Carnet de notes

Catégorie : Technique

  • La base de travail pour 2018

    Une progres­sive web app prévue d’abord pour mobile, fonc­tion­nant tota­le­ment hors ligne avec une synchro à la prochaine recon­nexion et des données chif­frées côté client.

    Oui, votre besoin a peut-être des usages ou des contraintes qui ne cadrent pas avec ce stéréo­type mais ça mérite proba­ble­ment d’y réflé­chir deux fois avant d’écar­ter un des éléments.

    Quand je vois nombre de projets sans chif­fre­ment des données ou quasi­ment inutiles une fois hors ligne, j’ai l’im­pres­sion de retrou­ver les projets d’il y a quelques années qui consi­dé­raient le mobile comme acces­soire.

  • Et mes mots de passe ?

    Oui, je sais, ça agace tout le monde alors plutôt que de vous dire quoi ne pas faire, on va se conten­ter de dire quoi faire, et on va être réaliste en y mettant un niveau d’ef­fort et d’em­mer­de­ment très bas. J’écris des tartines mais ça se résume en 5 prin­cipes :

    La première règle théo­rique c’est de ne pas réuti­li­ser le même mot de passe deux fois, de ne pas les écrire en clair dans un fichier infor­ma­tique (et si ce sont des mots de passe profes­sion­nels sensibles, de ne pas les écrire du tout).

    Je ne sais pas vous mais j’ai trois zillions de sites, appa­reils et services qui me demandent un mot de passe. Cette première règle théo­rique est déjà impos­sible à suivre humai­ne­ment. Il n’y a pas à tortiller, la première recom­man­da­tion est incon­tour­nable :

    1. Utili­sez un gestion­naire de mots de passe

    Un gestion­naire de mots de passe c’est une sorte de coffre fort pour vos mots de passe. Seul vous y avez accès.

    Certains vous permettent de synchro­ni­ser ce coffre-fort sur vos diffé­rents appa­reils et vous offrent une inter­face pratique pour trou­ver et remplir les mots de passe qui vous sont deman­dés tout au long de la jour­née. Non seule­ment c’est plus sûr que vos anciennes habi­tudes, mais en plus ça sera plus pratique qu’a­vant. Tout bénef.

    Je peux par exemple vous recom­man­der l’open source Bitwar­den mais il y a bien d’autres alter­na­tives.

    Oh, et comme vous avez un beau gestion­naire de mots de passe dédié, désac­ti­vez la mémo­ri­sa­tion auto­ma­tique des mots de passe de votre navi­ga­teur, votre gestion­naire de mots de passe s’en char­gera à sa place. Je parie une bière que vous ne l’aviez de toutes façons pas confi­guré pour être aussi robuste que ce dernier (Chrome ne le permet d’ailleurs même pas pas).

    2. Désac­ti­ver la mémo­ri­sa­tion des mots de passe de votre navi­ga­teur

    Main­te­nant il va falloir créer tous ces mots de passe diffé­rents qu’on va ensuite stocker dans le gestion­naire de mots de passe. Un bon mot de passe est long, complexe, aléa­toire, unique.

    Bien évidem­ment, n’uti­li­sez *jamais* de géné­ra­teur de mot de passe en ligne. Vous auriez un risque que votre mot de passe se retrouve immé­dia­te­ment dans les listes à tester par les robots.

    Tous les gestion­naires de mots de passe vous offri­ront un moyen sûr de géné­rer des mots de passe de bonne qualité. Ils feront dans les 16 carac­tères avec diffé­rentes casses et des carac­tères spéciaux mais on s’en moque : Vous n’au­rez ni à les rete­nir ni à les taper. En fait vous n’avez même pas besoin de savoir à quoi ils ressemblent.

    3. Utili­sez le géné­ra­teur de mots de passe inté­gré à votre outil

    Parfois un admi­nis­tra­teur ou un service choi­sissent eux-même un mot de passe initial. Chan­gez-le avec un généré par vos soins.

