Le blog de nlehuby

Dec 05, 2016

Mes mots de passe

J'ai toujours eu du mal avec les mots de passe. Les inventer, les mémoriser, les changer ... l'angoisse.
Mais, au fil de mon évolution dans le monde digital numérique, je crois que j'ai finalement trouvé comment m'authentifier sans crise de nerf.

Au début, comme tout le monde, j'avais le même mot de passe partout. Nous l'appellerons d'ailleurs Passe-partout ;)
Puis, assez rapidement et heureusement pour moi, les sites ont commencé à le refuser, car Passe-Partout était trop court et tout pourri.
J'ai donc commencé à mettre des mots de passe plus élaborés, mais évidemment, pas moyen de m'en souvenir...
C'est ainsi, plus ou moins malgré moi, que je suis passé à une stratégie "sans mot de passe", ou passwordless.
C'est-à-dire que je ne m'embarrasse pas de mot de passe : à la création, j'en génère un, de préférence bien compliqué à 12 caractères, je le copie bêtement partout où on me le demande, puis, je l'oublie instantanément.
À la prochaine connexion, je n'essaye même pas de me souvenir du mot de passe, je clique direct sur "J'ai oublié mon mot de passe".
Puis je clique bien sagement sur le lien reçu par mail, pour recréer un mot de passe aléatoire que j'oublie aussitôt, puis faire ce que j'ai à faire sur le site.

Au début, c'était involontaire : j'essayais toutes les variantes possibles de Passe-Partout dans le champ, en ajoutant de la ponctuation, des majuscules, etc puis de rage je finissais pas me résigner à changer de mot de passe.
Mais maintenant c'est complètement assumé, et croyez-le ou non, j'ai gagné un certain temps en authentification, et également pas mal en tranquilité d'esprit.

De plus, ça me permet d'avoir un mot de passe différent sur chaque site, et de changer de mot de passe régulièrement. Deux conseils très répandus, mais qui sont un peu comme "Mangez 5 fruits et légumes par jour" et "Épargnez, et commencez quand vous êtes jeune" : on sait tous qu'il faut le faire, mais bon ... on verra demain hein !

Bon bien sûr, il faut que le système qui veut nous authentifier soit potable :
J'ai souvenir d'une époque où l'Assurance maladie gérait la réinitialisation de mot de passe par courrier ...
Et des fois, la réinitialisation consiste parfois à me renvoyer un mail avec mon mot de passe. En clair dans un mail.
Heureusement, j'ai l'impression que les choses ont quand même un peu progressé depuis.
Tellement qu'il semblerait que je ne sois pas la seule à avoir cette idée, et que certains proposent même de concevoir son système d'authentification sur cette solution.

Mais bon, soyons honnêtes, la stratégie passwordless fonctionne bien quand on n'est pas pressé et qu'on a sa boîte mail sous la main.
Pour gérer ses factures trois fois par an, ou utiliser un site de e-commerce à Noël, c'est pas mal, mais ce n'est très adapté pour le quotidien.

En complément de ma stratégie "sans mot de passe", j'ai donc développé une deuxième stratégie que j'appelle "sans mémoire".
Cela consiste à générer un mot de passe pour le site où je veux m'authentifier, à partir d'une technique reproductible.
L'idée étant que, à la prochaine connexion, je puisse re-générer très exactement le même mot de passe, en appliquant la technique, sans jamais avoir eu à retenir ou stocker ce mot de passe en question.
c'est magique

Au début, je le faisais à la main, et je concaténais le nom du service avec le bon vieux Passe-Partout.
Maitenant, j'utilise un service web qui reprend ce concept, avec une technique un peu plus sure que la concaténation, bien sûr ;) SuperGenPass.

Cette stratégie est plutôt efficace pour les sites du quotidien car ça n'alourdit pas trop le processus d'authentification et ça fonctionne très bien sur toutes les plateformes, y compris le mobile, y compris si c'est un Firefox OS, y compris si ce n'est pas ton mobile !

En revanche, dès que le site impose de changer de mot de passe de temps en temps, c'est le drame.
On peut bien sûr ruser et ajouter des caractères manuellement à la fin du mot de passe généré par SuperGenPass, mais bon, c'est un coup à oublier, et quitte à retenir qu'on doit ajouter ";12!" à la fin, autant retenir correct_horse_battery_staple.

D'où la troisième stratégie : la base Keepass, qui est basiquement un gros post-it crypté chiffré.
En effet, Keepass est une solution libre de gestion de mot de passe : les mot de passes sont stockés dans une base chiffrée avec une phrase de passe (un gros mot de passe bien long). Il suffit donc de retenir uniquement cette passe de phrase phrase de passe pour accéder à tous les mots de passe des services où l'on souhaite s'authentifier.
Bon on peut prendre Passe-Partout encore une fois mais s'il est vraiment court et pourri, ça revient un peu à installer une porte blindée mais à toujours laisser la clef sous le paillasson ;)

Et on peut même sauvegarder le login par la même occasion, des fois que ça soit l'id de notre compte dans la base de données du système...
Par contre, comme pour un post-it, il faut l'avoir toujours sur soi, donc avoir des moyens de mettre à disposition de ses différents terminaux la base keepass par une solution de synchronisation ou de partage quelconque, ce qui ajoute un peu de complexité et des potentiels risques de sécurité.

