Auteur/autrice : Éric

NAS chiffré, saisie de passphrase à distance

J’ai un petite UC sous Linux qui me sert de NAS. Je vais y stocker toutes mes données, certaines confidentielles et j’aimerais y chiffrer mes disques pour éviter que ces données partent dans la nature en cas de cambriolage.

Logiquement ça va me demander une passphrase au démarrage mais je n’ai ni clavier ni écran (et je risque de devoir relancer le NAS assez souvent pour ne pas avoir envie de trimballer les périphériques juste pour ça).

Je me dis que je ne dois pas être le premier. Qu’existe-t-il comme mécanisme dans Grub ou UEFI pour permettre de saisir la passphrase à distance via un portable sur le même réseau ?

3 avril 2018
Reprendre contrôle de mes données : point d’étape

Merci à ceux qui m’ont aidé dans les épisodes précédents. Je commence à avoir un plan qui tient la route.

Idéalement je veux reprendre le contrôle sur mes données, c’est à dire assurer leur confidentialité et leur pérennité.

Par sécurité, tout ce qui est hébergé sur un service directement accessible d’Internet doit être chiffré côté client. Par manque de temps et de motivation, idéalement j’aimerais ne pas auto-héberger moi-même (mais je veux bien payer des tiers sérieux pour cela). Pour assurer la pérennité, j’aimerais garder le contrôle de tous les identifiants et de toutes les adresses, en les liant à mon nom de domaine personnel. Enfin, tout ce que je gère doit être sauvegardé pour résister en cas d’erreur de manipulation, de casse matérielle, de vol ou d’incendie. À vue de nez j’ai entre 1 et 1,5 To de données.

Je cherchais à me baser d’abord sur le laptop en considérant le NAS uniquement comme un gros disque pour étendre mon stockage. Basculer pour considérer le NAS comme système principal et le laptop comme une simple dépendance de travail a débloqué pas mal de choses.

Le NAS

Il a un gros disque de 2 To et c’est sur lui que je compte pour avoir une copie de tout. Vraiment tout.

J’ai abandonné l’idée de tout chiffrer côté client à partir du laptop, faute de trouver des solutions satisfaisantes. Du coup, comme j’y stocke toute ma vie en clair, ce NAS ne sera *pas* directement accessible depuis Internet. Je ne me sens nullement de garantir la sécurité et ma réactivité à ce point. Je vais juste chiffrer les disques au cas où quelqu’un débarque chez moi et embarque le boitier lors d’un cambriolage.

Par contre je compte bien récupérer sur le NAS tout ce qui traine ou qui est produit à mon nom sur le web, donc lui pourra accéder à Internet. Il y a un risque si j’ai une faille sur ma box *et* une faille sur mon NAS, mais ce ne sera jamais parfait de toutes façons.

Aujourd’hui j’ai juste un getmail qui tourne pour synchroniser mes emails. Je vise à ajouter pas mal de connecteurs pour tout le reste (les données des réseaux sociaux, mon agenda, mes contacts, les factures disponibles en ligne, pourquoi pas des relevés bancaires, etc.) mais ça va probablement prendre du temps.

Ce NAS c’est un petit XS35 sous Debian et un disque de 2 To. Si ça sature j’y enlèverai les quelques films et séries pour gagner de la place. J’avoue ne pas envier les Synology et autres boitiers tout intégré : J’aime la liberté que me donne un Linux x86 non bridé, et le confort sonore d’un boitier sans ventilateur.

Pour tout ça j’ai juste besoin d’un backup chiffré qui supporte Linux et un gros quota disque. Par défaut ce sera probablement un Crashplan à 10 € par mois. Je suis preneur d’autres alternatives mais j’ai envie d’éviter les bricolages trop custom (je veux par exemple éviter le « oh mais le backup ne tournait plus depuis des mois et je n’ai eu aucune alerte ») et les prix de stockage explosent vite dès qu’on parle en To.

Le laptop

C’est l’espace de travail. L’idée c’est de considérer que tout ce qui est dessus est à priori volatile. Je synchronise avec le NAS dès que je suis à la maison.

La synchro elle-même ce sera probablement Nextcloud ou Cozy Cloud. Pas besoin de chiffrement vu que ça se passera en local hors d’Internet. Je suis preneur d’autres suggestions mais il me faut une synchronisation transparente (pas besoin de la lancer manuellement ou de le laisser allumé à une certaine heure programmée), progressive (pas besoin de le laisser ouvert assez longtemps pour finir un snapshot complet) et sélective (je veux pouvoir choisir quels répertoires synchroniser, et changer régulièrement).

J’hésite à y mettre une sauvegarde vu que tout ce que j’y fais est amené à être synchronisé sur le NAS, et sauvegardé à partir de là. Un serveur Time Machine sur le NAS ne m’apportera par exemple strictement aucune garantie supplémentaire.

Tout au plus je peux perdre une semaine de travail si je suis en déplacement, ou quelques semaines si je suis l’été hors de chez moi. Rien de grave vu que je fais quasi tout en ligne de toutes façons.

Les photos de la semaine sont les seules données dont je craindrais vraiment la perte. Si je veux me protéger contre ça il me faut une sauvegarde en ligne. Si j’ai du Crashplan sur le NAS, ce sera probablement aussi du Crashplan sur le laptop, quitte à ce que ça coûte un peu cher. Pour l’instant j’hésite, je ferai peut-être sans.

