Comme l'a dit @swiftonsecurity (un compte Twitter en anglais utilisant comme avatar Taylor Swift la chanteuse pop pour parler de sécurité informatique) "L'Infosec, c'est essayer d'éloigner les hackers de vos photos dénudées. L'OPSEC c'est de ne pas les prendre du tout".

Infosec ? Opsec ? Quèsaco ?

Commençons par une définition

Infosec : La sécurité de l'information est un processus visant à protéger des données. La sécurité de l'information n'est confinée ni aux systèmes informatiques, ni à l'information dans sa forme numérique ou électronique. Au contraire, elle s'applique à tous les aspects de la sûreté, la garantie, et la protection d'une donnée ou d'une information, quelle que soit sa forme. Sécurité de l'information

Opsec : OPSEC ou Sécurité opérationnelle est une méthode pour se prémunir des risques que peut courir une structure si des informations sensibles sont acquises par des adversaires à cette structure. Source - Wikipedia - OPSEC

Je trouve que du coup, l'image qu'utilise SwiftOnSecurity est plus simple à comprendre, non ?

De l'hygiène numérique à l'autodéfense numérique

Hygiène numérique

L'hygiène numérique, c'est ce que je présente dans ma conférence ou mon petit guide d'hygiène numérique. A savoir des règles simples, qui sembleront être de bon sens pour beaucoup d'informaticiens, mais qui ne sont que trop peu souvent appliquées par le grand public, voir ignorées ou non connues de la majorité des utilisateurs d'un outil informatique (que ce soit un PC, un smartphone...) Ce sont des règles comme faire les mises à jour, utiliser (et comprendre ce qu'est un bon mot de passe)...

De la même façon que l'on a appris des règles d'hygiène de base (comme se laver les mains), l'hygiène numérique, c'est comment éviter la gastro-informatique. C'est par cette phrase que je commence chacun de mes conférences.

Je vous renvoie vers tous les billets et ma conférence sur le sujet.

Mais il arrive parfois (même souvent) que l'on ait des informations personnelles, confidentielles. Voir VRAIMENT confidentielles. Mon conseil dans ce cas est de commencer par définir ce qu'est son modèle de menace.

De l'hygiène numérique à l'autodéfense numérique

C'est lors d'un Café vie privée qu'a été évoqué cette définition. Pour moi, la spécificité d'un Café vie privée, c'est de pouvoir aller de l'hygiène numérique à l'autodéfense numérique.

Si je reprends mon parcours personnel, j'ai commencé en bloquant les publicités intrusives avec Adblock dès la sortie de cette extension. Puis j'ai appris comment fonctionnaient les régies publicitaires et le tracking effectué de site en site. J'ai toujours été sensible à la gestion de mon identité numérique. Comme apprendre l'informatique m'intéressait, puis plus particulièrement la sécurité, j'ai appris l'importance des mises à jours, d'un mot de passe. Puis le chiffrement, l'anonymat en ligne... J'ai progressé dans beaucoup de ces domaines, montant en connaissances et compétences.

L'autodéfense numérique, c'est ce qui est à l'opposé de l'hygiène numérique. En fait, ce n'est pas vraiment en opposition, ce n'est pas non plus un complément. L'hygiène numérique, tout le monde doit se l'approprier. L'autodéfense numérique, c'est au cas par cas.. Dit autrement, l'hygiène numérique ce sont les règles que j'estime que tout le monde devrait connaître et appliquer. L'autodéfense, ce sont des règles spécifiques et complexes qu'il faut appliquer au cas par cas et selon les besoins, selon le modèle de menace (on y revient encore).

Quand on voit la technicité de certains points, le côté technique et la la nécessité de passer du temps pour s'approprier des outils comme Tor si on veut bien faire les choses (car il est facile d'installer le Tor Browser et de le lancer, mais il est tout aussi facile de faire n'importe quoi ensuite de perdre tout l'intérêt de passer par Tor), ce n'est pas donné à tout le monde et ce n'est pas fait pour tout le monde.