    Si on vous dit qu’il est néces­saire de lais­ser le mot de passe qu’on vous a donné, ça doit lancer une alarme dans votre tête : Au mieux votre inter­lo­cu­teur n’est pas compé­tent ou le service n’est pas sûr, au pire quelqu’un se réserve volon­tai­re­ment la capa­cité d’ac­cé­der à vos données. Dans tous les cas vous n’êtes pas en zone sécu­ri­sée sur ce service.

    4. Ne lais­sez jamais les mots de passe par défaut, chan­gez-les

    Il reste qu’il faut rete­nir le mot de passe qui donne accès au gestion­naire de mots de passe lui-même. Il faut aussi rete­nir celui pour ouvrir la session sur le poste de travail person­nel et celui pour le pendant profes­sion­nel. Person­nel­le­ment je retiens aussi celui de ma boite email perso, qui donne virtuel­le­ment accès à tout si je perds les autres clefs.

    J’ai trois possi­bi­li­tés :

    1. Rete­nir 4x 16 carac­tères et symboles aléa­toires.
    2. Utili­ser une suite de symboles qui dérivent d’une phrase qu’on peut rete­nir
    3. Utili­ser une suite de mots plutôt qu’une suite de carac­tères

    Le (2) c’est ce que propose par exemple l’ou­til de la CNIL. Il est un peu agaçant parce qu’il recon­nait assez peu de choses comme des carac­tères spéciaux, mais ça montre bien la démarche.

    Le (3) part de l’idée oppo­sée. On tire au hasard une suite de mots dans une liste. Certains proposent de simple­ment les tirer au dé. Il est possible d’amé­lio­rer la mémo­ri­sa­tion de ces mots en imagi­nant une petite histoire ou petite comp­tine qui les utilise.

    Dans les deux cas l’idée est de relier le mot de passe à une phrase ou des mots qui se mémo­risent plus faci­le­ment.

    5. Utili­sez une méthode « sure » pour géné­rer les quelques mots de passe que vous devrez vrai­ment rete­nir vous-même

    Le danger c’est que notre imagi­na­tion est limi­tée par notre envi­ron­ne­ment.

    N’uti­li­sez pas un proverbe ou un refrain pour le (2), même si ça vous semble peu connu (un ordi­na­teur est capable de tester des dizaines de millions de proverbes ou refrains « peu connus », c’est à dire plus que vous n’en connais­sez vous-même et les variantes que vous pouvez en imagi­ner).

    Chaque suite de termes évidents affai­blira votre mot de passe. Tiens, est-ce que vous avez commencé votre phrase par « Je », « Il » ou « Le » ? Vous avez le droit de rajou­ter un mot/symbole parce que le premier ne compte plus.

    Ne choi­sis­sez pas vous-même les mots pour le (3). Le voca­bu­laire passif de quelqu’un de cultivé est limité à quelques milliers de mots. Le voca­bu­laire courant est bien plus faible et celui que vous aurez le loisir d’avoir en tête sera de quelques centaines tout au plus, avec une série de mots à très forte proba­bi­lité (par exemple tout ce qui est lié à l’in­for­ma­tique, à la sécu­rité ou à ce qui se trouve proche de votre bureau).

    N’uti­li­sez rien qui vous est propre (date, nom, entre­prise, événe­ment, musique préfé­rée, etc.) Ne vous croyez pas plus fin que les autres en cher­chant acti­ve­ment un mot complexe, en opérant des varia­tions ou rempla­ce­ments de lettres. Un robot sera bien plus effi­cace que vous à ces petits jeux. Vrai­ment.

    * * *

    Et voilà. Main­te­nant vous avez des mots de passe sûrs, uniques, stockés en sécu­rité. C’est déjà infi­ni­ment mieux que la moyenne, et ça ne vous a pas coûté grand chose en effort.

    La dernière étape c’est de renou­ve­ler vos anciens mots de passe : ceux qui peuvent être trou­vés par des robots, ceux qui sont les mêmes sur plusieurs services, etc. Certains gestion­naires de mots de passe comme Dash­lane peuvent même le faire pour vous.