Les emails

Je n’ai pas trouvé de solution parfaite. J’aurais adoré une solution qui chiffre d’office avec une clef publique tous les emails reçus en entrée, et des clients qui déchiffrent puis indexent tout ça côté client pour que ce soit utilisable au jour le jour.

C’est ProtonMail qui s’en rapproche le plus mais ils ne chiffre pas le sujet de l’email, les dates et les participants. Je comprends pourquoi mais au final ça laisse beaucoup de choses utiles en clair. Ajouté à ça, les clients officiels ne font pas de recherche dans le contenu des messages et le quota serveur n’est pas énorme.

Si je pars là dessus je vais peut-être utiliser leur pont IMAP/SMTP avec Thunderbird ou le Mail.app d’Apple pour les emails récents, et une archive locale pour les mails plus vieux. C’est un peu bancal mais je n’ai pas mieux.

L’alternative c’est utiliser Fastmail. Là j’ai un quota qui me permet d’y importer et gérer tout mon historique et je peux y accéder depuis n’importe où avec une recherche complète. Par contre je fais une croix sur le chiffrement. J’hésite encore.

Dans tous les cas il y aura une récupération locale sur le NAS, pour archive.

Calendrier et contacts

Je ne peux pas imaginer baser contacts et calendrier sur un Nextcloud ou une solution perso sur le NAS. Je vais avoir besoin de la synchronisation entre le laptop et le smartphone lors des déplacements.

Ça veut à priori dire utiliser une plateforme en ligne, et je n’en connais aucune qui propose un système avec chiffrement côté client. Je vais devoir laisser trainer ces données en clair et ça m’agace parce que ce sont des données sensibles.

ProtonMail propose bien un système de contacts chiffrés mais il ne chiffre ni le nom ni l’email, et si je ne devais chiffrer que deux éléments se sont bien ces deux là. Pire, vu qu’il n’y a pas de pont carddav, je ne pourrai pas utiliser mes contacts ProtonMail depuis Mail.app ou Thunderbird. Si je les édite depuis mon smartphone je perds les données chiffrées (ignorées par leur synchro Android). Bref, pas une solution.

Fastmail propose calendrier et contacts. À défaut de mieux, j’irai peut-être là bas… et ça me décidera peut-être à le faire pour les emails aussi (sinon je n’y aurai pas accès depuis les applications ProtonMail).

Sérieusement ProtonMail, il y a là quelque chose à travailler. C’est un vrai gros point faible incompréhensible.

Partages

Autrefois j’utilisais pas mal Dropbox et Google Drive. Je n’ai pas trouvé de solution alternative gratuite (et rappel: Il est exclu d’exposer le NAS sur Internet avec un service type Nextcloud).

Ce sera probablement toujours Dropbox et Google Drive. Faire autrement demanderait de toutes façons aux tiers d’installer des logiciels prévus pour, et ils ne le feront pas.

Si je craque, je prendrai peut-être la version premium de Tresorit, qui sait gérer partage et chiffrement côté client. Pour le même prix ça peut gérer la pérennité de mes données en cas de perte du laptop et faire solution de sauvegarde de fortune à ce niveau.

Édition collaborative en ligne

Le second point faible du plan : Les documents en édition partagée en ligne. Il y a quelques trucs qui gèrent le chiffrement côté client mais en général c’est du texte simple au kilomètre.

Si on accepte de tout laisser en clair sur des plateformes tierces il y a OnlyOffice et Collabora. Les deux sont assez lourds, sans client mobile, et pas vraiment au niveau de Google docs, Google spreasheets et Dropbox Paper côté simplicité. Vu qu’en plus c’est vite cher si on veut collaborer en lecture/écriture avec des tiers, je n’imagine pas vraiment réussir à embarquer mes connaissances là dessus.

Bref, quitte à tout laisser en clair, je vais peut-être garder aussi tout ce qui demande de l’édition évoluée chez Google et Dropbox. Ça me fait mal mais je n’ai rien de mieux à proposer.

Tout au plus je vais faire attention à tout exporter régulièrement sur mon NAS pour en garder des archives locales.

Dépôt de code

La seule solution de dépôt git chiffré que je connaisse est celle de Keybase.

Cela dit les seuls codes sources privés que je gère sont liés au contexte professionnel (et là non seulement je n’ai pas le choix du prestataire, mais les pull request et autres systèmes de revue de code me semblent trop essentiels pour que j’imagine utiliser la solution de Keybase) ou sont purement privés (et là je peux très bien pousser mes codes sur le NAS une fois de temps en temps, puis voir le tout sauvegardé à partir de là).

Bref, je n’ai personnellement pas vraiment de cas d’usage pour un dépôt de code chiffré.

Blogs et photo

Tout ce qui est dans cette catégorie est public, ou semi-public.

Tout ce que je faisais sur mon serveur en ligne est déjà couvert par une solution ci-dessus. Il ne reste que le wordpress.

Je vais donc à priori le remplacer et passer vers de la publication statique à quelques euros par an (juste de quoi mettre mon domaine perso).

À terme peut-être que je ferai des systèmes évolués avec chiffrement pour les sections et publications privées, mais je ne suis même pas certain d’avoir envie d’aller jusque là.

Adresse, domaine et identifiants

J’ai mon nom de domaine et donc le contrôle de mes identifiants pour l’email et les publications en ligne.