Ce n'est pas pour rien que le Guide d'autodéfense numérique porte ce nom. Et n'est pas aussi accessible et vulgarisé (la vulgarisation entraîne des simplifications nécessaires et des erreurs potentielles liées à interprétation que l'on fait alors en s'appropriant la connaissance) que peut l'être livre de Tristan Nitot, Surveillance (très bon ouvrage que je recommande dans mes sessions sur l'hygiène numérique).

Le lien avec Infosec et OPSEC

Pour en revenir au début et boucler la boucle dans la conclusion de ce billet, l'Infosec ce serait quelque part de l'hygiène numérique, car il y a la notion de protection. Et l'OPSEC c'est quelque part de l'autodéfense numérique car il y a la notion d'adversaire.

Dans le présent billet, je voudrais parler de ce qui doit faire partie des bases de l'hygiène numérique et qu'il faudra donc que j'ajoute dans mes conférences, à savoir la manipulation que peuvent faire les différents sociaux et en particulier Facebook sur notre perception du monde.

Tout part d'une réflexion entendu dans le RER "Je l'ai lu sur Facebook, ce que mettent les gens que Facebook c'est vérifié donc c'est vrai...". S'en est suivi un "Les médias sont manipulés par le gouvernement" pour justifier que les sources d'informations traditionnelles comme la télévision ne sont pas fiables et justifier que la source d'information soit Facebook dont je le rappelle les informations sont vérifiées.

Facebook et la bulle de filtre

Je pense que les lecteurs de ce blog sont familiers avec la notion de bulle de filtre, la manipulation que peut faire et fait Facebook en choisissant ce qui est mis en avant sur le mur. Pour vous en convaincre ou pour avoir une démonstration, je vous renvoie vers cet article (parmi tant d'autres) J'ai testé les algorithmes de Facebook et ça a rapidement dégénéré qui explique ça en suivant une démarche scientifique.

Notre propre bulle de filtre

Là où je veux en venir, c'est que nous même, en sachant la manipulation que fait Facebook, nous sommes nous-même dans une bulle de filtre.

J'avais noté dans un fichier texte cette simple phase Le navigateur intégré dans l'App Facebook est maintenant le principal navigateur sur smartphones. À méditer. Cette simple phrase montre bien que les usages de la majorité des personnes qui vont sur Internet ne sont pas les mêmes que moi qui ai un navigateur, Firefox, avec un certains nombres d'extensions, qui est mon propre serveur de cloud autohébergé... Pour beaucoup de personnes, Internet se résume donc à Facebook.

Par conséquence, moi qui suis sur Internet depuis bientôt 20 ans, qui suis geek, libriste, je suis moi-même enfermé dans ma propre bulle filtrante, vu que j'ai un usage d'Internet qui est fort différent de la plupart des personnes.

Que faut-il faire ? A quoi faut-il sensibiliser ?

Je pense qu'il est important d'avoir soi-même - et de faire comprendre le fait qu'il faille avoir - un regard et un esprit critique, qui est nécessaire de se faire son propre avis, en multipliant les sources.

Ce qui nous semble évident ne l'est pas pour beaucoup de personnes. Il faut donc expliquer les bases de l'hygiène numérique, faire comprendre sans que la personne se sente juger (voir à ce sujet ma conférence sur comment parler au grand public). Il faut expliquer les manipulations que fait Facebook, l'aisance avec laquelle il est possible de retoucher ou modifier une image ou une vidéo, qu'un texte peut très facilement aller dans le sens d'un propos ou d'un autre...

Il faut également sensibiliser à se trouver des sources fiables et de qualité, au fait que l'on peut faire confiance au travail de journalistes d'investigation.

En conclusion

Il faudra que j'ajoute dans ma liste de projets un support dédié à cette sensibilisation autour de Facebook. Il faudra que je fasse un travail de recherche, que je synthétise tout ça... Bref, y a du travail, des heures et des heures en perspective.

Les RPLL (Rencontres Professionnelles du Logiciel Libre) se dérouleront les 4 et 5 Juillet 2017 à Saint-Étienne (42) de 9h à 18h à l'Usine des Forces Motrices. Les RPLL se dérouleront donc en même temps et sur le même lieu que les RMLL2017 (Rencontres Mondiales du Logiciel Libre). Ces Rencontres Mondiales démarrent le samedi 1 juillet jusqu'au vendredi 7 juillet et proposent un grand nombre de manifestations, concerts, échanges, agoras, ateliers, conférences ainsi qu'un village associatif (bâtiment à coté des RPLL).

