Comme je l'évoquais brièvement dans un précédent article, les serveurs de l'entreprise de média en ligne Gawker ont été piratés récemment, avec pour conséquence immédiate la diffusion au public des logins, emails, et mots de passe chiffrés de plus d'un million d'utilisateurs. Pour plusieurs centaines de milliers d'entre eux, les mots de passe avaient même été déchiffrés avant leur diffusion.
Pour quelqu'un comme moi les dessous de l'affaire sont croustillants, et les détails techniques sont même passionnants. Mais, plus important : tout le monde a une leçon à tirer de ce fiasco monumental.
Cette leçon, et non des moindres, est la suivante : dès l'instant où vous confiez un mot de passe à quelqu'un, ce mot de passe est vulnérable. Ça paraît tout bête comme ça, on se dit "mais oui, c'est sûr qu'en donnant mon mot de passe à mon voisin, alors il n'est plus secret". Non. Relisez bien la leçon, elle est à prendre au premier degré. Oubliez votre voisin, votre copine. Vous créez un compte chez Hotmail, vous choisissez un mot de passe pour pouvoir accéder plus tard à votre boîte mail, vous fournissez ce mot de passe à Hotmail. Ça y est, ce mot de passe n'est plus sûr. Un jour, c'est inévitable, c'est déjà arrivé, et ça arrivera à nouveau, des serveurs Hotmail seront piratés et votre mot de passe pourrait tomber dans les mains de quelqu'un.
L'affaire Gawker est bourrée d'exemples illustrants parfaitement ce principe. Les employés de chez Gawker s'échangeaient des mots de passe par chat, dont les archives des conversations ont été piratées. Le piratage des bases de données des sites de Gawker a montré que les mots de passe des utilisateurs n'étaient pas sécurisés : le chiffrement utilisé était archaïque et connu depuis des années pour être déficient, etc. etc.
Continue reading
Category Archives: Divers
De la sécurité de vos mots de passe
En terme de mot de passe, on nous rebat souvent les oreilles avec des recommandations sécuritaires qui tombent sous le sens. Par contre, les arguments qui sous-tendent ces recommandations sont parfois largement infondés.
Tout d'abord, on nous dit de ne pas choisir un mot de passe facile à deviner, c'est bien sûr du bon sens. On nous dit que le mot de passe doit être long, car les ordinateurs actuels permettent de tester des milliers de mots de passe par seconde. Plus le mot de passe est long, plus il sera long à trouver. Certes. C'est mathématiquement exact. Mais à quoi arrive-t-on si on force les gens à utiliser un mot de passe à la fois long et compliqué ? Ils vont utiliser le même mot de passe partout, ils vont le noter quelque part, etc.
Imaginons un instant qu'un pirate tente de deviner votre mot de passe de messagerie. Il a une très bonne connexion internet, et son ping (le délai qui s'écoule entre le moment où il envoie une requête au serveur, et le moment où le serveur dit qu'il a bien reçu cette requête) est de 10 millisecondes. Il faut ajouter à cela le temps de traitement sur le serveur, et l'envoi de la réponse. Mettons pour simplifier que la totalité de la transaction dure 20 ms. Si votre mot de passe de messagerie fait 8 caractères différents et qu'il utilise des lettres minuscules (26 possibilités), des lettres majuscules (26 possibilités), et des chiffres (10 possibilités), c'est probablement assez correct. Ce mot de passe utilise donc 8 caractères différents pris dans une série de 62. Soit un total de 136325,9 milliards de mots de passe possibles. À raison d'un mot de passe testé toutes les 20 ms, cela donne plus de 864 siècles, pour tester tous les mots de passe.
Maintenant, ajoutez des caractères parmi @#&"'(§!)-_$*/:;.,?+ (20 possibilités), et il faudra presque 9114 siècles pour tester tous les mots de passe.
Moralité, la puissance des ordinateurs permet effectivement de tester des millions de mots de passe par heure, mais la latence des connexions internet rend ce mode d'attaque quasiment impossible, car elle ralentit terriblement le processus.
Continue reading
Kaboom
Je vois régulièrement des films un peu étranges, cependant, je crois bien que Kaboom, de Gregg Araki bat tous les records. Même l'Attaque de la moussaka géante ne peut pas totalement rivaliser.