Il me manque le contrôle d’un xmpp et celui de l’identifiant mastodon. Je ne veux pas monter et maintenir moi-même des serveurs en ligne pour ça. Si quelqu’un sait qui offre un service avec nom de domaine personnalisé pour ça, je suis preneur.

Vidéo

Je fais des vidéo-conférences essentiellement au niveau professionnel mais j’avoue que ça passe toujours par zoom, skype, hangout et autres appear.in. Il y a-t-il des solutions chiffrées de bout en bout ? qui permettent de contrôler son identifiant ?

3 avril 2018
« Comment ça va ? »

La question est tellement dans l’usage que le « bien et toi ? » en devient automatique, il sort avant même que j’ai réalisé la question.

On répond « oui » quand ça va. On répond « oui » aussi quand ça ne va pas. La seule alternative c’est quand ça va mais qu’on a un petit tracas du quotidien, le « pas trop je suis enrhumé » ou le « j’ai mal dormi hier ». Et encore, ne le faites pas trop souvent faute de vous voir reprocher de casser l’ambiance. Ne le faites pas avec un mauvais manager au boulot si vous ne voulez pas qu’on vous déleste de la confiance qu’on a en vous.

Quand est la dernière fois qu’on vous a répondu sérieusement « non, ça ne va pas » sans que la personne ne soit déjà au fond du trou avec 10 mètres de terre bien tassées au dessus ? Même pour dire « ma famille est morte hier » on se sent obligé de rajouter « mais je vais bien ».

Et quand parfois, quand on a quelqu’un en qui on a confiance, on s’oublie et on répond. La personne en face n’est pas prête, ne comprend pas, ne s’y attend pas, ne sait pas, n’a pas le contexte. Rien de bon n’en sort.

S’il vous plait, remplacez votre « ça va ? » par un « ça va ». Venez prendre des nouvelles. Dites que vous vous allez bien, si c’est vraiment le cas. N’obligez pas votre interlocuteur à dire comment il va s’il n’en a pas l’intention, à vous mentir poliment si finalement tout ne va pas. S’il le veut, s’il le peut, peut-être vous le dira-t-il de lui-même, mais ce sera choisi.

Je suis certain que pour les amis la question part d’un bon sentiment, que vous voulez être là. Ce n’est pas un reproche, les bonnes intentions ne se reprochent pas, mais la question est aussi toxique quand justement ça ne va pas.

Être obligé de répondre « ça va », à la longue, faire semblant d’avoir la joie de vivre, faire des sourires forcés, ce sont autant de poisons qui s’insinuent doucement et pèsent chaque jour un peu plus sur les épaules. Non seulement ça ne va pas mais il faut faire semblant.

* * *

Et je revois le jeu de l’amie Delphine il y a quelques années. Pour me définir, il n’y avait rien de mieux qu’un « toi, ça va ? ». Il faut que je change mes habitudes moi aussi. Ça ne va pas être simple.

31 mars 2018
Développeur senior

Un développeur senior ne va pas forcément plus vite. Parfois il va même moins vite.

Par contre il pourra s’attaquer à des problèmes plus complexes, il pourra éviter de refaire des erreurs déjà faites ailleurs, il pourra prendre en compte des enjeux autres que la production de code elle-même, et/ou il pourra penser un coup plus loin.

30 mars 2018
Du backup, encore, et j’ai besoin de vous

Je galère toujours à trouver mes solutions de stockage et de synchronisation. Je vous appelle de nouveau à l’aide parce que je sèche totalement. Toute suggestion est bienvenue, même si elle sort du cadre.

J’ai posé plus bas un peu tout ce que j’ai étudié, au cas où ça intéresse des gens, ou si certains voient quelque chose que j’ai oublié

Ce que je cherche

En gros je cherche une solution de sauvegarde continue (pas en mode snapshot) avec chiffrement côté client, pour deux portables Mac et un NAS sous Linux, pour un volume total de 1.5 à 2 To à stocker hors les murs.

La déduplication n’est pas indispensable mais reste un vrai critère vu qu’une partie des données sont les mêmes sur différents postes.

Je suis prêt à payer un service tiers comme à monter une solution custom mais je veux un emmerdement minimal et rien de ce qui est en ligne ne doit avoir accès aux données en clair, même indirectement.

Si en plus la même solution sait faire de la synchronisation sélective entre les différents appareils ou/et du partage à des tiers des données synchronisées/sauvegardées, ce serait magique (mais comme je n’arrive déjà pas à couvrir le besoin de base, n’en demandons pas trop).

* * *

Parce qu’on me demande parfois plus de détails

J’ai un portable Mac qui me sert au jour le jour. Dessus j’ai environ 20 Go à demeure et quelques blocs d’une dizaine de Go que je peux ajouter d’un coup pour travailler dessus quelques semaines (mois?) avant de les effacer ou transférer sur le NAS. Seuls 1 à 2 Go sont vraiment modifiés couramment.

J’utilise beaucoup ce poste en situation de mobilité, avec beaucoup de connexion et déconnexions, parfois du mauvais réseau. Je veux donc une sauvegarde continue et pas une sauvegarde par snapshots.

À côté il y a le portable Mac de ma femme, quasiment les mêmes contraintes si ce n’est qu’elle a probablement plus de 50 Go à demeure mais aussi moins de changements au jour le jour.

Je peux faire sans mais idéalement la possibilité d’avoir chacun ses comptes et l’un ne puisse pas accéder aux sauvegardes de l’autre est un vrai critère de choix.