Plus précisément, j'utilise une base keepass (kdbx) hébergée que je consulte avec Keeweb, une interface web de gestion de mot de passe compatible avec le format Keepass.
L'intérêt étant d'avoir quelque chose qui tourne aussi sur mobile y compris si c'est un Firefox OS. Et ça permet d'avoir une interface jolie et ergonomique, parce que c'est pas parce que j'ai envie d'utiliser des logiciels libres que je suis obligée d'utiliser que des trucs moches.

Au final, je jongle un peu entre les statégies, mais je m'en sors pas si mal.
Bon, là par exemple, je viens d'essayer de me connecter sur un site en statégie "passwordless", mais le changement de mot de passe, que j'ai voulu faire avec la stratégie "sans mémoire", n'a pas fonctionnée car ... c'était déjà mon précédent mot de passe. Et à tous les coups, si je cherche dans Keeweb je vais trouver que le mot de passe SuperGenPass y est déjà consigné :p

Oct 30, 2014

Reprenez le contrôle de votre Android

Si un jour on vous avait dit que vous seriez espionné par votre lampe

de poche, vous auriez crié au Philippe K Dick http://t.co/IFSUJbUYqd

twitter_img

— Jean-noël Lafargue (@Jean_no) October 29, 2014

La lecture récente de ce tweet ainsi que ma participation à l'OpenWorldForum, dont le thème pour cette année était "Take back control", m'ont incitée à écrire cet article que j'avais en tête depuis fort longtemps.

En effet, il y a quelques mois, j'ai voulu télécharger une application de lampe de poche. Un truc tout con qui allume le flash de l'appareil photo en un clic et dont on peut mettre un raccourci sur son bureau. Je me suis donc rendue sur le marché d'application de mon smartphone Android et ai recherché une application répondant à ce besoin.

Et là, j'avoue que j'ai été fort étonnée.

Déjà, par le poids des applications. C'est une info assez peu mise en valeur, il faut chercher un peu pour trouver combien pèse une application. Mais j'ai un passif d'utilisation d'un smartphone low cost, le genre où il faut désinstaller les mises à jour des applications systèmes pour être bien sûr d'avoir assez d'espace dispo pour recevoir ses SMS ... donc c'est une information que je regarde toujours avec attention.

Donc bref, les premières applications proposées pesaient aux alentours de 5 Mo.
J'ai souvenir d'avoir utilisé (en dépannage) une distribution linux complète pesant à peine le double ! M'enfin bref, admettons que je me résigne à en installer une tout de même.

Et là surprise, pour allumer la lampe de mon appareil photo, elle me demande des autorisations tout à fait incongrues telles que l'accès à mes contacts (WTF ??).
Le site Snoopwall a d'ailleurs tout récemment publié un article dressant également ce constat.

En plus parano. Moi, je m'étais naïvement dit que les développeurs avaient dû coder ça dans l'urgence et dans le besoin d'une lampe de poche, et qu'ils avaient oublié de retirer les dépendances et les autorisations non nécessaires ... Ah, l'insouciance du grand public :p

Donc bref, ceci n'est qu'un exemple tout à fait quelconque, mais cela fait réfléchir à ce que les gens mettent dans les applications que nous installons les yeux fermés parce que c'est pratique et que la distribution de nos données privées ne nous tracasse pas plus que ça.

Mais plutôt que de se lamenter, je vous propose de vous parler de deux alternatives, qui apportent des solutions à ces deux problèmes cités plus haut.

Fuir les applis qui nous espionnent
Étonnamment, la solution à ce problème est assez simple. Il se trouve qu'il existe un autre marché d'application, ne proposant que des logiciels opensource et fournissant des indications sur le niveau de confiance que l'on peut attribuer à ces applications. Ça s'appelle F-droid, et c'est téléchargeable et installable sur son téléphone de manière tout à fait triviale.
Ce que j'apprécie particulièrement, c'est le fait qu'il prenne en charge les applications déjà installées.
Par exemple, lorsque j'ai installé F-droid, il m'a indiqué que j'utilisais les applications suivantes qu'il avait lui-même dans sa base d'applications : OSMTracker (une appli de contribution à OSM qu'elle est bien) ou encore Firefox.
Lorsqu'on navigue sur une application, en plus de la description de l'application, il nous propose (en gros, gras et rouge) des avertissements sur l'application. Par exemple, pour Firefox, il me met en garde du fait que "cette application promeut des extensions privatives" (en effet, des addons peuvent être installés, et ne sont pas nécessairement opensource(s?)) et également que "cette application épie et rapporte votre activité (en effet, des stats sont envoyés régulièrement aux développeurs pour améliorer le navigateur ; fonctionnalité bien sur désactivable dans les paramètres).
Nous voilà informés et donc en mesure de faire des choix pertinents !

