L’agenda du libre est un très bon moyen d’aller à la rencontre de gens de toutes sortes qui font de l’éducation populaire au numérique, au logiciels libres, aux projets de biens communs, et aux rencontres autour de tous ces sujets. C’est comme ça que j’ai pu rencontrer un petit club de jeunes retraités (et pas que), à cinq minutes de chez moi qui se réunissent toutes les semaines pour voir l’actu du libre, de la lutte contre les GAFAM, et récemment comment apprendre à coder en python. Le fondateur du club, Georges, était professeur à l’université d’Orsay et donne les cours de python aux membres du club.
En Février j’ai été découvrir l’équipe, leur ai proposé de communiquer par liste de diffusion en en créant une chez framalistes.org, et leur ai proposé un atelier gestionnaire de mots de passe.
Ce que nous avons fait la semaine suivante. Avec un groupe ravi de découvrir le principe et de voir comment exporter ses mots de passe depuis firefox. Les slides de la présentation sont ici: https://slides.com/tykayn/gestionnaire-de-mots-de-passe . C’est très pratique slides.com, ça permet d’éditer des présentations en JS et de les exporter. Au départ je pensais que ce n’était que disponible en version payante et en fait non. Bref, un très chouette moment d’échange, d’essais, des questions réponses, de la mise en pratique sur laptop et sur téléphone.
ça m’a permis de pratiquer un peu plus la présentation en live, ce qui est super important quand on souhaite démocratiser la reprise de contrôle sur nos vies numériques, via notamment du logiciel libre et de l’éducation. D’ailleurs si y’a d’autres personnes partantes pour retenter l’aventure ce serait avec joie 🙂
En lieu et place de payer l’adhésion annuelle à l’asso, je leur ai retapé leur site web avec un wordpress et un nom de domaine, le tout en https avec Lets encrypt, reprenant le contenu du précédent.
Nous n’avons pas eu le temps pour que forme l’équipe correctement à wordpress, mais ce sera pour un prochain épisode. N’ayant jamais fait grand chose en Python j’en ai profité pour apprendre deux trois trucs et pratiquer sur repl.io et voir comment faire des tests unitaires en python. « hey mais en fait ça ressemble au CoffeeScript » me disais-je. Oui, bon, sauf que le CoffeeScript s’inspire de Python, créé bien avant 😀
Avant le confinement, l’équipe d’une presque dizaine de personnes se réunissait toutes les semaines, maintenant c’est une autre histoire.
Si vous aimez ce que nous faisons à Cipher Bliss, vous pouvez nous soutenir de plusieurs façons: en faisant un micro don sur liberapay , ou en cryptomonnaies. Le plus simple nous pour nous faire connaître étant de partager cet article. Suivez moi sur Mastodon @tykayn@mastodon.cipherbliss.com. Ce site restera libre comme un gnou dans la nature et sans pubs, parce qu'on vous aime. Que la source soit avec vous!
Pendant 20 ans d’efforts, vous avez été conseillés d’utiliser des mots de passe difficile à retenir par des humains, mais faciles à deviner pour des ordinateurs en une fraction de seconde.
Pourquoi on s’emmerde à faire des mots de passe déjà ?
500.
C’est à peu de choses près le nombre de sites sur lesquels j’ai créé un compte depuis que j’ai commencé à utiliser internet, et c’est très facile de faire monter ce nombre en s’inscrivant par SSO (vous savez, ces boutons qui disent « s’inscrive via google, via facebook, via gitlab, via mastodon« . C’est très probablement sur un nombre similaire de sites web que vous avez un compte perso.
Le web est comme la nuit, sombre et pleine de terreurs, c’est pourquoi vous ne voudriez vraiment pas que n’importe qui accède à n’importe quelle info cruciale vous concernant, vous et vos proches.
Et parfois, avoir un bon mot de passe est le seul rempart entre ce que vous avez de plus précieux et de grosses emmerdes.
Ce n’est pas la première fois que j’évoque le sujet. Il ne se passe pas un mois sans que ne se produise une fuite de données ou la révélation d’une grosse faille de sécurité dans une boite plus ou moins énorme, impliquant des milliers ou des millions de personnes. La sécurité informatique est cruciale, voire stratégique, mais malgré tout ce sont des choses négligées par la plupart des boites et des particuliers. C’est pourquoi la grande majorité des boites mails et des opérateurs téléphones traitent tout ce que vous leur passez comme des cartes postales: vos emails sont lisibles non seulement par le facteur, mais par toute personne ou machine du chemin de votre email. et des points d’arrêts, il y en a des tonnes entre le départ et l’arrivée d’un email, à moins que vous utilisiez quelque chose comme Protonmail, ou Signal pour vos SMS.