À côté de ça on a un micro-PC sous Linux qui sert de NAS. C’est là qu’on dépose tout ce qui est à archiver. Il y a aujourd’hui 750 Go de données à ne pas perdre. L’essentiel de ce qui y est ne bouge pas une fois que c’est posé (en fait à part les sauvegardes de fichiers xmp et catalogues lightroom, je pense que quasiment rien ne change) mais ça il faut provisionner 100 à 200 Go de plus par an.

Je peux ponctuellement lancer une interface graphique à distance mais c’est un serveur sans écran. Les éventuels logiciels de sauvegarde doivent pouvoir tourner sans interface graphique quand il n’y a pas de changement de configuration.

Je n’ai ni le temps ni le courage de maintenir la sécurité au niveau requis pour exposer ce NAS sur Internet. C’est quelque chose d’exclu.

Il y a potentiellement des dizaines de Go en doublon entre le NAS et un ou l’autre des portables quand on a besoin de travailler dessus. Avoir une déduplication permettrait d’éviter de faire travailler inutilement la sauvegarde.

Idéalement si je pouvais dire « ce répertoire de ce portable correspond désormais à ce répertoire du NAS, merci d’envoyer sur le NAS toutes les modifications que j’y fais jusqu’à ce que je supprime la liaison » ce serait même génial. Ça m’éviterait de faire des transferts manuels d’un côté à l’autre, avec les risques d’erreur que ça implique). Pas indispensable cependant.

* * *

Ce que j’ai exploré

Les solutions « tout intégré »

Par le passé j’utilisais Crasplan Home. Ça ne gère que la sauvegarde (pas de synchro) mais ça le faisait bien, et sans limite de stockage. Ils ont choisi d’arrêter l’offre pour particuliers, mon abonnement prend fin dans quelques mois.

Crashplan Business me propose la même chose mais pour 12 $ TTC par appareil. Pour trois appareils j’en suis déjà à 460 $ TTC par an, pour juste de la sauvegarde. Bref, je cherche soit mieux soit moins cher.

Blackbaze et Carbonite n’ont pas de client Linux, indispensable pour moi.

SpiderOak sait faire du backup comme de la synchronisation, avec stockage en ligne et chiffrement côté client. On est à 160 $ par an pour 2 To, ce que je peux envisager. La version Linux peut faire un headless assez basique (il faudra l’arrêter et lancer la GUI si on veut faire des vrais changements) mais pourquoi pas.

Sur les mauvaises surprises, outre l’ergonomie incompréhensible, je peux naviguer dans les versions d’un fichier mais pas dans les répertoires. Impossible donc de récupérer une répertoire complet tel qu’il l’était à une date donnée. Pour un outil qui se veut faire du backup, c’est ballot.

Mon vrai blocage se fait au niveau des ressources utilisées. Sur Linux il occupe en permanence un cœur entre 30 et 100% même quand il n’a rien à faire. Sur Mac c’est moins visible côté CPU mais il est responsable de 10% de la consommation énergétique – et donc de l’autonomie – sur les périodes où il n’y a aucun changement à sauvegarder. Impossible pour autant de lui dire de se stopper pour quelques heures quand je suis sur batterie, il faut le quitter totalement et penser à le relancer.

Il reste que c’est ma meilleure piste pour l’heure.

Tresorit m’a fait une superbe impression. Le logiciel est léché, il gère les partages sans mettre à mal le chiffrement. J’ai aussi été agréablement surpris par les débits. À 20 Mbps montants soutenus pendant une journée, ma sauvegarde est uniquement limitée par le maximum physique de ma connexion Internet (ni par les serveurs Tresorit, ni par la connectivité entre mon FAI et tresorit). C’est assez rare pour être signalé, et appréciable.

Il reste que c’est d’abord un logiciel de synchronisation. Il garde les historiques (et ne les compte pas dans le quota d’espace disponible) mais ne permet pas lui non plus de récupérer tout un répertoire tel qu’il était à une date donnée. C’est soit la dernière version d’un répertoire, soit fichier par fichier.

Comme il ne fait que de la synchro, si jamais il y a un gros bug sur le serveur qui vide mes données, il n’est pas totalement impossible que la suppression se propage chez moi. Le but premier de la sauvegarde étant d’éviter justement ce genre de situation…

Enfin, la version Linux ne fonctionne qu’en mode graphique, ce qui impose de monter un xpra ou équivalent (brrr…).

Je suis tombé amoureux du produit mais à 290 € TTC par an les 2 To, tous les points négatifs par rapport à mon besoin initial commencent à être un peu difficiles à avaler.

Les logiciels purs (sans offre de stockage)

À associer à une offre de stockage (voir plus bas).

J’avoue que je sèche totalement. Je n’ai pas trouvé de logiciel pur qui sache faire de la sauvegarde en mode continu / temps réel. Tout ce que j’ai trouvé se base sur un mode snapshot. C’est du moins le cas pour Duplicity, Baccula et Restic.

Si vous connaissez quelque chose, faites moi signe.

Seafile sait de la synchronisation mais en gardant les différentes versions de chaque fichier et en permettant de récupérer un répertoire tel qu’il était à une date arbitraire. On reste avec les défauts d’une synchronisation historisée : Si le serveur dérape et efface tout, il risque non seulement de perdre l’historique mais aussi de propager les suppressions à tous les appareils.