Kaboom est un OVNI. C'est à la fois une terrible erreur, et un fabuleux pied de nez au cinéma "classique". Il est filmé n'importe comment et pourtant cela ne peut être que volontaire. Certaines images sont très belles, d'autres sont d'une qualité affreuse. Les filles sont supposées être canon, mais elles sont filmées en général de manière (très) peu flatteuse. L'intrigue est complètement nulle, le dénouement est à mourir de rire et il n'y a aucune morale à l'histoire. C'est un pur chef-d'œuvre gay et lesbien (et transgenre et autre) à voir absolument en V.O. pour ne pas rater certaines répliques intraduisibles.
En tout cas, on ne s'ennuie pas, donc si vous ne prenez pas tout au premier degré et que vous aimez les surprises décalées, allez voir Kaboom (puis quand même, elle est mignonne Juno Temple, hein).
Exposition James Nachtwey
James Nachtwey est exposé jusqu'au 15 janvier 2011 à la bibliothèque de la Part-Dieu, à Lyon. Précipitez-vous là bas, c'est la claque assurée. Néanmoins, c'est du photo-reportage de guerre, de famine, etc., donc laissez enfants et âmes sensibles au rayon "jeunesse" de la bibliothèque, la collection de photos présentée n'est vraiment pas tout public.
Et c'est gratuit bien sûr, comme toutes les expositions dans les bibliothèques municipales de Lyon.
photo : Ramallah, Cisjordanie, 2000. Un palestinien lançant des cocktails Molotov aux troupes de l'armée israélienne. Photographie James Nachtwey © Agence VII Photo
Nouveau serveur !
Voilà, finalement cela s'est passé très vite. Hier matin aux aurores je trouvais une configuration intéressante sur Ebay, avant 13h la vente était faite. J'attends donc maintenant de recevoir ma nouvelle machine. Il s'agit d'un serveur 1U Supermicro avec 4 tiroirs hot-plug, à base de carte mère X7DCL-I, doté d'un Xeon quad-core à 3GHz, de 16 Go de RAM, d'une carte raid 3ware 9650SE-4lpml, et de 2 disques durs 1To. C'est bien sûr du matériel "d'ancienne génération", mais le tout est parfaitement compatible FreeBSD, et le prix de la configuration complète est celle du processeur tout seul dans le commerce. Pourquoi se priver ?
Petite estimation à la louche : la valeur du même matériel neuf dépasse les 2700 euros TTC.
Quelques nouveautés
En ce début d'année (scolaire, puisque dans l'éducation nationale on fonctionne comme ça), j'ai décidé d'ajouter une version "mobile" à ce blog, et à ma galerie photo. Mon entourage connaît en général mon dédain plus que profond pour tout ce qui ressemble à un téléphone permettant d'accéder à internet (tous les iBidules en général, en fait). J'aurai donc pu facilement m'abstenir de passer de longues heures à ajuster une version "mobile" de mes sites. Finalement, j'ai réalisé que c'est pour moi une manière ironique et provocante d'aller au bout de ma démarche : utilisateurs de iBidules, vous aurez droit à une version amputée du site. Sans doute bien plus lisible, mais partielle.
Cela dit, et sans mauvais esprit aucun : bonne visite à tous.
Et puis, pour justifier le pluriel de mon titre : j'ai aussi cédé aux sirènes des réseaux sociaux, puisque je suis désormais inscrit sur LinkedIn et Viadeo (Shame. On. Me.).
Hello Bokeh !
La distribution de noms de domaine gratuits a été un beau succès. Et c'est avec plaisir que je vous communiquerai les adresses des sites créés à cette occasion.
Le premier porte un nom que je trouve choupinou tout-plein : Hello Bokeh ! Bravo annso.
J'attends les vôtres :)
Headshot !
Je suis presque abasourdi. En vérité il m'en faut un peu plus, mais tout de même. On assiste maintenant à une annonce comme le monde Mac n'en n'a pas connu depuis dix ans. Valve porte sur Mac les jeux développés pour PC et Xbox :
Steam and Valve's library of games including Left 4 Dead 2, Team Fortress 2, Counter-Strike, Portal, and the Half-Life series will be available in April.
C'est une fantastique nouvelle pour tous les utilisateurs Mac (joueurs ou non). Personnellement j'attendais Half Life depuis sa sortie sur PC fin 1998… Ça met une bonne claque dans la tronche de Bungie (traitres), MacSoft (faineants), et autres Epic (gardez-le votre UT3).