    Bonus : Renou­ve­lez vos anciens mots de passe peu sûrs

    Si vous avez envie d’al­ler plus loin on peut parler de ne pas lais­ser déver­rouillé votre gestion­naire de mots de passe, de mettre en place une authen­ti­fi­ca­tion à double facteur, de bien penser à ce que vos postes de travail et votre smart­phone se verrouillent immé­dia­te­ment après une courte période d’inac­ti­vité, qu’ils demandent une authen­ti­fi­ca­tion au réveil, qu’ils aient des disques chif­frés… mais tout ça est pour un second épisode.

  • Dis Mozilla, et si tu écou­tais tes utili­sa­teurs ?

    La première fois que Mozilla a imaginé de mettre des publi­ci­tés dans la page « nouvel onglet ». Quand on réflé­chit à des pistes nouvelles, parfois on s’égare. Pas de problème. La conclu­sion de la commu­nauté était que non, il ne fallait pas de publi­ci­tés dans les nouveaux onglets. Même en opt-out, même en respec­tant le « do not track ». À partir de là on sait.

    La seconde fois, quand Mozilla a parti­cipé à un contexte promo­tion­nel pour une série TV, on a bien voulu parler de faux pas. L’exer­cice était limité, la réponse a toute­fois été sans appel : Non.

    Un verre ça va, trois verres bonjour les dégâts. Après ces deux tenta­tives, remettre le couvert une troi­sième fois avec une idée quasi iden­tique à la première, ça commence à être un problème dont il faut parler, plus des erre­ments.

    Mozilla, je comprends le problème de finan­ce­ment mais si tu n’écoutes pas tes utili­sa­teurs, tout le finan­ce­ment imagi­nable se révé­lera bien vain.

  • [Lecture] The whole web at maxi­mum FPS: How WebRen­der gets rid of jank

    Proba­ble­ment le meilleur article que j’ai vu sur le fonc­tion­ne­ment d’un navi­ga­teur moderne avec les diffé­rentes étapes et l’uti­li­sa­tion du GPU, par Lin Clark. À lire.

  • [Lecture] Opti­cal Effects in User Inter­faces (for True Nerds)

    Une bonne illus­tra­tion vaut mieux qu’un long discours mais ce n’est qu’un petit exemple au milieu d’un océan de discus­sions autour des aligne­ments et des effets visuels.

    Ça se trouve sur Opti­cal Effects in User Inter­faces (for True Nerds), Slava Shes­to­pa­lov, Muzli. (via)

  • Que se passe-t-il le jour où je ne suis plus là ? (bis)

    J’avais écrit quelques lignes par le passé mais le sujet se fait de plus en plus présent avec quelques conver­sa­tions et les histoires autour de moi.

    Je n’ai pas de croyance spiri­tuelle sur la mort, ni de dernières volon­tés. J’ai toujours trouvé ça égoïste et présomp­tueux. Si je ne suis plus là, ce n’est plus moi qui compte. D’autres déci­de­ront, en fonc­tion de leurs besoins et de leurs croyances à eux. Mon problème est ailleurs.

    Pour les biens maté­riels, c’est plus compliqué

    Marié en commu­nauté de biens j’ima­gi­nais une conti­nuité assez simple, ma femme récu­pé­rant à son seul nom le patri­moine autre­fois commun. Malheu­reu­se­ment, je me trom­pais lour­de­ment.

    Le patri­moine n’est pas réel­le­ment commun, il est juste partagé. Me revient ce qui est acquis avant mariage ou par héri­tage, plus la moitié de ce qui reste. Cette somme sera divisé pour l’hé­ri­tage puis taxée.

    Aujourd’­hui je me rends compte que la taxe peut impliquer de devoir revendre la maison commune. Je me rends compte que les reve­nus communs viennent essen­tiel­le­ment de mon salaire. Léga­le­ment mon fils obtien­dra au moins la moitié de mon héri­tage et l’usage de ces fonds avant sa majo­rité est très règle­menté.

    Comment vivront ma femme et mon fils après moi ? Je n’ai pas encore la réponse à cette ques­tion et c’est en soi assez terri­fiant.