Risqué, d’autant que le logiciel m’inspire peu confiance (oui, c’est très subjectif). Ou alors il faut ajouter une sauvegarde de type snapshot du serveur de synchro lui-même. Oups.

Si on ajoute que ça impose un vrai serveur en face – pas juste une offre de stockage – et que la synchronisation sélective est limitée dans ses capacités, j’ai pour l’instant écarté la chose.

Les offres de stockage (sans logiciel)

B2 est un des meilleurs marché avec 240 € TTC annuels pour 2 To (0,006 € TTC par Go) sans coût pour l’envoi des fichiers. Le téléchargement est plus cher (0,012 € TTC par Go) mais ça reste acceptable en cas de catastrophe et il y a une franchise de 1 Go par jour qui permet de gérer les petites pétouilles sans raquer à chaque fois.

J’avoue que je suis preneur de feedback sur les débits réels et sur la fiabilité de la solution (mais Blackbaze est quand même reconnu donc me sécurise un peu).

C14 propose un prix de stockage moitié moins cher que B2 (0,0024 € TTC par Go) pour les volumes que j’envisage, quitte à me faire payer l’envoi initial. On parle toutefois d’archivage long terme. Les données ne sont pas directement manipulables une fois stockées.

Financièrement c’est bien moins cher que B2 mais j’avoue que je ne sais pas quelle fiabilité accorder à Online. Rien que l’autorité de confiance utilisée pour le TLS du site web n’est pas reconnu par mon Firefox à jour. Oui, on en est là.

Cloud Archive d’OVH est plus ou moins un clone de C14, quasiment au même prix.

J’ai peut-être un peu plus confiance en OVH qu’en Online, mais on reste sur des choses similaires je pense, et je n’ai pas plus de retour d’expérience sur leur solution.

Glacier c’est la même chose pour Amazon. À priori ma confiance est plus haute mais les prix aussi (0,0048 $ TTC par Go stocké en Irlande). Le coût de transfert n’est là plus négligeable par contre, on est à 0,108 $ TTC par Go.

Stockage perso : Mine de rien si je parle de backup et non de synchro, je n’ai pas besoin d’une grande garantie. Si le backup meure, j’aurais encore les données. La probabilité que le backup et les disques principaux meurent à la fois est assez faible.

OVH propose via Kimsufi des serveurs cheap avec 2 To de disque pour 240 € TTC par an. Ça reste cher pour une absence de garantie, mais si en face j’ai les bons logiciels qui gèrent tout parfaitement et des données qui sont chiffrées (donc pas de problème majeur de sécurité), ça peut s’envisager.

15 mars 2018
Un peu de recul pour ce week-end

Parfois on tombe sur des textes avec un peu de recul, et ça fait du bien.

Le premier de ce week-end est à propos des vélos en libre service. On y dépasse les récriminations sur les dégradations ou leur mauvais stationnement bien que ce soit en plein dans le sujet.

Les vélos en libre service, qui sont là pour longtemps, nous donnent une belle occasion de repenser la mobilité et l’espace public. À condition de ne pas se crisper, de ne pas renoncer (à réguler), et de faire preuve d’imagination.

Le second est à propos de l’abandon de l’ambition initiale d’offrir une couverture chômage aux salariés démissionnaires. L’idée est toujours là mais tellement limitée qu’elle n’a plus vraiment le même sens.

« L’échec de la révolution de l’assurance chômage » explique en quoi il y avait là quelque chose d’intéressant, qu’on aurait pu considérer comme un investissement social positif.

4 mars 2018
Et mes mots de passe ?
Oui, je sais, ça agace tout le monde alors plutôt que de vous dire quoi ne pas faire, on va se contenter de dire quoi faire, et on va être réaliste en y mettant un niveau d’effort et d’emmerdement très bas. J’écris des tartines mais ça se résume en 5 principes :

La première règle théorique c’est de ne pas réutiliser le même mot de passe deux fois, de ne pas les écrire en clair dans un fichier informatique (et si ce sont des mots de passe professionnels sensibles, de ne pas les écrire du tout).

Je ne sais pas vous mais j’ai trois zillions de sites, appareils et services qui me demandent un mot de passe. Cette première règle théorique est déjà impossible à suivre humainement. Il n’y a pas à tortiller, la première recommandation est incontournable :

1. Utilisez un gestionnaire de mots de passe

Un gestionnaire de mots de passe c’est une sorte de coffre fort pour vos mots de passe. Seul vous y avez accès.

Certains vous permettent de synchroniser ce coffre-fort sur vos différents appareils et vous offrent une interface pratique pour trouver et remplir les mots de passe qui vous sont demandés tout au long de la journée. Non seulement c’est plus sûr que vos anciennes habitudes, mais en plus ça sera plus pratique qu’avant. Tout bénef.

Je peux par exemple vous recommander l’open source Bitwarden mais il y a bien d’autres alternatives.

Oh, et comme vous avez un beau gestionnaire de mots de passe dédié, désactivez la mémorisation automatique des mots de passe de votre navigateur, votre gestionnaire de mots de passe s’en chargera à sa place. Je parie une bière que vous ne l’aviez de toutes façons pas configuré pour être aussi robuste que ce dernier (Chrome ne le permet d’ailleurs même pas pas).

2. Désactiver la mémorisation des mots de passe de votre navigateur

Maintenant il va falloir créer tous ces mots de passe différents qu’on va ensuite stocker dans le gestionnaire de mots de passe. Un bon mot de passe est long, complexe, aléatoire, unique.