La question que vous devriez vous poser ce n’est pas « pourquoi est ce qu’il faudrait que je sécurise mes communications? » mais plutôt « pourquoi est ce que préfèrerai que n’importe qui – voire les pires salauds – aient accès à tout ce que je communique à mes proches et le conservent sans que j’en ai le contrôle ? »
Le crackage de compte ne s’effectue pas en majorité par des types en sweat à capuche qui portent des lunettes noires et écrivent sur un ordi en vert sur fond noir dasn une sombre pièce pour être pas gentil précisément envers quelqu’un (vous), mais par des scripts qui scrutent chaque machine reliée au net (mais pas que) à chaque instant afin d’exploiter leurs vulnérabilités.
C’est pourquoi une fois qu’une faille de compte est découverte sur un site il est très simple de tester automatiquement des milliers d’autres sites avec ce couple identifiant / mot de passe en un millième de seconde.
C’est ainsi que vous subissez une invasion de virus / spywares / une usurpation d’identité / un braquage de vos comptes en banque / une atteinte à votre réputation / la fuite de données médicales et profil psychologique / le vol de vos photos ou de votre graphe social (bien que ce genre d’infos sont souvent données avec joie par les utilisateurs de réseaux sociaux sans qu’ils en comprennent les conséquences)
le web des fois c’est n’importe quoi – ip man et the mask
Les gens n’y sont pas forcément très civilisés, mais la plus grosse faille dans les systèmes informatiques sécurisés ce sont le plus souvent les individus eux mêmes (hacking social). On peut obtenir pas mal d’infos sur vous et vos proches en vous demandant de répondre rapidement ou en vous mettant en situation de stress, ou en vous séduisant.
Il est d’ailleurs très probable que vous ayez déjà fait au moins une de ces erreurs:
utiliser un mot de passe tout pourri facile à retenir mais comportant 5 caractères
utiliser le nom de votre animal de compagnie comme mot de passe
utiliser un seul mot de passe tout pourri sur tous les sites où vous avez un compte.
faire connaître votre mot de passe tout pourri à vos proches, des fois que vous l’oubliez.
exiger de connaître le mot de passe de votre conjoint ou ses codes de carte bleue.
garder les identifiants par défaut sur toutes les machines que vous employez.
utiliser le même mot de passe pourri partout depuis 15 ans.
utiliser votre vrai nom partout.
mettre un disque ou une clé usb que vous avez trouvé par terre à votre ordi sans prendre de précautions.
perdre l’accès à un site sur lequel vous avez un compte.
perdre des fichiers auquels vous teniez juste parce que vous ne les avez pas copiés sur plus d’un disque à la fois.
laisser un ordinateur portable ou un téléphone sans mot de passe de login.
subir un vol d’un ordi ou d’un portable non sécurisé.
donner des informations de carte bleue par téléphone.
communiquer par email ou SMS un mot de passe.
vous faire avoir par du hameçonnage avec un email frauduleux.
ne pas chiffrer intégralement votre disque dur d’ordi grâce à un mot de passe.
Pour toutes ces erreurs, vous aurez beau avoir un système informatique parfaitement bien fait, si les utilisateurs font n’importe quoi, il ne restera pas sécurisé bien longtemps.
De plus, les endroits où l’on est en droit d’attendre un maximum de sécurité ne sont pas forcément les mieux placés sur le secteur et défient parfois tout bon sens en facilitant le travail à n’importe quelle attaque par force brute, rien qu’en mettant une limite ridicule dans la taille et la diversité possible d’un mot de passe.
Sauf que ce genre de chose est une donnée stratégique, et puisque le monde est entièrement connecté, il est aisé d’obtenir des infos cruciales à partir d’infos bénignes. Retenez aussi qu’il est plus facile de vous identifier avec moins d’une dizaine de méta données qu’avec une empreinte digitale.
Ok, vous allez me dire que c’est chiant d’avoir à retenir cinquante mots de passe hyper compliqués, ne serait-ce qu’un seul qui comporte des chiffres et des lettres c’est la galère. Encore plus de devoir les écrire.