    L’es­pé­rance de vie est un chiffre traitre. J’ai déjà perdu des amis plus jeunes que moi. Je peux vivre encore 50 ans comme avoir un acci­dent dès demain. Il devient impor­tant pour moi de me préoc­cu­per d’as­su­rance vie et de prévoyance. Urgent même.

    L’en­fer admi­nis­tra­tif

    Parfois il suffit d’une anec­dote. Mon père à l’hô­pi­tal. Un paie­ment d’im­pôt qui tombe et qui doit être fait sans attendre. Cher­cher les papiers de la banque, des impôts, comment faire… Un peu de stress à une période où on souhaite tout sauf ça.

    À la maison l’ad­mi­nis­tra­tif n’est pas partagé ; il est réparti. Oups. Cher­cher la mutuelle, les impôts. Ma conjointe saura-t-elle que j’ai la porta­bi­lité de mon ancienne prévoyance profes­sion­nelle et comment la contac­ter ? Pensera-t-elle à l’as­su­rance du crédit ? Et les actions de la star­tup que j’avais fondé ?

    Au delà des simples papiers, c’est aussi moi qui ait la clef de tout ce qui est numé­rique. Une amie a perdu son mari infor­ma­ti­cien il y a un an. Tout n’est pas simple. Je vois encore la messa­ge­rie gmail du disparu passer au vert à chaque fois qu’elle se sert de leur boite email commune.

    Quid du NAS avec toute la mémoire fami­liale quand il tombe en panne ? Je me rends compte que l’ac­cès aux fichiers ne se relance même pas tout seul après une coupure élec­trique. Ce sont les 5 premières années de mon fils que je lui dénie­rais.

    Il faudrait une docu­men­ta­tion à jour, et que je ne laisse pas les choses à moitié fina­li­sées. Je peux faire semblant de croire que je m’y tien­drais mais je nage là en plein instant théo­rique. Une option plus crédible est de ne pas avoir trop de sécu­rité (genre un mot de passe unique partagé simple et connu, ou au moins ne pas chif­frer les disques) et qu’un ami infor­ma­ti­cien fasse le relai à ma dispa­ri­tion – Stéphane, Corinne, Delphine, je compte sur vous. Très insa­tis­fai­sant.

    Les mots de passe

    Le conjoint en soins inten­sifs, vous vous voyez devoir à la fois lui dire que ça va s’ar­ran­ger – et le croire vous-même – et essayer de lui dire que ça serait bien qu’il vous dicte tous ses mots de passe, juste au cas où ? Moi non. En tout cas je ne veux pas l’im­po­ser à ma femme. Sérieu­se­ment, ça me semble une vraie torture. Et encore, ça c’est le scéna­rio opti­miste où il est encore temps de deman­der les mots de passe.

    Je n’ai pas encore de réponse à ça. Je ne peux pas écrire mes mots de passe en clair ou prétendre qu’ils ne chan­ge­ront pas avant ma mort.

    Je vois par contre aussi que chif­frer le trous­seau n’est pas si évident que ça. Aujourd’­hui je n’ima­gine même pas que l’em­pla­ce­ment et le moyen d’ac­cès au trous­seau seront rete­nus des années. Une clef d’ac­cès complexe relève de la science fiction.

    « retiens cette clef d’ac­cès bien complexe qui donne accès à mon trous­seau de mots de passe au cas où ; tu ne dois pas l’écrire et tu ne t’en servi­ras peut-être pas pendant 10 ans mais il te sera indis­pen­sable à ce moment là… enfin si je n’ai pas oublié de te donner la nouvelle quand je la mettrai à jour »

    Dash­lane propose quelque chose mais je crains que ça ne veuille dire qu’ils stockent mes mots de passe de façon déchif­frable sur leurs serveurs, ce qui me gêne énor­mé­ment (pour ne pas dire plus).

    Pour l’ins­tant mon option la plus réaliste est d’uti­li­ser le méca­nisme d’inac­ti­vité de Gmail. Ils savent aler­ter et donner accès à ma boite email à un tiers dési­gné si je suis inac­tif pendant un certain temps. Comme c’est ma boite email prin­ci­pale, ma femme pour­rait en théo­rie récu­pé­rer n’im­porte quel compte en ligne à partir de là.