Bien évidemment, n’utilisez *jamais* de générateur de mot de passe en ligne. Vous auriez un risque que votre mot de passe se retrouve immédiatement dans les listes à tester par les robots.

Tous les gestionnaires de mots de passe vous offriront un moyen sûr de générer des mots de passe de bonne qualité. Ils feront dans les 16 caractères avec différentes casses et des caractères spéciaux mais on s’en moque : Vous n’aurez ni à les retenir ni à les taper. En fait vous n’avez même pas besoin de savoir à quoi ils ressemblent.

3. Utilisez le générateur de mots de passe intégré à votre outil

Parfois un administrateur ou un service choisissent eux-même un mot de passe initial. Changez-le avec un généré par vos soins.

Si on vous dit qu’il est nécessaire de laisser le mot de passe qu’on vous a donné, ça doit lancer une alarme dans votre tête : Au mieux votre interlocuteur n’est pas compétent ou le service n’est pas sûr, au pire quelqu’un se réserve volontairement la capacité d’accéder à vos données. Dans tous les cas vous n’êtes pas en zone sécurisée sur ce service.

4. Ne laissez jamais les mots de passe par défaut, changez-les

Il reste qu’il faut retenir le mot de passe qui donne accès au gestionnaire de mots de passe lui-même. Il faut aussi retenir celui pour ouvrir la session sur le poste de travail personnel et celui pour le pendant professionnel. Personnellement je retiens aussi celui de ma boite email perso, qui donne virtuellement accès à tout si je perds les autres clefs.

J’ai trois possibilités :
1. ~~Retenir 4x 16 caractères et symboles aléatoires.~~
2. Utiliser une suite de symboles qui dérivent d’une phrase qu’on peut retenir
3. Utiliser une suite de mots plutôt qu’une suite de caractères
Le (2) c’est ce que propose par exemple l’outil de la CNIL. Il est un peu agaçant parce qu’il reconnait assez peu de choses comme des caractères spéciaux, mais ça montre bien la démarche.

Le (3) part de l’idée opposée. On tire au hasard une suite de mots dans une liste. Certains proposent de simplement les tirer au dé. Il est possible d’améliorer la mémorisation de ces mots en imaginant une petite histoire ou petite comptine qui les utilise.

Dans les deux cas l’idée est de relier le mot de passe à une phrase ou des mots qui se mémorisent plus facilement.

5. Utilisez une méthode « sure » pour générer les quelques mots de passe que vous devrez vraiment retenir vous-même

Le danger c’est que notre imagination est limitée par notre environnement.

N’utilisez pas un proverbe ou un refrain pour le (2), même si ça vous semble peu connu (un ordinateur est capable de tester des dizaines de millions de proverbes ou refrains « peu connus », c’est à dire plus que vous n’en connaissez vous-même et les variantes que vous pouvez en imaginer).

Chaque suite de termes évidents affaiblira votre mot de passe. Tiens, est-ce que vous avez commencé votre phrase par « Je », « Il » ou « Le » ? Vous avez le droit de rajouter un mot/symbole parce que le premier ne compte plus.

Ne choisissez pas vous-même les mots pour le (3). Le vocabulaire passif de quelqu’un de cultivé est limité à quelques milliers de mots. Le vocabulaire courant est bien plus faible et celui que vous aurez le loisir d’avoir en tête sera de quelques centaines tout au plus, avec une série de mots à très forte probabilité (par exemple tout ce qui est lié à l’informatique, à la sécurité ou à ce qui se trouve proche de votre bureau).

N’utilisez rien qui vous est propre (date, nom, entreprise, événement, musique préférée, etc.) Ne vous croyez pas plus fin que les autres en cherchant activement un mot complexe, en opérant des variations ou remplacements de lettres. Un robot sera bien plus efficace que vous à ces petits jeux. Vraiment.

* * *

Et voilà. Maintenant vous avez des mots de passe sûrs, uniques, stockés en sécurité. C’est déjà infiniment mieux que la moyenne, et ça ne vous a pas coûté grand chose en effort.

La dernière étape c’est de renouveler vos anciens mots de passe : ceux qui peuvent être trouvés par des robots, ceux qui sont les mêmes sur plusieurs services, etc. Certains gestionnaires de mots de passe comme Dashlane peuvent même le faire pour vous.

Bonus : Renouvelez vos anciens mots de passe peu sûrs

Si vous avez envie d’aller plus loin on peut parler de ne pas laisser déverrouillé votre gestionnaire de mots de passe, de mettre en place une authentification à double facteur, de bien penser à ce que vos postes de travail et votre smartphone se verrouillent immédiatement après une courte période d’inactivité, qu’ils demandent une authentification au réveil, qu’ils aient des disques chiffrés… mais tout ça est pour un second épisode.
2 mars 2018
Petit retour sur le télétravail

Je fais du télétravail depuis presque trois mois désormais. Il est peut-être temps pour un retour sur expérience, non ?

Spoiler pour les pressés : Je suis mitigé.

J’y ai gagné

Un vrai bureau assez profond, pas de circulation autour de moi, personne pour voir mon écran, de la lumière naturelle et un agencement pour qu’elle ne m’éblouisse pas, un chauffage suffisant que je peux régler localement…

Ça devrait être un minimum partout mais ça ne l’est pas. Le faible investissement dans les espaces de travail de la plupart des boites que j’ai croisé fait que c’est le premier point positif qui me vient à l’esprit.

