Archives par étiquette : sécurité

[Sécurité] Concevoir des mots de passe sécurisés et faciles à retenir

Ce que je vois souvent, aussi bien dans mon travail d’administrateur réseaux, qu’en discutant avec des amis, ce sont les mots de passe trop faibles. La plupart du temps les gens argumentent le fait que c’est compliqué de retenir les mots de passe aléatoires ou bien trop complexes. Voici quelques conseils, que je transmet régulièrement au sein de l’entreprise pour déjà complexifier les vôtres.

Tout d’abord évitez les mots simples qui se retrouvent dans les dictionnaires. En effet c’est souvent la première méthode utilisée, à savoir utiliser des dictionnaires de vocabulaire de différentes langues pour trouver les mots de passe. Ensuite évitez aussi tout ce qui a une construction trop logique (123456, abcde, …). La règle en général est d’avoir un mot de passe assez long (au minimum 8 caractères) composé de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Une première méthode pour concevoir un tel mot de passe facilement, est de prendre un mot que vous retenez simplement comme (par exemple) : sophie

  • Ajoutez une ou plusieurs majuscule : SopHie
  • Ajoutez un chiffre (ou plusieurs) : SopHie34
  • Ajoutez un caractère spécial (ou plusieurs) : #SopHie34 ou #Sop-Hie34

Et voila, nous avons un mot de passe un peu plus compliqué et donc plus sécurisé. Vous pouvez toujours jouer dessus en insérant des chiffres en son centre, ou d’autres caractères spéciaux. Vous pouvez aussi partir sur un mot plus long, ou rajouter des caractères, c’est toujours positif.

Une autre méthode est d’utiliser plusieurs mots aléatoires séparés par des espaces ou des caractères spéciaux, voire des chiffres.

  • Par exemple : Tati#Soleil-Travail69Santé

Comme vous le voyez c’est assez simple et on peut plus facilement les retenir. Une dernière méthode est d’utiliser un moyen mnémotechnique. Par exemple prenons deux lettres faciles à retenir ou qu’on aime bien, ici « f » et « t ». Ajoutons un caractère spécial comme « * » et enfin une suite de chiffres. Inspirez vous de leur ordre sur le pavé numérique et non pas d’une logique mathématique.

Image d'un pavé numérique avec un cadre rouge sur les six chiffres de droite.Nous passons une lettre en majuscule « F » et conservons la deuxième en minuscule. Ensuite on colle notre caractère spécial, puis la suite de chiffres. Cela va donc nous donner Ft*895623 ce qui est assez simple à retenir et aussi à saisir. On peut bien sûr le complexifier en ajoutant un autre caractère spécial au milieu comme suivant : Ft*895-623. Les possibilités sont assez larges. 😉

Enfin si vous n’êtes pas convaincus et voulez quand même utiliser un mot de passe aléatoire, vous pouvez toujours vous servir d’un générateur aléatoire. On en trouve pleins au fil du Net. Voici un petit exemple de code en PHP. Si vous souhaitez le tester directement ou si le code ne vous intéresse pas, je vous invite à faire un petit saut plus bas sur la page. 😉

Et ainsi que annoncé, si vous voulez le tester je vous invite à suivre ce lien [Link]. Un dernier conseil, c’est de vérifier la sécurité des mots de passe avec un site comme « The Password Meter » [Link]. Le plus de ce site c’est qu’il va vous conseiller indirectement par des scores (Bonus) en fonction des différents caractères et de leurs nombres. Après si vous décidez d’avoir des mots de passe différents partout, vous pouvez toujours vous aider de Keepass dont j’avais déjà parlé par le passé [Link]. Le gros avantage de ce logiciel étant qu’il protège efficacement vos informations et qu’un simple double clic permet de copier quelques secondes les informations dans le presse papier pour les utiliser. Voilà, j’espère que cela en aidera plus d’un et n’hésitez pas à partager vos trucs et astuces.