Le salon s'adressent donc aux entreprises (TPE, PME, PMI, ETI, Grandes entreprises), collectivités, associations, universités et écoles qui trouveront des réponses à l'ensemble de leurs besoins numériques, techniques et fonctionnels.

https://www.rpll.fr/

Je serai présent aux RPLL et uniquement aux RPLL, sur le stand de l'entreprise qui m'emploie, à savoir Linagora. Je ne pourrais malheureusement pas, par contrainte professionnelle, assister à l'ensemble des RMLL. Mais ces deux jours seront peut être l'occasion de se revoir ou de se rencontrer pour les personnes qui seront sur place ?

Je serai également à la conférence Hébergements et maîtrise de ses données, c'est mieux de savoir ! (hyb/RPLL) 14h 5/07 (durée : 1h)Auditorium J022 - St Etienne Telecom pour représenter mon entreprise ! (Sous ma véritable identité, je remplacerai mon collègue initialement prévu)
Pitch : De plus en plus de données et fonctionnalités sont fournies par des prestataires de tous horizons. La problématique est déjà abordée pour la société civile avec les questionnements relatifs aux GAFA.Ces questions sont tout aussi importantes et stratégiques pour l'univers professionnel et les administrations, que ce soit en tant que "consommateur" ou "fournisseur".
En tant que consommateur, nous rencontrons de plus en plus de solutions hébergées (cloud, Sass, ....) qui couvrent un large éventails de services (stockage de données, CRM, téléphonie, ....) Comment savoir ce qui est fait de toutes nos données ? En tant que fournisseur, les ENL proposent des alternatives mais en pratique qu'est ce qui les différencient des autres prestataires ?

De plus, si vous souhaitez changer de poste - trouver un un nouvel emploi, ce pourrait être l'occasion de discuter des postes ouverts au sein de mon équipe, de me présenter votre CV et de faire un entretien technique...

Sur ce que j'attends des candidat.e.s ? Voir à ce sujet mes billets :
Je suis chef d'équipe ; tu nous rejoins ?
Où sont les passionné.e.s ?

Un communiqué de presse reçu...

Il y a quelques jours, j'ai reçu le communiqué de presse suivant, à propos d'une application que lance Crucial, la marque qui fabrique, entre autre des SSD.

En quelques mots, l'application lancée par Crucial permet de faciliter l'installation d'un SSD et supprime tous les termes techniques pouvant effrayer les non-initiés. Désormais, il est possible d'installer un nouveau SSD en moins de 15 minutes, en suivant simplement les instructions de l'application web.

Charger ses fichiers et ses applications sur un SSD se fait d'une traite, aussi simplement qu'allumer ou éteindre une lumière. Pour toutes les tâches quotidiennes, les SSD sont en moyenne six fois plus rapides que les disques durs classiques. La nouvelle application rend tous ces avantages plus accessibles pour les personnes craignant de démonter eux-mêmes leur ordinateur. Fini le jargon, place à un processus d'installation très simple illustré par des textes et des vidéos.

N'hésitez pas à faire vous-même le test ! Il suffit de nous contacter en nous donnant les caractéristiques de votre machine, et nous vous ferons parvenir un SSD pour l'installer ensuite grâce à l'application web compatible mobile de Crucial http://www.crucial.fr/fra/fr/installation-ssd

Un billet sponsorisé ?

Avec une proposition de tester le dernier modèle de SSD de la marque. J'ai donc répondu de façon favorable à cette demande de billet sponsorisé et quelques jours plus tard, je recevais un SSD "Crucial 525GB MX300". En échange du présent billet que je me suis engagé à rédiger avec un lien vers le site ee Crucial, j'ai donc reçu et pu garder un SSD. Si je précise tout cela, c'est par soucis de transparence.

N'ayant que des machines sous Linux (Ubuntu pour la plupart) et cela a son importance, mon test devrait quelque peu changer des éventuels autres billets de blogueurs qui auraient reçu ce même cadeau. ;)

Avant d'avoir une réponse favorable, j'ai été invité à tester via un site en ligne qui propose l'"Outil Scanner Système Crucial". Un programme pour Windows... Que je n'ai pas pu lancer. Mais comme je suis geek, une recherche rapide m'a confirmé que ce modèle était un modèle standard, du SATA, au format 2"5 pouces.

