J'ai vu un post Linkedin passé qui met en avant l'annonce/article suivant : WordPress 6.8 will use bcrypt for password hashing, associé au commentaire suivant
En commentant (je cite le post en entier)

RIP la bonne vieille "astuce" de réinitialisation de mot de passe via PHPMyAdmin. Avec la version 6.8, WordPress remplace le vieil algorithme de chiffrement MD5 par bcrypt, proposant de meilleures garanties de sécurité.
Ça va avoir un effet annexe, celui de ne plus permettre de réinitialiser un mot de passe perdu en passant directement par PHPMyAdmin et en enregistrant le nouveau mot de passe en MD5, astuce bien connue des forums… mais carrément pas super secure en terme de procédure… Un mal pour un bien !

Utilisateur de SPIP, je me suis posé la question de ce qu'il en est...

# Et côté SPIP ?

La section suivante a été rédigée à base de l'IA Mistral (c'est assumé, je teste l'IA en question)

Début du texte généré par IA

Dans le CMS SPIP, les mots de passe sont stockés de manière sécurisée en utilisant un mécanisme de hachage avec un sel (salt). Voici comment cela fonctionne :

1. Fonction de hachage : SPIP utilise la fonction de hachage password_hash() de PHP, qui est une fonction sécurisée et recommandée pour le hachage des mots de passe. Cette fonction utilise l'algorithme bcrypt par défaut, mais peut également utiliser d'autres algorithmes comme Argon2 ou scrypt, selon la configuration du serveur.
2. Utilisation du sel : La fonction password_hash() génère automatiquement un sel unique pour chaque mot de passe. Ce sel est inclus dans le hachage final, ce qui signifie que même si deux utilisateurs ont le même mot de passe, les hachages stockés en base de données seront différents. Cela renforce la sécurité en rendant plus difficile les attaques par table arc-en-ciel (rainbow table attacks).
3. Stockage en base de données : Le hachage du mot de passe (qui inclut le sel) est stocké dans la colonne pass de la table spip_auteurs. Lors de la vérification du mot de passe, SPIP utilise la fonction password_verify() de PHP, qui prend en compte le sel inclus dans le hachage pour vérifier si le mot de passe fourni correspond au hachage stocké.

Le mécanisme de hachage des mots de passe utilisant password_hash() et password_verify() a été introduit dans SPIP à partir de la version 3.1, sortie en 2015. Avant cette version, SPIP utilisait une méthode de hachage différente, basée sur l'algorithme MD5 avec un sel. La fonction d'aléa dans le stockage des mots de passe dans le CMS SPIP est apparue avec la version 3.0, sortie en 2012. Cette mise à jour a introduit l'utilisation de "sels" (salts) pour renforcer la sécurité des mots de passe stockés, en ajoutant une composante aléatoire au processus de hachage.

Avec la version 3.1, SPIP a adopté les fonctions de hachage de mot de passe de PHP, qui sont plus sécurisées et conformes aux meilleures pratiques de sécurité modernes. Cette mise à jour a permis de renforcer la sécurité des mots de passe stockés en base de données et de mieux protéger les utilisateurs contre les attaques potentielles.

Fin du texte généré par IA

Avec la 4.1 sortie en 2022 il est apparu un mécanisme complémentaire au salage, le poivrage :
https://blog.spip.net/Sortie-de-SPIP-4-1-0-rc.html, dans toute la section "Poivre, sel & hash du mot de passe "

De nouveau, on demande un peu d'info à l'IA

Début du texte généré par IA

Dans le contexte de SPIP, le "poivre" (ou "pepper" en anglais) est une technique de sécurité supplémentaire utilisée en complément du sel (salt) pour renforcer la sécurité des mots de passe hachés. Voici comment cela fonctionne :

Sel (Salt) : Le sel est une valeur aléatoire unique générée pour chaque mot de passe. Il est stocké avec le hachage du mot de passe et est utilisé pour empêcher les attaques par table arc-en-ciel. Le sel est spécifique à chaque utilisateur.