    Je me vois cepen­dant mal propo­ser un déclen­cheur après juste une semaine, et si je mets un mois la plupart des infor­ma­tions arri­ve­ront trop tard. La balance entre l’in­ti­mité et la sécu­rité du conjoint me parait diffi­cile à trou­ver, sans comp­ter que rester sur Gmail n’est pas forcé­ment mon plan long terme.

    Je crains même que le nom de domaine perso ne puisse être un problème à ma dispa­ri­tion. S’il expire au mauvais moment et est acheté par un tiers, c’est toute une série d’iden­ti­fiants qui seront perdus… et poten­tiel­le­ment des comptes en ligne inac­ces­sibles pour la même raison. Je ne pense pas que Google donne­rait accès à ma boite email si le nom de domaine a été racheté par un tiers et si la personne qui me survit ne connait même pas le mot de passe. Il faudrait que je note ça aussi dans les quelques lignes à trans­mettre après ma dispa­ri­tion.

  • Chacun ses comptes

    C’était en 2010. Une collègue et amie divorce. C’est malheu­reux. Ça arrive.

    Le compa­gnon de l’époque est infor­ma­ti­cien et là, les ques­tions… Puis-je contac­ter mon avocate sans qu’il sache ce que je lui dis ? Il a le mot de passe du laptop, je déclare un peu la guerre si je les change, non ? Et comment faire pour savoir s’il n’y a pas un malware qui m’es­pionne ? Et le WIFI, peut-il inter­cep­ter ce que j’y fais ? Va-t-il fouiller ma boite email person­nelle pour cher­cher des anec­dotes qui lui permet­trait de contes­ter la garde de mes enfants ? il a peut-être le mot de passe, ou peut-être a-t-il une sauve­garde. Et mon télé­phone ? à l’époque le verrouillage n’était pas si commun. Et les photos de mes enfants ?

    À l’époque j’avais déclaré forfait : Je suis inca­pable d’as­su­rer que son conjoint n’écoute pas les conver­sa­tions, n’a pas implanté de malware, ou de l’as­su­rer qu’il n’y arri­vera pas à l’ave­nir. Aujourd’­hui je me dis que j’au­rais pu lui propo­ser un live-cd ou une clef USB bootable. Je n’y avais pas pensé à l’époque.

    On lui a conseillé de créer des comptes emails et stockage en ligne dédiés qu’elle n’uti­li­se­rait jamais depuis la maison ou depuis un appa­reil du foyer, de télé­pho­ner et de se connec­ter depuis le travail ou de chez des amis.

    Guérilla à domi­cile. Elle était infor­ma­ti­cienne. Pour d’autres ça peut être encore plus diffi­cile.

    Je ne sais pas si ses craintes étaient réalistes. Proba­ble­ment qu’elle non plus. Peu importe. Le stress du contexte sur le moment et la situa­tion de conflit font qu’on n’a pas besoin de lais­ser ce type de préoc­cu­pa­tions en tête en plus du reste.

    Des comptes parta­gés

    Cette histoire me revient après des échanges enten­dus à Paris Web à propos de l’auto-héber­ge­ment numé­rique.

    Je ne me fais pas héber­ger par mon conjoint. Ça m’est déjà arrivé, c’est un nid à emmerdes.

    Ce ne sont pas les mots d’ori­gine, mais ce que j’ai retenu du fond de l’in­ter­ven­tion.

    Combien de couples sont partis pour toute la vie et finissent par se sépa­rer ? Les moyens de pres­sion, d’es­pion­nage ou de menaces impli­cites sont gigan­tesques. « Surtout ne pas se fâcher avec lui-elle parce que sinon il n’est pas impos­sible que… »

    Même quand ça se passe rela­ti­ve­ment bien, j’ima­gine la diffi­culté de savoir qu’on est pieds et poings liés à son conjoint, dépen­dant de celui-ci ou à la merci de sa mora­lité. En cas de sépa­ra­tion c’est une belle galère.