Quelques points négatifs tout de même : je suis souvent tombée sur des applications peu abouties et où il fallait un peu lutter pour trouver comment ça marche (voire même ce que ça rend comme service).
Ce n'est pas sans rappeler les applications libres d'il y a quelques années, où rien qu'à voir l'IHM, on sentait bien que ça avait été fait par des geeks qui en avaient eu le besoin et non par une compagnie qui fait un logiciel pour rendre un service facturé à des utilisateurs clients ...
Mais pas de généralisation hâtive, on y trouve également quelques applications très satisfaisantes : j'ai par exemple découvert avec surprise Twidere, qui est un client Twitter que j'utilise maintenant régulièrement.
J'y ai également trouvé ma lampe de poche, qui pèse 112 ko (oui oui), est distribuée sous licence Apache 2 et ne demande que l'autorisation d'accéder à mon appareil photo et de bloquer l'extinction automatique de l'écran pendant qu'elle est en cours d'utilisation.

F-droid répond à la problématique des applications qui, sous prétexte de gratuité, bafouent notre droit à la vie privée. Mais ça ne répond pas nécessaire au problèmes des applications codées avec les pieds qui prennent tout l'espace disponible sur le téléphone inutilement.
Pour répondre à ce problème, j'ai trouvé une solution du côté de Mozilla.

Fuir les applications qui pèsent trop lourd
Pour bien comprendre, je pense qu'il est important de resituer le contexte. Contrairement à ce qu'on pourrait naïvement penser, Mozilla est une fondation qui a pour objectif, non pas de conquérir le monde avec un navigateur qui ressemble à un renard de feu / un panda roux. Non, Mozilla a pour but de favoriser l'accès à internet. De désenclaver les utilisateurs enfermés dans leurs systèmes privateurs en leur offrant un accès universel (notemment via le web).
Le navigateur Firefox est un outil qui répond très bien à ce besoin.
Thunderbird également, en nous rappelant que le mail est un outil de communication et non un logiciel Microsoft ou une IHM web de Google.
Et pour le mobile, les applications Firefox pour Android répondent également à ce besoin.
En effet, ces applications sont des encapsulations d'applications web qui s'installent et s'utilisent comme des vraies applications Android.

L'intégration des ces applications dans l'éco-système Android est réellement bluffant : ces applications

  • s'installent comme des app android à partir d'un marché d'applications
  • sont listées avec les autres applications dans le système
  • se mettent à jour comme les autres applications

[EDIT 2016 : Mozilla a mis fin à ce programme, il n'est plus possible d'installer sur Android des applications FirefoxOS avec Firefox pour Android. Mais les applications Firefox OS qui sont des réelles appli web restent utilisables sur Android (c'est le cas d'OpenBeerMap)]

Une fois installées, il est même parfois difficile de les différencier des autres. Ici, OpenBeerMap, installée sur un Android depuis le marché d'application de Firefox : capture 1 de l'intégration d'OpenBeerMap capture 2 de l'intégration d'OpenBeerMap capture 3 de l'intégration d'OpenBeerMap

Un point important à noter : ces applications peuvent fonctionner hors ligne (si elles sont bien foutues. Pas OpenBeerMap, donc). Ce sont les technologies du web, mais ça ne veut pas forcément dire qu'un accès au web est nécessaire à tout moment. Bon ok c'est cool me diriez-vous, mais une application, en général, ça rend un service un peu plus avancé qu'un site web. Effectivement, mais Mozilla a aussi une réponse pour ça : des API d'accès au matériel sont en développement et en cours de standardisation.
Elles permettent donc à des applications web d'accéder à l'appareil photo ou aux contacts, d'afficher des notifications ou de faire vibrer le téléphone.

L'implémentation effective de ces APIs est encore au stade expérimental mais il y a déjà des choses sympa qui fonctionnent et on a déjà des services efficaces proposés ainsi.
Les applications sont téléchargeables sur le marché d'application de Firefox OS, le système d'exploitation basé sur les technologies du web que Mozilla a lancé il y a quelques années et qui a débarqué en France depuis quelques mois.

Par exemple, l'application de prise de notes de mon téléphone est une application Firefox pour Android Elle fonctionne parfaitement hors ligne et sauvegarde en local les notes que je prends.
Elle permet également un stockage dans le cloud, pour permettre d'utiliser l'application depuis plusieurs terminaux. Sans mentir, c'est sans doute une des meilleures appli de prise de note que j'ai testées sous Android.

C'est aussi sur le marché d'application de Firefox OS que j'ai trouvé l'application de météo que j'utilise au quotidien : l'appli F&C
Avec un design simplifié au max mais néanmoins convaincant et terriblement efficace, elle permet d'avoir une tendance sur la météo. Et elle pèse environ 350 Ko (dont la moitié occupée par des données, telles que les endroits où j'ai voulu connaitre la météo et que j'ai sauvegardés).

capture de F&C autre capture de F&C

Ces applications battent des records de poids. Mais pour le moment, elles ne répondent pas à ma première problématique et il est aujourd'hui difficile de savoir si elles sont utilisées pour collecter des données sur leurs utilisateurs.

Espérons qu'une solution adressant ces deux problématiques verra le jour prochainement.