PROJET AUTOBLOG


Le blog de Genma

Site original : Le blog de Genma

⇐ retour index

FirefoxOS - Pas de caractères spéciaux pour la phrase de passe

jeudi 1 janvier 1970 à 01:00

Suite à mon article FirefoxOS Localisation, Verrouillage, Effacer à distance, j'ai étudié plus en détail la fonctionnalité de "Protection à distance - Remote Protection".

Dans le paramétrage, dans la partie "Privacy Controls, Remote Protection", les caractères spéciaux ne sont pas autorisés pour la phrase de passe. (C'est cette phrase de passe qui est utilisée pour certaines des fonctionnalités mentionnées dans ce billet).

Estimant qu'il s'agit là d'une erreur, j'ai donc saisi un bug que l'on peut consulter ici https://bugzilla.mozilla.org/show_bug.cgi?id=1137156

La première réponse a été "étonnante". It was a UX decision to not include special characters. It is because the passphrase is sent over the SMS and the special characters "take up" too much space. Or something like that que je traduirais par Cela a été une décision d'expérience utilisateur que ne de pas inclure de caractères spéciaux. C'est lié au fait que la phrase de passe est envoyé par SMS et que les caractères spéciaux "prennent de trop de place". Ou quelque chose comme ça.

Oui les caractères spéciaux dans un SMS ne comptent pas comme un caractère mais comme plusieurs. Mais même si cela nécessite d'envoyer plusieurs SMS (en découpant la phrase de passe en morceaux), il est, pour moi, important, voir obligatoire de pouvoir mettre des caractères spéciaux dans la phrase de passe.

Car même si celle-ci est d'une longueur acceptable ou suffisante, le fait que ce ne soit qu'une combinaison de caractères choisis parmi les 26 lettres de l'alphabet européen limite grandement le nombre de combinaisons possibles et rend une potentielle attaque par force brute réalisable dans un temps acceptable. (Il faudrait que j'étudie les possibilités d'une telle attaque d'ailleurs).

D'autres ont commencé à réagir en allant dans mon sens (la nécessité de pouvoir avoir des caractères spéciaux dans la phrase de passe), affaire à suivre donc (en s'abonnant par mail au bug par exemple).

Sur les phrases de passe et mots de passe, à lire également :
- Sur la sécurité des mots de passe
- Les phrases de passe

Café vie privée samedi 14 mars chez Mozilla

jeudi 1 janvier 1970 à 01:00

Comme indiqué sur la page de l'agenda du libre Le samedi 14 mars 2015 de 14h00 à 18h00 dans les locaux de Mozilla, au 16 bis bd Montmartre Paris Île-de-France (Métro ligne 8 Grands boulevards).

Sonner sur l'interphone (chercher Mozilla), entrée, deuxième porte à droite, monter à l'étage et se présenter à l'accueil sur la droite.

Un pseudonyme (pour compter le nombre de personnes présents pour des raisons de sécurité) sera demandé.

Au programme :
- une conférence sur le Modèle de Menace
- une présentation du projet peerstorage.org
- atelier d'initiation au système Tails (https://tails.boum.org/)
- Autres ateliers, selon intervenants présents

Une piratebox sera présente pour diffuser quelques documents sur un réseau wifi local dédié.

Pour toute question, contactez moi

FirefoxOS 2.2 et Geolocalisation

jeudi 1 janvier 1970 à 01:00

Sous FirefoxOS, la Géolocalisation est activable /désactivable directement dans le paramétrage.

La version 2.2 apporte un certain nombre de fonctionnalités et de réglages plus avancées dans une optique de respect de la vie privée.

Pour un réglage plus fin, élaboré

Dans la Partie Paramètres, Section Vie privée et sécurité, Entrée Privacy Controls, on a un nouvel écran Privacy Controls.

On choisit l'entrée, Précision de la position

Dans l'écran Précision de la position "Location Accuracy", on peut à nouveau choisir d'activer ou de désativer la géolocalisation. Si active, l'option "Location adjusment" celle-ci Permet d'ajuster pour toutes les applications le niveau de précision global de votre position actuelle, de définir une position fixe permanente et d'ajouter des exceptions par applications

Les choix possibles ;
- Position précise,
- Aucune position,
- Position approximative,
- Position personnalisée : on définie une ville (choix de la région et de la ville) ou des coordonnées GPS.

Dans les exceptions, on ajuste la position pour chaque application selon l'un des choix possibles cités ci-dessus (cela remplace le type de position/le choix de la précision définie par défaut).

J'ai testé un peu. Quand on est en position précise, on est bien géolocalisé dans l'application Here Maps. En position approximative ou aucune position, l'application ne trouve pas où l'on se trouve. Reste à tester une position personnalisée. Le téléphone permet toujours via sa puce GSM d'indiqué où on se trouve (logique) mais les applications ne peuvent pas utiliser cette information. Cela peut être utile.

NipCoin, un podcast autour des crypto-monnaies

jeudi 1 janvier 1970 à 01:00

Présentation du podcast

Pourquoi NipCoin : Voici une proposition de Podcast dans la galaxie NipCast autour des crypto-monnaies. Pourquoi un podcast francophone sur un sujet aussi pointu ? Nous pensons assister à l'émergence d'une technologie qui aura un impact énorme sur nos vies et plusieurs membres du PodCast NipCast sont absolument passionnés par ce thème. L'équipe de Podcasteurs NipCast souhaite donc participer, à notre manière, à cette aventure décentralisée, en partageant, en vulgarisant des concepts et en essayant de comprendre les opportunités mais aussi les limites des crypto-protocoles. Vous retrouverez le seul podcast français à parler de Crypto, de Bitcoin et autre AltCoins, le tout dans la bonne humeur légendaire de NipCast.