Facebook & Vie Privée : attention à la confidentialité

J’avais déjà parlé de la vidéo de la CNIL expliquant comment limiter au maximum la visibilité de certains éléments sur Facebook dans les paramètres de confidentialité, ou bien à certains groupes en regroupant ses contacts [Link]. Voici un petit complément afin de vous guider dans la configuration de votre compte et ainsi éviter qu’il ne soit trop visible depuis l’extérieur ou que ses informations soient utilisées à d’autres fins 🙂

Désactiver la reconnaissance faciale automatique

Dernière née des fonctionnalités elle permet à Facebook de vous « tagguer » dans des photos si cela semble correspondre à votre visage sur vos autres photos. Un moyen pratique et rapide de « tagguer », marquer toutes les photos mais qui peut être plus qu’un désagrément si on ne souhaite pas être marqué de partout. Donc pour désactiver cette fonctionnalité suivez cette méthodologie :

  • Compte : Paramètres de confidentialité
  • Personnalisé
  • Personnaliser les paramètres
  • Dans la rubrique « Ce que d’autres partagent », cliquer sur « Modifier les paramètres » de la ligne « Suggérer à mes amis les photos où j’apparais »
  • Dans la fenêtre qui apparait, passer le sélecteur à « Désactiver »
  • Valider le tout

Et voila pour cette astuce. Cela évitera d’être repéré automatiquement, ce qui n’est pas un mal 😉

Activer la navigation en SSL

Le principe ici est de crypter les informations que vous envoyez à Facebook. Quand vous fonctionnez sur Internet vous êtes en général en HTTP (cf. barre d’adresse en haut de votre navigateur).Dans ce cadre, quand vous entrez votre nom d’utilisateur et votre mot de passe, ils sont transmis en clair au serveur en face (ici Facebook). Donc si quelqu’un « écoute » ce qui se passe sur le chemin, il peut accéder à vos informations (je sais que je prends de grands raccourcis mais c’est pour rester compréhensible par le plus grand nombre 😉 [Link http/s Wikipedia] ). En réalisant un simple paramétrage, on peut discuter en HTTPS, c’est à dire échanger des informations cryptés (codées) entre nous et Facebook. Étant donné qu’ils le permettent, pourquoi nous en priverions nous ?

  • Compte – Paramètres du compte
  • Dans l’onglet « Paramètres »
  • Sécurité du compte, cliquer sur « modifier »
  • Cocher la case « Utiliser une connexion sécurisée (https) pour Facebook lorsque possible »
  • Enregistrer

Vous serez maintenant en navigation sécurisée par défaut, c’est à dire en HTTPS. Les échanges entre votre ordinateur et le serveur Facebook qui vous sert seront donc « cryptés » grâce à un certificat SSL. Cela se traduit souvent par un petit cadenas en bas à droite de votre navigateur et par un affichage de la barre d’adresse légèrement coloré. Un bémol, si les pages normales de Facebook (profils, messages, murs, …) supportent très bien le HTTPS, il n’en est pas forcément de même pour les applications tierces. En effet des apps comme is_cool, CityVille ou consort ne le gère pas. Par défaut Facebook vous affichera un avertissement comme quoi vous allez passer dans un mode moins sécurisé et tout se passera bien. Mais parfois on doit recharger la page ou on rencontre des petits bugs. Mais dans une utilisation « normale » vous ne rencontrerez aucun souci 🙂

Page d'accueil Facebook en HTTPS

Avertissement de non compatibilité d'une application Facebook avec le protocole HTTPS

Restreindre les informations diffusées à des applications tierces et surtout aux pubs

Alors ici c’est tout simplement pour éviter de retrouver sa photo ou celles de ses amis dans des publicités tierces grâce à Facebook. En effet quand vous naviguez sur le site vous pouvez le voir sur des publicités pour des applications ou d’autres sites. Et même en dehors pour des régies publicitaires qui ont des intérêts avec Facebook. Pour désactiver cette option suivez les indications ci-dessous :