Et je suis entièrement d’accord avec vous, c’est pour ça que j’ai adopté une solution qui me permette de résoudre tous ces problèmes de complexité tout en améliorant la sécurité de mes logins.
50 heures, c’est selon Lastpass, le temps moyen par an que passe quelqu’un à rechercher ses mots de passe et à les taper dans des formulaires de login. C’est aussi le temps que vous économisez en ne les tapant pas vous même si vous adoptez un gestionnaire de mots de passe.
Heureusement il existe des solutions très pratiques pour gérer vos mots de passe sans devoir les confier à un tiers auquel vous ne faites pas confiance, ou les écrire sur papier pour les recopier ensuite.
Les solutions à la gestion de mot de passe.
Si vous êtes ici vous avez bien deux minutes pour mettre en place une meilleure gestion de vos mots de passe. Je ne saurais donc que trop vous conseiller d’utiliser un gestionnaire de mot de passe comme Bitwarden (gratuit et autohébergeable dont j’ai contribué à la traduction en Français), Keepass ou Lastpass (payant et centralisé, 9€ par an mais ça vaut carrément le coup notamment pour sa fonction de changement automatisé, propose une offre famille qui fait un prix de groupe pour 6 personnes).
Un gestionnaire de mots de pass c’est BEAUCOUP MIEUX.
C’est capable de créer et de remplir vos identifiants sur demande / automatiquement sur tous les sites web du monde sans avoir à retenir un million de mots de passe différents, tout en étant capable d’utiliser ce genre de mot de passe:
Vous allez donc me dire: Wololo! Mais comment c’est possible d’utiliser tout ça sans avoir à se péter le crâne ?
C’est simple, c’est géré par le gestionnaire de mot de passe qui est intégré à Firefox (ou autre navigateur), qui stocke ces infos dans un fichier illisible jusqu’à ce que je le déverrouille par une phrase de passe. Et une phrase de passe c’est vachement mieux qu’un mot de passe ET plus facile à retenir.
Prenez par exemple cette phrase:
miaou le chat est un boulet qui ronfle
Elle fait déjà un bon paquet de caractères et est donc de fait très longue à deviner par un script qui essaierait toutes les combinaisons de caractères (attaque par force brute). on personnalise un peu, et hop, on a une phrase de pass longue et difficile à deviner, qui mettrait des millions de milliards d’années à être trouvées par un ordinateur capable de faire un trillion d’essai par seconde.
miaow! le chat 3st un boulet qui RONFLE
Sérieusement, prenez dix secondes pour installer un gestionnaire de mots de passe (il suffit de s’inscrire avec une phrase de passe, et d’installer une extension firefox/chrome/autre et vous n’aurez jamais plus besoin de réfléchir à plein de mots de passe différents tout le temps pour chaque site que vous utilisez). Vous gagnerez énormément de temps et d’argent à ne pas avoir à récupérer vos comptes ou à affronter des situations douloureuses pour vous et vos proches (j’insiste) évoquées ci dessus qui vous en prendront bien plus.
Tous les gestionnaires de mots de passe permettent la portabilité, c’est à dire que si vous souhaitez changer de gestionnaire à un moment donné, vous pourrez faire un export / import de vos données. Formidable non ?
Voilà, donc pour faire un premier pas, inscrivez vous sur bitwarden et ensuite ajoutez leur extension firefox/chrome/autre. Puis utilisez l’application mobile (android ou pomme) qui synchronisera vos infos de passe et de notes sécurisées, et proposera de remplir les champs dans les autres applis si vous le lui permettez.
Vous pouvez aussi installer votre coffre fort sur votre ordi pour une utilisation hors ligne.
intéressez vous à l’authentification multi factorielle et activez la. Il existe aussi des clés usb qui permettent de générer des mots de passe à usage unique, qui ne nécessitent même pas de copier ces mots de passe, yubikey étant une marque parmi d’autres.
Si vous aimez ce que nous faisons à Cipher Bliss, vous pouvez nous soutenir de plusieurs façons: en faisant un micro don sur liberapay , ou en cryptomonnaies. Le plus simple nous pour nous faire connaître étant de partager cet article. Suivez moi sur Mastodon @tykayn@mastodon.cipherbliss.com. Ce site restera libre comme un gnou dans la nature et sans pubs, parce qu'on vous aime. Que la source soit avec vous!