Disponible sur le site http://nipcast.com/category/nipcoin/

La critique de Genma

La description correspond bien au contenu du podcast. L'équipe de podcasteurs est constitué d'habitué du podcast (ils en font tous d'autres chez Niptech) et ils sont donc à l'aise avec l'exercice de parler et d'expliquer différents sujets. Chaque émission est soigneusement préparée et ça se ressent : il y a un plan, c'est construit, chaque intervenant parle à tour de rôle... Ce sont là des points à souligner et qui font la qualité de ce podcast.

J'ai découvert ce podcast récemment et ils en sont déjà à une bonne quinzaine d'épisodes au rythme d'un tous les 15 jours. D'une durée d'une demi-heure environ par épisodes, le rattrapage du retard se fait assez rapidement. Je recommande une écoute dans l'ordre de diffusion, car la courbe d'apprentissage du domaine va en avançant. Episode après épisode, on en apprend toujours plus sur le principe de fonctionnement, sur les logiciels, les technologies, les usages autour de ces crypto-monnaies.

La volonté de vulgarisation est bien là même si certaines notions/mots de vocabulaires sont des prérequis (savoir ce qu'est une clef publique/clef privée, un hash, un protocole, mais on ne peut pas tout expliquer/vulgariser).

Si vous voulez découvrir le monde des crypto-monnaies de façon ludique et abordable, je recommande fortement l'écoute de Nipcoin/.

Dans le même genre, mais en version écrite, il y a toujours les écrits de Spyou disponible sur Comment ça marche les bitcoins - http://blog.spyou.org

Des mots de passe que l'on utilise au quotidien...

jeudi 1 janvier 1970 à 01:00

Régulièrement (environ tous les 3 mois), sur mon PC professionnel, je suis amené à changer de mot de passe, car tel est la politique de sécurité qui a été défini. Le mot de passe doit être de 8 caractères minimum, avec des majuscules et minuscules, et des chiffres. Comme c'est un mot de passe que je dois taper tous les jours, plusieurs fois par jour (l'écran de veille verrouille la session quand je quitte mon poste), je mets un mot de passe que je qualifierai de simple. Comprendre par là un mot de passe qui est facile à taper, que je retiens et dont j'ai l'habitude...

Le problème est là : l'habitude. J'utilise un mot de passe qui n'est pas unique, que j'utilise à d'autres endroits, en particuliers sur des sites webs.

Je sais que ce n'est pas bien. Peu à peu, je change tous les mots de passes des comptes que j'utilise au quotidien (réseaux sociaux, mails), en adoptant un mot de passe unique pour chacun. Mais tous sont construits selon la même logique. J'ai trouvé une méthode pour m'en rappeler mais même si le mot de passe en lui-même est complexe, la méthode est simple et si on la trouve, on peut deviner une bonne partie de mes mots de passe. Pour illustrer ça imaginons que la racine des mots de passe est toto. On peut faire FacebookToto1234%, LinkedinToto1234%, TwitterToto1234%. Cela constitue des mots de passe solides. Mais si quelqu'un trouve le motif et la logique derrière la construction du mot de passe, il a tous les mots de passe... Dans la réalité, c'est plus complexe, mais l'idée est là.

Pour en revenir au PC professionnel, si je ressaisis un mot de passe déjà utilisé précédemment, j'ai un message qui me demande d'en choisir un autre. Il y a donc un enregistrement de ces mots de passe et je n'ai aucune idée ni aucune confiance sur la façon dont stockés ces mots de passes (en clair ? ou chiffré/hashé avec un peu de sel par dessus ?).

Ajouter à ça le fait que, passant par un proxy, si le proxy de l'entreprise fait du man in the middle/homme du milieu en remplaçant les certificats SSL, il peut très bien voir les mots de passe des connexions https et les enregistrer. Ce n'est pas le cas, j'ai vérifié les certificats, mais dans le principe, c'est un risque en plus...

Autre problème avec les mots de passe, il y a le fait que pour qu'elle soit facile à retenir (mais néanmoins complexe), ma clef Wifi est composée/est la concaténation de différents mots de passe que j'utilise de façon habituelle. Dans un certain ordre. Donc à chaque fois que je saisis la clef Wifi sur appareil mobile et que je l'autorise à se connecter, je répands un peu plus des mots de passe dans la nature...

De même, Mme Genma connait mes mots de passe "par défaut" (Pour le cas où, pour une raison ou une autre, elle a besoin d'avoir accès à un compte, dans le cas de la gestion de mon testament numérique par exemple) et les utilise elle-même pour ces comptes. Avec le même mot de passe pour différents comptes. Nous partageons le même réseau et la même IP, donc cela présente un risque supplémentaire.

Je dois sérieusement me pencher sur toute cette problématique, revoir tous mes mots de passe et faire en sorte qu'il y ait un mot de passe différent par compte, que ce soit pour les comptes Internets, pour les comptes utilisateurs de mes différents PC, pour mes clefs de chiffrements, mes conteneurs TrueCrypt.

Une solution que j'envisage ? Keepass pour stocker tout ça. Avec une passphrase assez longue pour sécuriser le tout. Rien n'est parfait, la problématique est complexe et j'ai pas mal de travail. Ce projet de gestion des mots de passe en est donc un à part entière...