  • Compte – paramètres du compte
  • cliquer sur l’onglet « Publicités Facebook »
  • Ici on a deux options à désactiver à savoir « Publicités diffusées par des tiers » et « Publicités et les amis »
  • A chaque fois cliquer sur le lien pour « Modifier les paramètres … » et dans la nouvelle page passer le sélecteur sur « Personne » (et enregistrer bien sûr)

Page de paramétrage pour l'ensemble des Publicités

Exemple d'un paramétrage restrictif pour les publicités Facebook

Cela semble de petits riens mais on est jamais trop prudent. C’est un peu comme ces caractères en taille 6 en bas des contrats ou au dos de certaines factures. « Ah bin vous n’avez pas contesté les nouveaux règlements au dos de votre dernière facture dans le délai de deux jours, vous avez donc accepté les nouvelles contraintes de façon tacite… » Oui c’est un peu tiré par les cheveux comme exemple mais c’est si proche de certaines réalités. J’espère en tout cas que ces astuces vous aiderons 🙂

[Documentaires] Soirée Arte sur les Hackers et la Cyberguerre

Le 7 Juin il a été diffusé sur Arte une soirée thématique sur les Hackers et la Cyberguerre. Bien que n’ayant plus de télévision depuis quelques années, même pas via une Box ou mon PC, il m’arrive de me servir des sites de Replay pour certains documentaires intéressant. J’ai donc pu voir les deux principaux docu de la soirée quelques jours plus tard sur leur site de Replay.

Hackers, ni dieu, ni maître

[Link Replay]

J’ai apprécié que dans ce documentaire ils ne fassent pas l’amalgame habituel avec « hacker = méchant pirate ». En effet un hacker est un passionné d’informatique ou d’électronique et non forcément un pirate. L’autre point intéressant a été la distinction claire entre les « black hat » et les « white hat ». Ensuite je trouve qu’ils ont dépeint les différents points de vue avec une certaine objectivité, expliquant que justement les hackers avaient aussi un apport plus qu’important à la société et aux nouvelles technologies. A voir donc, surtout qu’il n’est vraiment pas si long 🙂

La guerre invisible

[Link Replay]

Ici aussi on nous parle de hackers mais plus dans le sens de pirates, mais le point de vu est vraiment orienté sur le présent et l’avenir des guerres électroniques, au sein du cyber-espace. On nous y présente ces nouveaux corps d’armées créés pour répondre, comme à l’époque pour les armes nucléaires, aux menaces et aux besoins de protections. Un peu plus long que le précédent (le double de temps), je l’ai trouvé bien intéressant par rapport a ces nouvelles politiques émergeant de l’omniprésence de l’électronique et de l’informatique dans nos vies quotidiennes. Si vous le pouvez je vous invite vraiment à prendre le temps de le regarder.

News en vrac

Un bout de temps que je n’avais pas posté suite à pas mal de travail pour le CNAM entre le début et la fin de l’année ce qui explique la silence entre décembre et janvier. Je profite donc de ce début de WE pour rédiger et planifier quelques articles. J’en profite donc pour refaire un « News en vrac ». Je vais essayer cette année de parler un peu plus de certaines matières du CNAM comme j’ai pu le faire pour le BULATS afin de faire profiter d’autres auditeurs des temps de recherche et des bons sites trouvés à ces occasions. Donc à venir prochainement, le temps que le mette tout cela en ordre 🙂

Un article que j’ai trouvé intéressant de la part de la CNIL sur la réalisation de groupes sur Facebook avec configuration de la confidentialité des diffusions ou des éléments de profil suivant les groupes.


Tutoriel CNIL #1 Créer des listes d’amis sur Facebook
envoyé par cnil. – Les derniers test hi-tech en vidéo.

Je vous invite donc fortement à le visionner et à le mettre en pratique afin de contrôler un tant soit peu tout ce que vous pouvez publier sur Internet et notamment par rapport à votre visibilité sur la toile. Et pour lire l’article original c’est par ici. (PS : si la vidéo ne se joue pas intégrée ici, n’hésitez pas à la visionner grâce au lien en dessous 🙂 ).

