Paradoxe et sûreté nationale

Il y a 40 ans, deux journalistes révélaient au monde que le président de la nation la plus puissante utilisait les services secrets pour mettre sur écoute ses adversaires politiques. Ce travail d’investigation leur vaudra le prix Pulitzer et mènera à la démission du président.

Aujourd’hui, des acteurs imprégnés de culture numérique révèlent au monde que le président à mis le monde entier sur écoute ! Qu’il envoie des hommes massacrer cyniquement des civils. Ces révélations leur vaudront 35 ans de prison pour l’un et une traque à travers le monde entier pour l’autre. Le président en question est, quant à lui, titulaire d’un prix Nobel de la paix.

Lionel Dricot, “La première guerre civile mondiale

10 ans déjà ?

Le 25 mai 2007, j’ouvrais ce blog un peu avant de partir trois mois en Allemagne. À l’époque, je n’étais encore trop familier avec les technologies web, et j’apprenais seulement le HTML…
Je me souviens avoir longuement hésité pour choisir un système de gestion de contenu, avant d’installer Dotclear.

Birthday Cake

Aujourd’hui, cette initiative française, a 10 ans. Même s’il m’est arrivé de penser à migrer sur Wordpress, j’avoue qu’aujourd’hui je ne changerai pour rien au monde.

Bon anniversaire Dotclear :-) et longue route à toi !

Photo : Will Clayton.

Mot de passe et brosse à dents

Depuis le premier juillet, et jusqu’au 14 août, je suis en stage à la DSIT d’une collectivité locale, précisément au département sécurité informatique.
Le but du stage n’est pas de devenir un hacker, mais d’être sensibilisé très fortement aux risques encourus dans tout service informatique (matériel, applicatif, humain, etc), et ainsi de voir certaines solutions faciles à mettre en place pour réduire les problèmes. Évidemment, cela passe aussi par la connaissance d’outils permettant d’auditer les systèmes, et a fortiori, d’avoir recours à certains scripts utilisés pour réellement utiliser des vulnérabilités. Pour ma part, la direction officielle que doit prendre mon stage est :

Apporter les corrections nécessaires au code source d’applications ou de sites Internet suite à des audits de sécurité et ainsi rédiger des documents de recommandations à destination des développeurs afin de sécuriser le code durant le développement.

Ainsi mon stage s’oriente plus vers les vulnérabilités web (dont les plus connues sont les failles XSS, les injections SQL, inclusion de fichiers et autres injections, vol de sessions, …). Ce document de recommandations guidant mon stage doit permettre aux équipes de développement d’éviter certaines failles en les “corrigeant” dès l’écriture du code source. C’est en quelques sortes un guide des bonnes pratiques et habitudes à avoir.

Tout ça pour dire, que durant mes recherches, je suis tombé sur une analogie entre mot de passe et brosse à dents, qui même si incomplète, est assez représentatif :

Un mot de passe c’est comme une brosse à dents : c’est personnel et ça se change régulièrement !

J’ai aussi pu voir ce qu’advient une voiture dont le moteur prend mystérieusement feu tout seul…

Voitures brûlées

Le stage est jusqu’à présent très intéressant, et je n’ai pas vu le temps passer : j’entame déjà la deuxième partie !

Facebook, you said security?

J’ai d’abord cru à un spam.

Bonjour Nicolas,
Votre confidentialité est de la plus haute importance pour tous les employés de Facebook et nous nous attachons sans cesse à protéger vos informations. Bien que la plupart d’entre nous passent tout le temps à empêcher ou résoudre les problèmes avant qu’ils n’affectent quiconque, nous avons récemment été pris de court par un bug technique qui a divulgué votre numéro de téléphone ou adresse électronique à un tiers.

Le bug avait une portée limitée et n’a vraisemblablement permis qu’à une personne que vous connaissez déjà en dehors de Facebook de voir votre adresse électronique ou numéro de téléphone. Ceci dit, nous prenons cette erreur très au sérieux.

Décrire la cause du bug peut être un peu trop technique, mais nous voulons expliquer ce qui s’est produit. Lorsque les utilisateurs téléchargent leurs listes de contacts ou carnets d’adresses sur Facebook, nous essayons de faire correspondre ces données avec les coordonnées d’autres utilisateurs de Facebook afin de générer des recommandations d’amis. À cause du bug, les adresses électroniques et les numéros de téléphone utilisés pour créer ces recommandations et réduire le nombre d’invitations que nous envoyons ont été accidentellement stockés dans leur compte Facebook, avec leurs contacts téléchargés. En conséquence, si une personne avait téléchargé une archive de son compte Facebook via notre outil de téléchargement des informations, qui inclut les contacts téléchargés, elle a pu se retrouver avec des adresses électroniques ou numéros de téléphone supplémentaires.

