nicolabricot’s blog

C’était bien sympathique.

Il y a 40 ans, deux journalistes révélaient au monde que le président de la nation la plus puissante utilisait les services secrets pour mettre sur écoute ses adversaires politiques. Ce travail d’investigation leur vaudra le prix Pulitzer et mènera à la démission du président.

Aujourd’hui, des acteurs imprégnés de culture numérique révèlent au monde que le président à mis le monde entier sur écoute ! Qu’il envoie des hommes massacrer cyniquement des civils. Ces révélations leur vaudront 35 ans de prison pour l’un et une traque à travers le monde entier pour l’autre. Le président en question est, quant à lui, titulaire d’un prix Nobel de la paix.

Lionel Dricot, “La première guerre civile mondiale”

Depuis le premier juillet, et jusqu’au 14 août, je suis en stage à la DSIT d’une collectivité locale, précisément au département sécurité informatique.
Le but du stage n’est pas de devenir un hacker, mais d’être sensibilisé très fortement aux risques encourus dans tout service informatique (matériel, applicatif, humain, etc), et ainsi de voir certaines solutions faciles à mettre en place pour réduire les problèmes. Évidemment, cela passe aussi par la connaissance d’outils permettant d’auditer les systèmes, et a fortiori, d’avoir recours à certains scripts utilisés pour réellement utiliser des vulnérabilités. Pour ma part, la direction officielle que doit prendre mon stage est :

Apporter les corrections nécessaires au code source d’applications ou de sites Internet suite à des audits de sécurité et ainsi rédiger des documents de recommandations à destination des développeurs afin de sécuriser le code durant le développement.

Ainsi mon stage s’oriente plus vers les vulnérabilités web (dont les plus connues sont les failles XSS, les injections SQL, inclusion de fichiers et autres injections, vol de sessions, …). Ce document de recommandations guidant mon stage doit permettre aux équipes de développement d’éviter certaines failles en les “corrigeant” dès l’écriture du code source. C’est en quelques sortes un guide des bonnes pratiques et habitudes à avoir.

Tout ça pour dire, que durant mes recherches, je suis tombé sur une analogie entre mot de passe et brosse à dents, qui même si incomplète, est assez représentatif :

Un mot de passe c’est comme une brosse à dents : c’est personnel et ça se change régulièrement !

J’ai aussi pu voir ce qu’advient une voiture dont le moteur prend mystérieusement feu tout seul…

Le stage est jusqu’à présent très intéressant, et je n’ai pas vu le temps passer : j’entame déjà la deuxième partie !

Il faut en plus que ça dure.

Source.

J’ai du affronter le service d’assistance d’Apple aujourd’hui.

Au moment de la création de mon compte Apple, il fallait définir des questions/réponses de sécurité. Un peu comme ce que propose Microsoft. Têtu comme je suis, j’ai rempli assez rapidement les réponses, en choisissant volontairement des réponses qui n’allaient pas avec la question. Question de sécurité.
En pensant que je pourrais toujours les modifier plus tard. Grosse erreur !

Il faut passer par le service assistance pour qu’une personne compétente réinitialise les questions/réponses de sécurité. Je me rends donc sur le site, et après avoir relativement trouvé facilement, j’explique mon problème sur une page de contact.
Moins de douze heures après je reçois un mail :

Bonjour,
Je m’appelle Matt et j’ai le plaisir de vous assister aujourd’hui.

Je suis désolé d’apprendre que vous n’avez pas réussi à ré-initialiser vos questions de sécurité. Par mesure de sécurité, vous devez contacter notre équipe en charge de la sécurité des comptes pour une assistance supplémentaire.

Vous pouvez contacter un Account Security Advisor en appelant l’équipe d’assistance technique AppleCare. Pour trouvez le bon numéro de téléphone correspondant à votre pays, consultez l’article suivant :
Contacter l’assistance et le service clientèle d’Apple

Lorsque vous appelez, demandez à parler à un membre de l’équipe dédiée à la sécurité des comptes.

J’espère que ces informations vous seront utiles. Si vous avez des questions supplémentaires à ce sujet, n’hésitez-pas à m’en tenir informé.
Je reste à votre disposition si vous avez la moindre question portant sur ce problème.

Cordialement,

Je pars donc en chasse du numéro, que j’appelle. Le serveur vocal ne comprenant pas ma demande, je suis mis en relation avec un conseiller sans attente. En moins de 5 minutes, après vérification de mon identité, tout était réglé. Avec des personnes agréables et compétentes, qui ont de suite ciblé le problème.

Je m’attendais à devoir remuer ciel et terre, mais pas du tout. Ce fut donc une agréable surprise !

Après quelques jours au ski pour se régénérer et bien commencer une nouvelle année 2013, je vous souhaite à toutes et à tous une très belle année 2013 riches en heureux évènements.

J’espère que vous avez pris de bonnes résolutions. Pour ma part, heu comment dire…

Hé bien, souvent, je me pose la même question.

Si j’achète un bouquin et que je lis, et qu’ensuite je vous donne le livre pour que vous le lisiez, je n’ai enfreint aucune loi. Pourquoi est-ce que ça ne serait pas vrai pour tous les médias ?

Michael Moore

Vu et lu sur Numerama.

Regardez : ce qu’on va faire, c’est qu’on va marcher en parallèle de la route, mais assez loin. Comme ça, on ne se perd pas, mais on ne se fait pas gauler non plus. La police, on ne la trouvera pas dans les champs à mettre des PV aux moutons pour excès de vitesse.

— Ou à faire souffler les vaches dans le ballon.

Saia, Jean-François Chabas, Médium