Une autre initiative dont je veux parler en ces temps où il vaut mieux faire attention à notre visibilité sur Internet, c’est celle de Yacy. C’est grâce à Korben que j’ai pu m’y intéresser et à avoir plus d’informations. Il s’agit d’un moteur de recherche Peer to Peer qui agrège petit à petit vos recherches sur Internet. En clair cela vous permet d’avoir votre propre moteur de recherche chez vous, sur votre Intranet, mais par la suite de vous connecter aussi à ceux de vos amis ou d’autres personnes. On arrive alors à un réseau d’ordinateurs communicant entre eux, partageant leur agrégation de la toile et s’améliorant au fil de l’eau. Bien sûr il faut que votre instance de Yacy tourne un certain temps avant de pouvoir vous afficher des résultats pertinents mais je trouve que cela voudrait le coup de le tester. N’hésitez donc pas à lire les articles en liens et à le tester. Et si cela vous plait, surtout parlez en autour de vous 🙂

Article sur Yacy sur Korben

Site Officiel de Yacy

A mon tour de le mettre en place et de le tester. Bon d’accord il faudra que je me remette à avoir une machine allumée à temps plein à la maison. En même temps cela irait bien dans un projet de renouvellement de mon poste de travail pour quelque chose d’un peu plus moderne 😉 Je ne me souviens même plus de quand date  mon dernier achat d’un ordinateur neuf 😀 En tout cas ce projet me semble prometteur, surtout quand on se rend compte qu’après avoir orienté les recherches (ce qui peut parfois être géant), le géant Google ne s’est pas gêné pour se mettre à la censure (bon d’accord ils l’avaient déjà fait avec certains pays comme la Chine 😉 ). Restons vigilant si nous ne voulons pas continuer à glisser vers 1984 ou Farenheit 451 😉

Dans une autre lignée, un article du site de l’Agence Nationale de la Sécurité des Systèmes d’Information sur les courriels et leurs risques. Cela prend deux minutes à lire et cela permet d’être au courant des risques qui peuvent se cacher derrière certains courriels.

5 réflexes à avoir lors de la réception d’un courriel

Voici donc quelques conseils qui ne me semblent pas superflus vu le nombre de courriels d’adresses usurpées que je reçois de mes contacts 😉 Pour résumer :

  • Ne pas avoir une confiance aveugle envers l’expéditeur
  • Se méfier des pièces-jointes
  • Ne jamais répondre à une demande d’informations confidentielles
  • Passer sa souris au dessus des liens et faire attention à leur cible
  • Paramétrer correctement le logiciel de messagerie

Une nouvelle sympathique, la publication d’un article sur Alan Clec’h auprès d’autres photographes dans la revue Photographes Magazine n°4. Vous pouvez consulter l’édition sur Calameo. Je sais que je parle souvent de lui mais quoi de plus normal au sein d’une même famille 😉 N’hésitez pas à visiter son site et à aller voir ses derniers travaux 🙂

Enfin deux petites informations propres au Blog et aux derniers articles publiés :

– MAJ de l’article sur exif_read_data pour proposer une solution plus propre de correction du code que le @ (Lien)

– MAJ de l’article sur NFE114 (CNAM) pour ajouter une explication sur l’examen sur Lyon et sur des annales disponibles en ligne. (Lien)

Voici pour cette News en Vrac. Bientôt de nouveaux articles en espérant que je ne m’enfermerai pas trop avec les nouveaux cours 😉

News en vrac

Il est vrai qu’étant en vacances depuis une petite semaine, j’ai surtout pris le temps de me reposer plutôt que de publier des articles. Nous verrons si j’arrive à me motiver un peu plus d’ici la fin des vacances où si je vais continuer à profiter de mon temps 😉