    Bref : Chacun ses comptes email, ses stockages, ses droits d’ac­cès, même pour un couple fusion­nel qui prévoit de rester côte à côte y compris au cime­tière.

    C’est plus compliqué qu’un seul compte partagé, ce peut être diffi­cile à abor­der comme ques­tion, mais mieux vaut le faire quand ça se passe bien. Verrouiller son télé­phone unique­ment lors de la sépa­ra­tion c’est décla­rer la guerre alors que ça aurait pu bien se passer. Ne pas le faire c’est prendre du stress et se mettre soi-même à risque, ainsi que s refu­ser une inti­mité protec­trice au moment le plus critique.

    Sépa­rer les comptes numé­riques c’est fina­le­ment une ques­tion de respect, une façon de dire « J’ai confiance en toi, je sais que juste­ment tu fais tout pour éviter de me mettre un jour dans une situa­tion déli­cate si quelque chose devait arri­ver, et je vais faire pareil pour toi. »

    Et si ça vous arrive ?

    Je n’ai pas su le dire à l’époque mais si jamais vous vous sépa­rez d’un infor­ma­ti­cien : Il n’y a pas d’autres choix que de deve­nir para­noïaque.

    Ce n’est pas tant pré-juger que le conjoint fera quoi que ce soit de malvenu, mais simple­ment vous assu­rer votre séré­nité sur ces ques­tions et éviter tout le stress qui peut l’être. Et puis personne ne peut prédire l’ave­nir (la preuve, vous vous sépa­rez et ce n’était pas forcé­ment prévu au début de la rela­tion).

    1/ (faire) Réins­tal­lez de zéro télé­phone et ordi­na­teur, à partir de CD, clef USB et ordi­na­teurs qui ne viennent pas de la maison. Chif­frer les disques (télé­phone et ordi­na­teur).

    Mettez un mot de passe fort et dédié à cet usage (non, pas le même que d’ha­bi­tude avec juste une varia­tion). Acti­vez les verrouillages auto­ma­tiques après une période courte d’inac­ti­vité.

    Autre possi­bi­lité : Démar­rer depuis un Live-CD non réins­crip­tible préparé par un ami et écri­vez sur le CD pour qu’on ne puisse pas le chan­ger par un autre. Stockez tout en ligne, rien en local. Ce peut aussi être fait à partir d’une clef USB mais dans ce cas il faut réus­sir à la garder avec vous jour et nuit pour que personne ne puisse en modi­fier le contenu. Ça me parait plus diffi­cile.

    À défaut il y a le PC du boulot, les amis. Des smart­phones android à 50 € avec cartes data prépayées qui peuvent aussi faire parfai­te­ment l’af­faire. Bonus : Ça peut éviter de montrer publique­ment une défiance, et permettre de rester sur une sépa­ra­tion amicale.

    2/ Créez-vous une boite email dédiée, sur un espace que le conjoint ne contrô­lera pas. Recréez-vous de nouveaux comptes à partir de cet email ou dépla­cez les anciens comptes person­nels vers cet email de contact (celui qui contrôle l’email prin­ci­pal peut récu­pé­rer les mots de passe de tous les comptes qui y sont liés).

    Mettre un mot de passe fort et dédié à cet usage (non, pas le même que d’ha­bi­tude avec juste une varia­tion). Ne pas vous y connec­ter depuis la maison ou avec un maté­riel qui n’a pas été sécu­risé.

    3/ Faire une copie dès main­te­nant des photos, des archives, des docu­ments admi­nis­tra­tifs. Stocker chez un ami, un collègue ou au boulot.

    4/ Deman­dez accès aux comptes sur lesquels vous n’avez pas le mot de passe ou les iden­ti­fiants : Assu­rances, impôts, banque, sécu­rité sociale, mutuelle, …

    5/ Signa­lez à l’école que vous êtes en sépa­ra­tion. Ils savent gérer et s’as­su­re­ront au mini­mum que l’un des deux ne retienne pas des infor­ma­tions.