Poivre (Pepper) : Le poivre est une valeur secrète qui est ajoutée au mot de passe avant le hachage, mais contrairement au sel, le poivre n'est pas stocké avec le hachage du mot de passe. Il est stocké de manière sécurisée dans la configuration du système ou dans un fichier séparé, et il est le même pour tous les utilisateurs. L'idée est que même si un attaquant obtient accès à la base de données des mots de passe hachés, il ne pourra pas reconstituer les mots de passe sans connaître le poivre.

L'utilisation du poivre ajoute une couche supplémentaire de sécurité, car un attaquant devrait non seulement obtenir les hachages des mots de passe, mais aussi le poivre secret, ce qui rend les attaques beaucoup plus difficiles.

Fin du texte généré par IA

Fla (@fla@mastodon.social) membre de Framasoft, contributeur de Diaspora, a prit l'initiative de créer une affiche /liste de solutions alternatives qui est librement disponible sous licence public domaine CC-0.

L'objectif est donc de disposer d'une affiche (que l'on peut imprimer, adapter, modifier, redistribuer...) proposant des solutions alternatives aux services privateurs.

Son approche est pragmatique, la liste des solutions est celle que Fla considère "comme vraiment prêtes à être utilisées. Le but est de vraiment de faire migrer le plus possible de personnes, donc en favorisant l'expérience utilisateur (est-ce que le service s'utilise facilement, est-ce qu'il y a des gens dessus et donc un intérêt...) plutôt que la perfection, sinon on aurait une liste assez différente".

Et comme il le dit dans un de ses messages, avec lequel je suis également en accord

Et si vous ne deviez retenir que deux actions à faire : remplacez Chrome/Edge par Firefox (avec l'extension uBlock origin), et installez l'application de messagerie Signal.

– Source PDF : https://diaspora-fr.org/alternatives.pdf
– Source LibreOffice : https://diaspora-fr.org/alternatives.odg

Disclaimer : cet article est écrit à titre personnel, sans droit de regard de quiconque. Vous comprendrez le Pourquoi de cette phrase en le lisant ! ;-)

# Introduction

C'est lors du salon Opensource Experience en décembre dernier (2024), tenant le stand de l'entreprise qui m'emploie que j'ai rencontré l'équipe qui anime le podcast vidéo de Centreon, "Tout est sous CTRL" (CTRL correspondant à contrôle, comme la touche du même nom sur les claviers).

# Présentation du podcast

Animé par Vincent UNTZ, CTO chez Centreon, le concept est assez simple : un ou deux invité, un fil rouge qui est le domaine de l'opensource, un sujet, un fil conducteur et s'en suit alors une discussion libre.

Différents sujets ont déjà été abordés :
– IT, OT, Sécurité et Supervision
– L'IA en Supervision IT : Histoire, Applications & Perspectives
– Open Source : Histoire, IA et Rôle des Communautés

Ce podcast est disponible en deux formats :
– vidéo, filmé en studio, avec un peu de montage pour que ce ne soit pas monotone,
Disponible en vidéo sur Youtube
– au format audio (podcast) sur différents canaux dont Spotify

J'aime beaucoup le ton, le rythme et l'ambiance de ce podcast. J'ai personnellement regardé l'ensemble des vidéos déjà disponible en ligne et je vais suivre les prochaines publications. Cela me permettra de compléter ma veille sur le domaine de l'open source que je fais à titre personnel et professionnel.

# Centreon & l'open source

Je connais Centreon depuis de nombreuses années, j'ai été amené à faire une ou deux missions techniques sur ce logiciel.

De ce que l'on peut voir de l'extérieur, Centreon affirme et revendique son aspect open source, joue le jeu autant que possible en conciliant l'ouverture avec les nécessités d'une entreprise, éditeur, qui doit avoir une rentabilité économique. Des versions dites "entreprises" avec des fonctionnalités plus avancées sont disponibles contre achat de licence.