La fin des temps de trajet. Bien entendu, comparé à mes trajets Paris-Lyon le gain est énorme mais difficile de considérer que c’est lié au télétravail. Comparé à mon précédent boulot sur Lyon disons que j’y gagne peut-être 30 minutes par jour. C’est moins fantasmagorique que sur le papier parce que je mutualisais mes trajets avec l’accompagnement du petit à l’école ou les courses du soir. Là je dois sortir exprès pour.

C’est aussi difficile

Bosser de chez soi c’est avoir un bureau chez soi. J’y ai perdu la chambre d’ami et je ne m’y attendais pas. Rien n’a changé, il y a toujours eu un bureau encombré, et on dépliait le canapé-lit au besoin. Sauf que désormais je dois dire aux amis de me laisser la pièce avant 9h le matin et de ne pas y revenir avant 19h le soir, et de ne pas laisser trainer leurs affaires personnelles entre les deux parce que j’occuperai la pièce. Pas glop.

Ok, j’y ai gagné en temps de trajet mais pendant ce temps je lisais, je regardais des séries, parfois j’avais la tête encore au boulot ou au contraire j’anticipais sur le programme de la maison, parfois je me reposais simplement la tête. Aujourd’hui je passe du travail à la famille sans transition et c’est intensif. Il me manque cruellement de ce sas de décompression qu’était le temps de trajet. Limite si faire une marche dehors de dix minutes avant et après le travail rien que pour ça n’aurait pas du sens.

Les interactions de travail sont aussi toutes plus complexes. Beaucoup passe à l’écrit et la visio pose beaucoup moins de difficultés qu’anticipé. Tant que les gens ont un casque audio pour éviter l’écho et que tout le monde est à distance, ça va. Pour les réunions où une part significative des collaborateurs sont dans une même salle de réunion locale, là par contre c’est très difficile de se maintenir.

Si la visio se passe bien, il faut toutefois penser à la lancer et c’est là que ça pêche. Dans un même bureau on passe facilement voire l’autre pour discuter ou s’isoler dans une salle de réunion. Sans face à face on a tendance à rester plus longtemps à l’écrit avant de lancer la visio.

On perd aussi la facilité de comprendre si le collègue est disponible ou pas, s’il est d’humeur, quand est le bon moment pour parler. C’est au point ou si la personne n’est pas connectée je ne sais pas toujours si elle est en dehors de ses heures, si elle est concentrée sur le projet, ou si elle est en congés et que ce n’est pas indiqué sur le calendrier.

La vraie différence, enfin, c’est surtout qu’on ne voit pas l’humeur des gens, qu’on n’a pas les discussions de machine à café, qu’on ne ressent pas la même chose. Le lien social est absent, ou presque.

J’avais pensé que l’isolement social me pèserait moins qu’à d’autres. Je suis assez introverti, je participe peu à la machine à café (d’autant que je ne bois pas de café, je ne fume pas, je ne bois pas d’alcool… mine de rien ça limite les prétextes). Et pourtant… ne pas avoir parfois un délire dans le bureau entre deux collègues, une discussion passionnée à midi, un espace informel le soir… ça manque beaucoup.

La force de l’écrit et de la visio font qu’on y réserve le productif. Il y a 8 ou 9 journées d’équipes avec tout le monde sur Paris dans l’année pour créer du lien. C’est bien, c’est utile, mais ça ne remplace pas tout.

Et le reste ?

Et bien le reste ne change pas vraiment. Les informaticiens sont déjà assez isolés. Je ne vois pas de pair programming mais j’imagine qu’on doit pouvoir monter des choses en ce sens. Il y a juste d’autres choses à faire avant.

Idem pour les meetup et autres réunions de veille technique. Ça devra prendre une forme différente, je ne peux pas vous dire laquelle aujourd’hui mais je ne vois pas pourquoi on ne pourrait pas trouver une forme adaptée.

Et les horaires… Tout le monde fantasme sur les horaires et la liberté qui va avec. En réalité ça ne change pas grand chose là non plus. Si l’employeur est à cheval sur les horaires au bureau il le sera sur la présence en ligne. S’il est plus cool il pourra l’être dans la même mesure pour du télétravail, pas forcément beaucoup plus. Dans tous les cas on interagit avec des tiers, ce qui impose d’être connecté aux mêmes heures. Rien que le daily du matin cadre bien la journée.

28 février 2018
120 € la journée

Ça revient sur le tapis trop souvent alors on va la refaire. Les plus pressés peuvent passer directement à la conclusion.

Mettons qu’on parte sur 217 jours de travail potentiels, ce qui est plus ou moins la norme Syntec. Là dessus on peut compter 10% du temps en administratif, commercial et avant-vente.

Mettons aussi 5% de temps non facturé, pour compenser une erreur, une journée pas efficace, une journée à vide parce qu’on attend un document ou une validation du client…

On arrive à 184 jours facturés. Bien entendu un développeur freelance sans aucune expérience et donc sans réseau n’a aucune chance de facturer 184 jours sa première année (même ensuite on est dans le haut de la fourchette, et il ne sera plus sans expérience) mais imaginons tout de même, pour la beauté de l’exercice.

184 jours x 120 € HT = 22 080 € facturés par la plateforme.