Lors de mon début de vacances, j’ai pu assister à une conférence sur la cuisine aux algues. Je savais déjà que nous en mangeons dans beaucoup de préparations ou d’aliments que ce soit pour la gelée ou pour l’assaisonnement mais j’ai pu avoir une présentation de nombreuses recettes bien alléchantes. On ne fait pas un plat unique d’algues mais on s’en sert comme assaisonnement, comme des épices. Pour plus d’infos n’hésitez pas à visiter le site du Comptoir des Algues (Anciennement Thalado) à Roscoff. Ils proposent aussi des promenades de découverte dans la grève pour identifier les algues, comprendre les écosystèmes et les marées et ainsi de suite. Les conférences sont gratuites et libres en entrées. Vous pourrez à cette occasion acheter des algues déshydratées, des produits de beauté ou de soins.

Dans les autres liens complètements différents, je me suis inscrit sur Urban Rivals. Il s’agit d’un jeu en ligne, en flash où on réalise des combats de personnages sous formes de cartes. On possède donc des combattants avec des pouvoirs, des caractéristiques et on fait des combats contre d’autres jours avec des lots de 4. C’est marrant et cela fait passer de bons moments. Si vous voulez tester, suivez donc ce lien pour que je vous parraine 🙂

Liens en vrac :

Pour partager encore plus les liens de mon partage RSS (en bas à droite) ou des sites que je visite et trouve marrant ou intéressant, voici un petit résumé pour quelques un 🙂

GeekInsult : Ludovic nous propose un site pour rassembler toutes les insultes de Geek (vu que c’est à la mode). On y trouve de belles citations dans ce langage parfois (souvent) compris que par les initiés 😉 A visiter et à retenir donc 😉 Quelques exemples pou vous donner envie d’y faire un tour :

#68 : Ton CV tient sur un post twitter
#65 : T’es comme un Bitmap… Lourd !
#59 : Tu es comme une 404, tu n’existes pas!!
#57 : Je viens de faire un cURL j’ai pas trouvé ton encéphale.
#56 : Tu es aussi utile qu’un Parse Error.
#55 : T’as été fini au VB toi !
#54 : Fork you !

What Font is Search Like : est un service web original vous proposant de retrouver une police de caractère et/ou de vous proposer des polices de caractères approchantes à partir d’une image que l’on upload. A tester donc, surtout si vous êtes dans le design ou le webdesign. [source]

IOS4 peut nuire à votre iphone 3G : Alors là tester et désapprouvé. En effet depuis que j’ai réalisé la mise à jour de l’OS de mon iphone 3G en version 4 il est plus que lent, plein de bugs, de dysfonctions. J’espère vraiment qu’une prochaine mise à jour de leur OS, comme ils l’annoncent, rendra un peu plus fonctionnel le système. Cela me fait même regretter d’avoir un iphone … Mais bon pas encore assez de points pour tenter le HTC Desire ou un autre 🙂

Peut-on accéder à l’ordinateur d’un salarié en vacances ? Un article de la CNIL sur la législation en matière d’accès à l’ordinateur ou aux mails d’un salarié en sont absence (vacances, maladie, …). Important pour les adminsys ou affiliés si ils veulent se protéger. A lire donc, même pour les salariés, pour savoir comment se protéger de ses employeurs 😉

Le logiciel HADOPI est impossible : Un article décrivant le cahier des charges pour les logiciels de surveillance de HADOPI et qui nous montre à quel point ils sont rêveur et décalés par rapport à la réalité. Il semblait que le commun des utilisateurs passe à côté de cette loi, comme de la LOPPSI malheureusement. N’hésitez pas pour ceux qui voudraient en savoir plus sur ces lois liberticides qui soit disant vont lutter contre le piratage sur Internet, n’hésiter pas à lire les dossiers de la Quadrature du Net qui résument bien le tout (dossier HADOPIdossier LOPPSI).

Voici pour aujourd’hui. N’hésitez pas à suivre mon flux de partage RSS pour plus de liens drôles, insolites, intéressants ou autres 😉