Niveau licence, les nouvelles contributions au projet Centreon sont sous licence Apache 2.0, et sous licence GLP 2.0 pour des raisons historiques pour le code qui a été réalisé avant le passage sous cette nouvelle licence.

Les contributions sont les bienvenues, il y a un Code of Conduct (ce qui est une bonne pratique) pour indiquer les attendus en terme de patchs, codes, remontées de bugs...

Une section du site de Centreon, en anglais, détaille et précise tout ce que veut dire "Open source" pour Centreon.

Enfin, Centreon a une sorte de charte, un <https://www.centreon.com/fr/centreo...> manifesto open source. manifesto qui était affiché dans la cafétéria des locaux de Centreon dans lesquels je suis allé, on est donc au delà du simple effet d'affichage...

# Mon intervention

Dans le cadre de mes activités professionnelles, j'ai été amené à intervenir (sous mon vrai nom, qui est depuis quelques années publique et associé à mon pseudonyme sur Internet) dans ce podcast. J'avais déjà pratiqué ce type d'exercice, je suis ressorti plutôt content de notre prestation. Nous avons parlé du livre blanc sur l'Open source que nous avions édité et distribué gratuitement lors du salon Open source Experience et qui est disponible en PDF sous licence CC BY SA sur le site de l'entreprise qui m'emploie, Opensource Experts.

Pourquoi l'Open Source est plus important que jamais en 2025 | Tout est sous CTRL - EP 5

Si cela vous intéresse, la vidéo est ci-dessous ou accessible via cet URL (pour voir la vidéo en ligne ou via un logiciel qui ne met pas de tracker Youtube par exemple).

#Mes plaisirs

Retrouver l'inspiration pour écrire quelques articles sur ce blog qui ne sont pas de notes hebdomadaires ! Quelques articles déjà publiés, d'autres à venir dans les prochaines semaines. J'espère que cette motivation va s'ancrer dans le temps et perdurera.

Dans le bilan de la campagne de l'APRIL 2024, parmi les nouveaux adhérents, on peut retrouver... mon nom. Il y a bien longtemps, j'avais été membre donateur de l'APRIL. En revenant professionnellement dans le domaine de l'opensource, il me semblait important d'être en accord avec moi-même et de soutenir l'association qui défend le logiciel libre. J'ai donc adhéré pour incrémenter le compteur des membres de 1 ; plus il y a de membres (pas forcément actif), plus le poids de l'APRIL peut être important dans les enjeux que l'association défend et dans ses combats.

#Vus ou entendus

Je suis quelques chaînes youtube de façon régulière, dont celle d'ArkeoToys (que je suis depuis les débuts). Ce mois ci, c'est la vidéo ArkeoToys - Captain Power : Le Jouet Révolutionnaire des Années 80 ! qui retient mon attention. Elle met en avant une série qui m'a marqué (j'ai eu quelques jouets), série que j'ai pu revoir il y a quelques années en VO (des RIP du coffet DVD sortie aux USA). L'occasion de (re)découvrir cette série.

J'ai également vu la saison 1 de "Chair de Poule" sur Disney plus. Je ne parle pas de la série des années 90 mais d'une version remake de 2023. Goosebumps, de son vrai nom, était une série de livres pour enfant, sortie quand j'étais déjà adulte et que j'avais passé ma phase fan de Stephen KING (quand je dis fan, j'étais un fan hardcore à mon adolescence dans les années 90). J'avais vu quelques épisodes de temps en temps et ça a été un plaisir de retrouver un personnage récurrent clef de la série des années 90. La série est correcte, divertissante et j'ai passé un bon moment.

J'ai aussi regardé la nouvelle série Star Wars Skeleton crew et j'ai bien aimé. Ca change un peu, y a le côté Goonies assumé. Et c'est l'univers Star Wars mais peut tout à fait se voir sans avoir avoir les films !