Là dessus il faut retirer les frais. On part sur un auto-entrepreneur (les autres statuts coûteront plus cher). Les cotisations sociales sont de 22,2% à prélever sur le chiffre d’affaire. Il reste donc 17 178 € avant les frais.

Dans les frais il y a déjà les 12% de la plateforme, soit 2 650 € annuels.

À ça j’ajoute au minimum : 300 € de responsabilité civile professionnelle, 50 € de compte bancaire dédié avec moyen de paiement, 500 € d’amortissement matériel moyen, 100 € de consommables et papeterie, 300 € de CFE, 200 € de licences et saas. Parce que c’est essentiel je compte aussi 1 000 € de mutuelle.

Ça parait beaucoup mais c’est largement sous-évalué. On compte en TTC, l’auto-entrepreneur ne se fait pas rembourser la TVA.

Comptons aussi que pour travailler il occupe 6 m² dédiés chez lui (une demie-pièce) qu’on peut évaluer à 13 € mensuels le m² charges comprises (oui, c’est arbitraire, mettons qu’il a un appartement pas cher dans une grande ville) soit environ 1 000 €.

17 178 – 2 650 – 2 450 – 1 000 = 11 078 € nets annuels.

Un freelance à 120 € par jour c’est moins de 80% d’un SMIC (13 845 € nets).

J’ai pris le cas vraiment idéal, des frais réduits et quasiment aucun jour non facturé. En pratique ça sera beaucoup moins.

Bien entendu pour ça il n’a aucune garantie de travail, aucune assurance chômage, impossibilité sérieuse d’accès au crédit, une galère pour trouver un logement à cause de tout ce qui précède, et des indemnités symboliques en cas d’arrêt de travail pour raison de santé.

Donc non un quart de moins que le SMIC ce n’est pas « correct » pour un plein temps avec une qualification très technique. C’est même assez honteux de le suggérer.

28 février 2018
Il parait qu’on nous apprend à apprendre

Qu’avez-vous appris dans vos études supérieures qui vous serve encore aujourd’hui ? Moi pas grand chose, et je pense qu’il en va de même pour la plupart des informaticiens qui sont passés par le circuit des écoles d’ingénieur classiques. Pour les autres il y a probablement plus de concret mais on regarde bien vite au-delà des acquis de la formation initiale.

Il parait qu’on nous apprend à apprendre, à réfléchir, à trouver des solutions à des problèmes nouveaux, que c’est le cœur de notre métier.

C’est peut-être vrai mais à ce moment là c’est ensuite que ça dérape.

Ensuite on ne parle plus de formation ni d’apprentissage. Même le stage de fin d’étude n’est qu’une autorisation à être un peu moins productif ou à passer quelques jours à lire des documentations.

« Tu es déjà bien assez cher, on ne peut pas se permettre de te former à ce que tu ne connais pas. Si tu ne sais pas c’est que tu n’es pas la personne qu’il nous faut. Nous on veut quelqu’un qui puisse nous apporter de l’expérience. »

Plus on avance, plus on exige que l’informaticien sache. Il doit savoir tout faire, tout estimer, faire les bons choix du premier coup, imaginer l’architecture pour les 2 ans à venir d’un produit dont on n’a pas encore décidé à quoi il ressemblera le mois prochain, comme s’il avait la science infuse.

Dans le meilleur des cas on déclenchera une prestation d’accompagnement dans l’année sur un sujet hautement technique ou une formation exceptionnelle de deux jours sur une techno super récente, un peu comme si le savoir pouvait s’acheter sur étalage.

Ne marchons-nous pas un peu sur la tête ?

En plus d’être inefficace, cette façon de faire rend les collaborateurs soit mal dans leur peau (via la pression, le sentiment de ne pas y arriver) soit désimpliqués (quand ils finissent par perdre confiance ou lâcher l’envie d’y arriver). Bien entendu le donneur d’ordre finit par raffermir ses attentes et son contrôle, alimentant la pompe pour un joli cercle vicieux dont il est difficile de sortir.

* * *

Et c’est de pire en pire au fur et à mesure des responsabilités. Quand on parle de lead, je crois que je ne connais quasiment personne qu’on ait formé à ce poste et aux enjeux. Tu l’es ou tu ne l’es pas. Ça s’arrête là. Tu coûte déjà trop cher et personne n’est là pour prendre du temps à ça.

Quand on commence à parler de management ça devient délirant. Personne n’explique, comme si avoir été encadré (pour ceux qui l’ont vraiment été) suffisait à savoir répondre aux besoins d’une équipe.

Pas très étonnant qu’on tombe facilement dans le culte du cargo au niveau des méthodes et des croyances.

26 février 2018

Auteur/autrice : Éric

Le NAS

Le laptop

Les emails

Calen­drier et contacts

Partages

Édition colla­bo­ra­tive en ligne

Dépôt de code

Blogs et photo

Adresse, domaine et iden­ti­fiants

Vidéo

Ce que je cherche

Parce qu’on me demande parfois plus de détails

Ce que j’ai exploré

Les solu­tions « tout inté­gré »

Les logi­ciels purs (sans offre de stockage)

Les offres de stockage (sans logi­ciel)

J’y ai gagné

C’est aussi diffi­cile

Et le reste ?

Calendrier et contacts

Édition collaborative en ligne

Adresse, domaine et identifiants

Les solutions « tout intégré »

Les logiciels purs (sans offre de stockage)

Les offres de stockage (sans logiciel)

C’est aussi difficile

Et le reste ?