  • Chez Free c’est tout compris – ou pas

    Oh ? moi ça me rappelle au contraire *exac­te­ment* une offre de Free.fr

    C’est bien de se moquer mais pour ça il faudrait nettoyer un peu devant sa propre porte. Faire payer une option obli­ga­toire pour l’ac­cès à la boucle locale dédiée (c’est à dire les mètres de câble/fibre dans le trot­toir entre la box de l’abonné et le réseau interne de Free) c’est large­ment aussi ridi­cule que de faire payer les aiguilles d’une montre ou les clefs d’une voiture.

    Ok, c’est moins mis en avant aujourd’­hui qu’à l’époque. Ça permet au dépar­te­ment marke­ting de se moquer des autres en cachant tout sous le tapis, mais la fiche d’in­for­ma­tions stan­dar­di­sée montre que c’est en réalité toujours ainsi aujourd’­hui.

    Moi je serais eux, j’ar­rê­te­rais de la rame­ner.

    * * *

    Faire payer la loca­tion de la boucle locale n’a bien entendu aucun sens. Free fait comme les autres opéra­teurs : Il fait payer la loca­tion de sa box.

    C’est d’au­tant plus évident en compa­rant avec l’offre mini 4K, qui ne diffère quasi­ment que par la box dispo­nible mais qui n’a pas cette option à 5,99 € par mois alors qu’elle utilise évidem­ment tout autant la boucle locale dédiée (on voit mal comment elle ferait autre­ment).

    Bref, non seule­ment Free fait louer sa box en option obli­ga­toire comme les autres, mais il le fait plus cher, et en le maquillant sous couvert d’une option tech­nique. Pas de quoi pavoi­ser.

    * * *

    On ne peut même pas argu­men­ter qu’il s’agit de rembour­ser la loca­tion que fait Free de la boucle cuivre de l’opé­ra­teur histo­rique, puisque l’op­tion est aussi obli­ga­toire s’il s’agit d’un accès Fibre sur une infra­struc­ture Free de A à Z, hori­zon­tal et verti­cal.

  • Les petits utili­taires : 1– Le gestion­naire de mots de passe

    Il y a toute une série de petits utili­taires indis­pen­sables avec lesquels je ne suis pas satis­fait. Je me dis qu’en mettant ici mon usage, peut-être que ça ouvrira des portes.

    Bref, j’ai­me­rais un logi­ciel pour gérer mes mots de passe et les stocker de façon sécu­ri­sée.

    • Je veux y avoir accès aussi bien sur Mac, que sur Linux et sur mon mobile Android, y compris hors-ligne. Ce serait top s’il y avait un client web mais ce n’est pas indis­pen­sable.
    • Le stockage et l’ac­cès doivent être sécu­ri­sées. Rien ne doit être acces­sible sans mot de passe maître, et ce dernier ne doit être stocké nul part.
    • L’app mobile doit pouvoir avoir un verrouillage soft (via un pin, un schéma ou une empreinte digi­tale) quand le télé­phone passe en veille (ou à défaut quand je bascule sur une autre app).
    • Tous les clients (app mobile, desk­top, navi­ga­teur) doivent de rever­rouiller au bout d’un certain temps d’ac­ti­vité et néces­si­ter la saisie du mot de passe maître pour être réou­verts.
    • Je dois avoir une exten­sion du navi­ga­teur pour auto-complé­ter les formu­laires de login, autant sur desk­top que sur mobile. Idéa­le­ment l’auto-complé­tion n’injecte pas plein de trucs auto­ma­tique­ment dans chaque page web et n’agit que sur ma demande via un bouton dans la barre d’ou­til.
    • La même exten­sion du navi­ga­teur doit savoir créer une entrée dans les mots de passe enre­gis­trés à partir d’un formu­laire de login sur une page web.
    • Il existe un moyen simple et rapide de faire une recherche dans la base de mots de passe.
    • L’ou­til embarque un géné­ra­teur de mots de passe.
    • Ça serait top de pouvoir parta­ger des mots de passe, en lecture et/ou en écri­ture, à une personne ou à un groupe.