Voici vos coordonnées (accidentellement visibles d’1 utilisateur Facebook maximum) :
[…]@[…]

Nous pensons qu’1 utilisateur Facebook a vu ces coordonnées supplémentaires affichées à côté de votre nom dans la copie téléchargée de ses informations de compte. Aucune autre information vous concernant n’a été affichée et il est fort possible que la personne ayant vu ces informations ne vous soit pas étrangère, même si vous n’êtes pas amis sur Facebook.

Nous reconnaissons que le partage accidentel de coordonnées est inacceptable, même si vous connaissez les personnes ayant vu ces coordonnées, et nous avons pris toutes les mesures nécessaires pour empêcher que cela ne se reproduise. Pour plus d’informations sur le bug, veuillez lire notre publication de blog.

Tous les employés de Facebook prennent ce problème très au sérieux. Nous vous remercions pour votre usage continu de Facebook et mettons tout en œuvre pour fournir le niveau de service que vous attendez et méritez.

Merci,
L’équipe Facebook

“Message important de Facebook” reçu par email

Je serais curieux de savoir comment Facebook a déterminé que seul un utilisateur ait pu accéder à mon adresse email.

Déprimant

Météo mai 2012 vs. 2013

Il faut en plus que ça dure.

Météo Mulhouse mai 2013

Source.

Forcer l’anti-aliasing avec Chrome sur Windows

Pour un projet de site web associatif, tout comme pour le blog ici, j’utilise des fontes provenant de la plateforme Google Web Fonts.
C’est un service très pratique qui permet d’utiliser la propriété @font-face de CSS pour utiliser une police d’écriture personnalisée.

Seulement, l’affichage n’était pas terrible du tout sur Windows, et uniquement avec le navigateur Chrome.
J’ai été très surpris qu’Internet Explorer affiche correctement les fontes, mais pas Chrome. Je me suis rendu compte que Chrome ne « forçait » pas le lissage de la police, ce qui donnait un aspect rugueux au rendu.

Comparatif fonte avec Chrome et IE 10

Mais j’ai trouvé une solution en suivant les conseils de Kévin décrits dans son article. Il suffit d’ajouter cette ligne (en adaptant la couleur naturellement) :

-webkit-text-stroke: 0.5px #333;

Chrome sans/avec -webkit-text-stroke

Le rendu est ce qu’il est, mais c’est déjà plus joli et agréable à l’œil.

Surprise avec l’assistance Apple…

J’ai du affronter le service d’assistance d’Apple aujourd’hui.

Au moment de la création de mon compte Apple, il fallait définir des questions/réponses de sécurité. Un peu comme ce que propose Microsoft. Têtu comme je suis, j’ai rempli assez rapidement les réponses, en choisissant volontairement des réponses qui n’allaient pas avec la question. Question de sécurité.
En pensant que je pourrais toujours les modifier plus tard. Grosse erreur !

Il faut passer par le service assistance pour qu’une personne compétente réinitialise les questions/réponses de sécurité. Je me rends donc sur le site, et après avoir relativement trouvé facilement, j’explique mon problème sur une page de contact.
Moins de douze heures après je reçois un mail :

Bonjour,
Je m’appelle Matt et j’ai le plaisir de vous assister aujourd’hui.

Je suis désolé d’apprendre que vous n’avez pas réussi à ré-initialiser vos questions de sécurité. Par mesure de sécurité, vous devez contacter notre équipe en charge de la sécurité des comptes pour une assistance supplémentaire.

Vous pouvez contacter un Account Security Advisor en appelant l’équipe d’assistance technique AppleCare. Pour trouvez le bon numéro de téléphone correspondant à votre pays, consultez l’article suivant :
Contacter l’assistance et le service clientèle d’Apple

Lorsque vous appelez, demandez à parler à un membre de l’équipe dédiée à la sécurité des comptes.

J’espère que ces informations vous seront utiles. Si vous avez des questions supplémentaires à ce sujet, n’hésitez-pas à m’en tenir informé.
Je reste à votre disposition si vous avez la moindre question portant sur ce problème.

Cordialement,

Je pars donc en chasse du numéro, que j’appelle. Le serveur vocal ne comprenant pas ma demande, je suis mis en relation avec un conseiller sans attente. En moins de 5 minutes, après vérification de mon identité, tout était réglé. Avec des personnes agréables et compétentes, qui ont de suite ciblé le problème.

Je m’attendais à devoir remuer ciel et terre, mais pas du tout. Ce fut donc une agréable surprise !

En avant pour 2013

Télésiège

Après quelques jours au ski pour se régénérer et bien commencer une nouvelle année 2013, je vous souhaite à toutes et à tous une très belle année 2013 riches en heureux évènements.

J’espère que vous avez pris de bonnes résolutions. Pour ma part, heu comment dire…