J'ai également regardé le site pour lequel je dois faire un lien. Je trouve l'idée originale, mais pour quelqu'un comme moi qui sait ouvrir un PC portable et y mettre un SSD, ce type de tutoriel n'est pas très utile. Surtout toute la partie qui invite à installer un logiciel pour cloner ses données... Un logiciel non libre, soumis à licence (vu qu'il faut rentrer un code fourni avec le SSD lors de l'achat). Bref, je ne suis pas la cible de ce type d'outils.

Par contre, pour le SSD en tant que matériel, c'est autre chose.

Mon test

Dans le PC portable que j'ai, un HP probook G3, il y a un emplacement pour un SSD M-SATA. Et il y avait un emplacement SATA 2"5 pouces de libre. Ca tombe bien. Au démarrage du PC, SSD reconnu sans soucis. Non partitionné, non formaté, j'ai utilisé GParted pour créer une seule et unique partition GPT et la formater en ext4. Le SSD offert se voulant comme étant un SSD haute performance, j'ai lancé différentes séries des mêmes tests sur un SSD puis l'autre et voici les résultats les plus probants. Il est ainsi possible de comparer, via les outils fournis en natifs par Ubuntu dans l'utilitaire de disque, les performances entre le SSD fournit par défaut avec la machine et celui que Crucial m'a offert.

Sandisk M-Sata

Crucial MX300

Sandisk M-Sata

Crucial MX300

Attention vitesse sur courant et sur batterie

Le SSD Crucial MX300 n'a pas les mêmes performances que l'on soit sur batterie ou sur courant, comme indiqué dans le forum (en anglais) ici : Askubuntu.com - SSD Fast is now extremely slow

Cela est lié à la gestion de la consommation électrique.
It appears that Linux or laptops in general (verified on both Lenovo and Dells) default to APM level 80h (128) when booted on battery and FEh (254) when booted on AC power.

For most SSDs, you won't notice much difference. Lite-on SSDs seem to not support power management at all and always run at max speed. Intel SSDs seem to run at about 75% full speed at APM level 128, and 100% speed at APM level 254/255. Crucial SSDs however seem to run at about 6% full speed at APM level 128 (booted on battery) when compared to APM level 254 (booted on AC power).

Sur batterie

Sur secteur

Dans le cas du SSD Crucial MX300, on passe de 30 Mb/Sec sur batterie à 480 Mb/Sec sur secteur soit un facteur 12. A prendre en compte pour les tests et usages au quotidien...

A l'usage au quotidien

La machine n'a pas perdu en temps de disponibilité sur batterie, du moins ce n'est pas suffisamment sensible pour que je vois la différence. Les SSD ne sont pas connus pour être des disques ayant une forme consommation de courant, c'est quelque peu normal.

L'espace de stockage, un peu de plus de 500 go, est appréciable et me permet de pouvoir créer et conserver quelques machines virtuelles dont j'ai besoin pour différentes choses. Il faudra que je vois sur plusieurs jours et semaines si je vois une différence sensible sur des utilisations d'un SSD ou de l'autre.

Pour finir, voici quelques photos de l'unboxing du SSD :

D'autres informations ?

Si vous souhaitez avoir d'autres avis sur ce type de SSD,
Cédric du podcast vidéo GeekInc avait fait une vidéo de 2"30 mise en ligne sur le site de l'ami Korben

Dans des billets intimistes que j'ai écris au cours des années, j'ai parlé de différents membres de ma famille, de mon père, des mes grand-parents, de ma soeur... Dans celui-ci, je voudrais parler de ma maman. Ma maman, a 59 ans, prépare une validation des acquis de l'expérience (VAE). En effet, ma maman est auxiliaire de vie et s'occupe de personnes âgées. Et pour pouvoir continuer à exercer son métier pendant les quelques années qui la sépare de la retraite, ma maman doit passer un diplôme Cela se fait par un dossier de demande de VAE, soit une validation des acquis de l'expérience.