    Parce que je suis geek :

    • Il existe un accès en ligne de commande ou un moyen de bidouiller l’en­semble
    • Il est possible de sauve­gar­der faci­le­ment et auto­ma­tique­ment ma base de mots de passe quelque part (que tout ne repose pas sur un pres­ta­taire)
    • Le fonc­tion­ne­ment (API, chif­fre­ment) est docu­menté, idéa­le­ment open source
    • Ça serait top que ça gère aussi direc­te­ment l’agent pour mes clefs SSH
    Dash­lane

    J’ai exploré par mal de choses. Pour l’ins­tant Dash­lane coche la plupart des cases mais l’ex­ten­sion navi­ga­teur me gêne. Il s’agit d’une coquille vide qui s’oc­cupe des auto-comple­tion et qui inter­agit avec l’ap­pli­ca­tion Dash­lane native sur le système.

    Je trou­vais le système assez smart mais en réalité non seule­ment je ne vois pas ce que ça m’ap­porte mais je vois même en quoi ça peut dimi­nuer légè­re­ment la sécu­rité.

    Dans tous les cas, l’injec­tion de scripts dans toutes les pages à formu­laire est fran­che­ment gênante. Fire­fox me signa­lait régu­liè­re­ment des ralen­tis­se­ment dû à Dash­lane mais en plus l’UX de gestion de l’auto-comple­tion me gêne plus souvent qu’elle me faci­lite la vie, surtout sur un petit écran mobile (sans comp­ter que sur mobile ça m’oblige à utili­ser Chrome plutôt que Fire­fox).

    Enfin, ça veut dire faire confiance. J’ai confiance dans la crypto de base mais quand j’ai posé des ques­tions sur les inter­ac­tions entre le navi­ga­teur et l’ap­pli­ca­tion native j’ai eu des demies réponses sans détails tech­niques. J’ai l’im­pres­sion que cette partie de l’ar­chi­tec­ture repose plutôt sur l’obs­cu­rité. Non seule­ment ça me gêne, mais je doute encore plus de voir arri­ver autre chose que ce que l’équipe a prévu et a le temps de faire.

    Bref, beau­coup de bons points mais j’ai peur que ça ne coche jamais les cases restantes.

    Enpass

    Ça couvre beau­coup moins de choses mais j’aime bien l’idée de fichiers qu’on peut synchro­ni­ser sans serveur via un disque en ligne quel­conque genre Drop­box ou Google Drive. Ça me permet aussi de gérer les sauve­gardes tout en me rassu­rant sur la péren­nité.

    Pass­bolt

    J’en ai encore moins de cases cochées mais là j’ai de l’open­source, donc quitte à bidouiller ça peut être que ça peut faire une base de départ ?

    Là où je suis étonné c’est de ne pas voir plus de projets open source que ça, et pas plus abou­tis. Le cœur logi­ciel est pour­tant assez faci­le­ment acces­sible pour deux ou trois dev moti­vés et le besoin est géné­ral au moins au niveau des geeks.

  • J’ef­face mes traces

    Il y a désor­mais 5 ans que j’ef­face mes traces.

    J’avais fait un petit billet pour expliquer que j’ef­façais mes tweets après 48h. Je l’ai fait un temps mais via des scripts lancés à la main, pour garder le contrôle. Je l’ai fait de façon irré­gu­lière, puis plus du tout pendant un temps.

    La moti­va­tion n’a toute­fois pas chan­gée.

    Je m’y remets avec un script un peu plus évolué qui devrait à terme pouvoir être lancé en auto­ma­tique (quand j’au­rais un peu plus confiance). Désor­mais la plupart de mes tweets pour­ront être suppri­més au bout d’une dizaine de jours.

    Si j’ai le courage j’éten­drai ça à Masto­don et aux autres réseaux. Plus géné­ra­le­ment, tout ce qui n’est pas dans un espace que je contrôle person­nel­le­ment est poten­tiel­le­ment amené à dispa­raitre. Ce qui m’im­porte est géné­ra­le­ment retrans­crit sur le site que vous êtes en train de lire.