Un nouveau podcast format court que j'aime beaucoup, le podcast "ActuTech" de Patrick Beja. Complémentaire du format hebdo "Le rdv tech", la ligne éditoriale est de parler chaque jour de la semaine d'un sujet d'actualité tech en environ 3 minutes. Ce format est très intéressant, ça permet de ne pas attendre une semaine pour avoir la voix de Patrick dans les oreilles ;)

#Quitter X (anciennement Twitter)

Dans la continuité de mon propre article Adieu Twitter, quelques articles que j'ai lu et que j'invite à lire, avec lesquels je suis assez en accord.

– "J'ai adoré Twitter et détesté ce que c'est devenu" interview de Tristan Nitot par Damien Van Achter
– Sur le blog de Tristan Pourquoi il faut quitter X
– Egalement sur son blog La merdification de Twitter et des plateformes en général
– Gros coup de gueule de Korben qui s'éloigne de réseaux sociaux Édito spécial sacs à merde. Le titre montre la colère. Le propos est plus nuancé, justifié et argumenté et je me retrouve dans ce qu'il dit.

# Quelques liens intéressants

Sur le blog du HollandaisVolant, un article de réflexion intéressant sur l'IA Mon avis sur ChatGPT et les autres IA génératives.

Introduction

Au quotidien je jongle entre plusieurs versions de Firefox. Essentiellement 2, à savoir Firefox Nighlty pour tout ce qui relève des usages personnel, et Firefox standard pour tout ce qui relève du domaine professionnel. Je cloisonne en utilisant des profils (au sein Firefox) différents. Je lance Firefox avec l'option "-p", les versions étant différentes il n'y a pas de soucis à avoir plusieurs processus Firefox différents en même temps.

Au sein du navigateur même, je cloisonne les usages, avec le système de conteneurisation proposée par l'extension Multi-Account Containers pour avoir des onglets compartimentés.

Je reconnais visuellement quel navigateur est dédié à quoi en mettant un thème dédié bien différenciant.

J'ai deux comptes différents pour Firefox Sync (pour pouvoir pousser des onglets sur un autre navigateur sur une autre machine si besoin, mon smartphone en l'occurrence ou inversement).

.J'avais déjà expliqué tout ou partie dans un article dédié Quelques astuces simples et pratiques dans mon usage au quotidien de Firefox.

Se tromper et mélanger les profils et version de Firefox

Il m'arrive parfois de me tromper et de lancer un profil dans une version plus récente de Firefox. Et la fois suivante, quand je repasse sur une version plus ancienne, j'ai un blocage avec un message :

"L'utilisation d'une ancienne version de Firefox peut corrompre les signets et l'historique de navigation déjà enregistrés dans un profil Firefox existant. Pour protéger vos informations, créez un nouveau profil pour cette installation de Firefox"

Le fichier Compatibility.ini

Pour résoudre ce problème, la solution est de modifier le fichier qui indique la version de Firefox compatible avec le profil.

Ce fichier se trouve dans le dossier des profils.

Rq : les chemins indiqués sont en environnement Windows, mais ce sera le même principe pour du Linux

Il faut aller dans le dossier du "Profil" et modifier le fichier "Compatibility.ini" qui contient par exemple, au moment de l'écriture de ce billet, une compatibilité pour Firefox Nightly :

 \[Compatibility\] LastVersion=136.0a1_20250112212231/20250112212231 LastOSABI=WINNT_x86_64-msvc LastPlatformDir=C:\\Program Files\\Firefox Nightly LastAppDir=C:\\Program Files\\Firefox Nightly\\browser 

Et le remplacer par des données de la version issue d'un profil nouvellement créé pour avoir les bonnes informations, permettant un retour à une compatibilité avec une version classique/courante de Firefox :

 \[Compatibility\] LastVersion=133.0.3_20241209150345/20241209150345 LastOSABI=WINNT_x86_64-msvc LastPlatformDir=C:\\Program Files\\Mozilla Firefox LastAppDir=C:\\Program Files\\Mozilla Firefox\\browser 

On change donc le numéro de version le chemin vers l'exécutable et c'est bon. Le problème est résolu.

En espérant que ce tuto puisse aider d'autres personnes