Ma maman est issue d'un milieu modeste. Née dans un milieu rurale très pauvre d'un pays de l'est en pleine aire communiste, le destin l'a fait rencontrer mon père un peu par hasard (c'est une autre histoire que je raconterai peut-être un jour) dans les années 70. Elle a quitté le lycée et s'est mariée, est venu en France et je suis né. Ma maman n'a donc pas fait d'études, a appris le français sur le tas. Elle en a gardé un petit accent et une façon de prononcer certains mots d'une façon un peu particulière. C'est en passant du temps avec moi, à m'aider à faire mes devoirs durant mes années d'école primaire qu'elle a appris toutes les règles de grammaire et d'orthographe de la langue française.

Ma maman est une personne courageuse et surtout travailleuse. Elle ne compte pas ses heures, ne rechigne jamais au travail et toute personne qui connaît le métier d'auxiliaire de vie sait à quel point ce peut être un métier difficile et ingrat. Il faut de la patience, de la psychologie, prendre sur soi. On est amené à travailler avec des personnes très âgées, en fin de vie, avec tous les soucis que cela comporte : incontinence, maladie de tout genre (cancer, Alzheimer, AVC...). Les personnes âgées se rendent compte de leur état, le vive mal et de ce fait ont du caractère... Il faut savoir rester professionnel.

Ma maman n'a pas de diplôme mais a suivi de nombreuses formations, avec assiduité et intérêt. Elle ne demande qu'à apprendre, à en savoir plus. Elle a passé des diplômes de secourisme... Elle aime aider les autres, se sentir utile. Elle en a besoin. Son métier représente beaucoup pour elle. Quand elle a eu le dossier de VAE, elle s'est sentie perdue. Le vocabulaire, les tournures de phrases, les questions lui demandant d'expliquer et d'expliciter, de donner des exemples pour répondre à des fondamentaux de son métier, pour valider ses acquis... Tout cela, elle n'est pas à l'aise avec ça. Ce phrasé, ce n'est pas elle. Ma maman aime beaucoup lire et dès qu'elle le peut, elle lit des romans de toute sorte, mais elle n'est pas à l'aise avec l'expression orale. Elle reste une personne issue d'un milieu très modeste, très humble, et toutes ces expressions et théorisation de son métier, ce n'est pas elle.

Alors nous avons passé des heures et des heures, chaque dimanche, à préparer son dossier, ensemble. Je lisais la question, lui expliquais ce qui était attendu, la questionnait pour lui faire parler de son expérience et obtenir une réponse correspondant à ce qui était attendu. Elle me formulait ça avec ses mots, je prenais en note. Puis je lui demandais de rédiger, je l'aidais à organiser sa pensée pour qu'elle rédige les réponses. Le but était qu'elle s'approprie le dossier, qu'il soit issu de son travail, vu qu'elle aura un oral à passer ensuite au cours duquel elle sera interrogée sur ses motivations et son expérience.

Ma maman est professionnelle, elle sait ce qu'il faut faire, elle sait gérer des situations difficiles ou d'urgence. Mais elle ne sait pas exprimer tout ça. Elle sait le faire. Mais rédiger tout ça, ce n'était pas facile pour elle. Elle voulait bien faire, elle voulait faire de son mieux et donc elle en a mal dormi, était stressée et cela a conduit à des situations de tensions entre elle et moi. Ces fois où on a tout arrêté, pour mieux reprendre la semaine suivante et poursuivre.

Son acharnement a payé. Le dossier de 40 pages est fini. Elle a su répondre aux différentes questions, apporter des exemples parlant de son quotidien pour montrer que oui, elle a ces fameux fondamentaux, elle a ses compétences pour ses différents socles... Ma maman est tout sauf démonstrative, on n'est pas comme ça dans la famille. Mais son simple regard et son merci une fois le dossier fini vaut tous les je t'aime du monde.

Par ce billet qu'elle ne lira pas, je voulais témoigner de toute l'admiration, du respect et de tout l'amour que j'ai pour ma maman. Et je réalise qu'on ne dit jamais assez à ceux qu'on aime au combien on tient à eux. Alors je profite du fait que Belle-Maman est lectrice de ce blog pour lui faire passer le message qu'elle est comme une seconde maman pour moi.