téléphone ? à l’époque le verrouillage n’était pas si commun. Et les photos de mes enfants ?

À l’époque j’avais déclaré forfait : Je suis incapable d’assurer que son conjoint n’écoute pas les conversations, n’a pas implanté de malware, ou de l’assurer qu’il n’y arrivera pas à l’avenir. Aujourd’hui je me dis que j’aurais pu lui proposer un live-cd ou une clef USB bootable. Je n’y avais pas pensé à l’époque.

On lui a conseillé de créer des comptes emails et stockage en ligne dédiés qu’elle n’utiliserait jamais depuis la maison ou depuis un appareil du foyer, de téléphoner et de se connecter depuis le travail ou de chez des amis.

Guérilla à domicile. Elle était informaticienne. Pour d’autres ça peut être encore plus difficile.

Je ne sais pas si ses craintes étaient réalistes. Probablement qu’elle non plus. Peu importe. Le stress du contexte sur le moment et la situation de conflit font qu’on n’a pas besoin de laisser ce type de préoccupations en tête en plus du reste.

Des comptes partagés

Cette histoire me revient après des échanges entendus à Paris Web à propos de l’auto-hébergement numérique.

Je ne me fais pas héberger par mon conjoint. Ça m’est déjà arrivé, c’est un nid à emmerdes.

Ce ne sont pas les mots d’origine, mais ce que j’ai retenu du fond de l’intervention.

Combien de couples sont partis pour toute la vie et finissent par se séparer ? Les moyens de pression, d’espionnage ou de menaces implicites sont gigantesques. « Surtout ne pas se fâcher avec lui-elle parce que sinon il n’est pas impossible que… »

Même quand ça se passe relativement bien, j’imagine la difficulté de savoir qu’on est pieds et poings liés à son conjoint, dépendant de celui-ci ou à la merci de sa moralité. En cas de séparation c’est une belle galère.

Bref : Chacun ses comptes email, ses stockages, ses droits d’accès, même pour un couple fusionnel qui prévoit de rester côte à côte y compris au cimetière.

C’est plus compliqué qu’un seul compte partagé, ce peut être difficile à aborder comme question, mais mieux vaut le faire quand ça se passe bien. Verrouiller son téléphone uniquement lors de la séparation c’est déclarer la guerre alors que ça aurait pu bien se passer. Ne pas le faire c’est prendre du stress et se mettre soi-même à risque, ainsi que s refuser une intimité protectrice au moment le plus critique.

Séparer les comptes numériques c’est finalement une question de respect, une façon de dire « J’ai confiance en toi, je sais que justement tu fais tout pour éviter de me mettre un jour dans une situation délicate si quelque chose devait arriver, et je vais faire pareil pour toi. »

Et si ça vous arrive ?

Je n’ai pas su le dire à l’époque mais si jamais vous vous séparez d’un informaticien : Il n’y a pas d’autres choix que de devenir paranoïaque.

Ce n’est pas tant pré-juger que le conjoint fera quoi que ce soit de malvenu, mais simplement vous assurer votre sérénité sur ces questions et éviter tout le stress qui peut l’être. Et puis personne ne peut prédire l’avenir (la preuve, vous vous séparez et ce n’était pas forcément prévu au début de la relation).

1/ (faire) Réinstallez de zéro téléphone et ordinateur, à partir de CD, clef USB et ordinateurs qui ne viennent pas de la maison. Chiffrer les disques (téléphone et ordinateur).

Mettez un mot de passe fort et dédié à cet usage (non, pas le même que d’habitude avec juste une variation). Activez les verrouillages automatiques après une période courte d’inactivité.

Autre possibilité : Démarrer depuis un Live-CD non réinscriptible préparé par un ami et écrivez sur le CD pour qu’on ne puisse pas le changer par un autre. Stockez tout en ligne, rien en local. Ce peut aussi être fait à partir d’une clef USB mais dans ce cas il faut réussir à la garder avec vous jour et nuit pour que personne ne puisse en modifier le contenu. Ça me parait plus difficile.

À défaut il y a le PC du boulot, les amis. Des smartphones android à 50 € avec cartes data prépayées qui peuvent aussi faire parfaitement l’affaire. Bonus : Ça peut éviter de montrer publiquement une défiance, et permettre de rester sur une séparation amicale.

2/ Créez-vous une boite email dédiée, sur un espace que le conjoint ne contrôlera pas. Recréez-vous de nouveaux comptes à partir de cet email ou déplacez les anciens comptes personnels vers cet email de contact (celui qui contrôle l’email principal peut récupérer les mots de passe de tous les comptes qui y sont liés).

Mettre un mot de passe fort et dédié à cet usage (non, pas le même que d’habitude avec juste une variation). Ne pas vous y connecter depuis la maison ou avec un matériel qui n’a pas été sécurisé.

3/ Faire une copie dès maintenant des photos, des archives, des documents administratifs. Stocker chez un ami, un collègue ou au boulot.

4/ Demandez accès aux comptes sur lesquels vous n’avez pas le mot de passe ou les identifiants : Assurances, impôts, banque, sécurité sociale, mutuelle, …

5/ Signalez à l’école que vous êtes en séparation. Ils savent gérer et s’assureront au minimum que l’un des deux ne retienne pas des informations.

9 octobre 2017