Less Facebook, Less Phone [en]

[fr] Moins de Facebook et de téléphone en ôtant l'app (restera l'ordi et l'iPad). Une collection de liens et de réflexions sur ce que sont devenus ces "médias sociaux" qui sont maintenant un "canal de distribution de contenu" dans lequel injecter des conversations est un pitch de startup.

I read this yesterday and removed the Facebook application from my phone again. Again, because I had done it a few months ago. I reinstalled it upon the death of a friend, who was also the founder of an online community I manage, and I needed to be connected better during those times. And I didn’t remove it afterwards (when is “afterwards”, when somebody dies?)

So, I’ve removed it now. I have a wristwatch again, too – have had for a few months. I like not having to take my phone out to know what time it is.

I’ve decided it was time to put my phone in flight mode during the night again, too, and I intend to leave it off for the first hour of the day. We’ll see how that goes. The next step will be implementing a shutdown time at night, too. I’d done it sometime back – no tech after 9pm.

For months now, it’s been bothering me. Maybe years. So much fear and outrage online. I’m sick of the outrage. What I fled when I stopped watching TV news has now caught up with me on Facebook. I remember this French TV executive who said very openly that they were in the business of selling “available brain time” to advertisers. Nothing has changed, it’s just online too now. I’m acutely aware how often I am “stuck on Facebook” when in fact I wanted to be doing something else. I feel a bit like a fool to have believed the digital world was something different. It was just because it was new.

As I am coming to terms with an upcoming shift in my career focus, which will probably mean “less social media”, I am reminded of what brought me here when I hear a startup pitching a social network that will “bring conversation” into social media, and describing social media as “content distribution”. I came here for people. For relationships. For conversations. For the web we lost, probably.

Similar Posts:

Journaling With Google Keep [en]

[fr] Google Keep, super pratique à utiliser pour prendre des notes (avec photos!) ou tenir un journal.

During my holiday in Spain last May, I started journaling. I had two weeks “off”, sailing, and days quickly started to run into each other. So before going to sleep, I’d pick a photo of the day, and jot down where we had gone, what notable things happened, etc. Actually, the thing that got me started was being hit by a nasty wave of grief about losing Tounsi. And then I kept going.

I first used Apple Notes, but Google Keep quickly seemed more appropriate. It’s my main note-taking app. I also like the way it displays notes, with the photo(s) visible, and a snippet of text. I created a “Journal” label, so that I can easily filter all my journal entries if I want to.

I like the practice of taking a few minutes to sum up my day. I keep it short, avoiding the dive into stream-of-consciousness meandering around what I’ve been thinking, sticking to the factual. I think that’s what has allowed me to keep it going.

Lately, I’ve also used Google Keep to take notes during an outing to discover edible plants. Snap a photo of the plant, put the name in the note, and jot down relevant info. I remember missing out on taking notes like this during a previous “mushroom” outing: I ended up with a pile of photos and a pile of notes, but insufficient memory of which name went with which photo.

Similar Posts:

Rendre visibles ses articles de blog, c’est galère [fr]

[en] Yep, making your blog articles visible sucks -- so does making anything visible.

Bon, pis les blogs? “Galère pour rendre visibles ses articles de blog,” me dit-elle. Je crois que c’est comme pour tout. On est vraiment sur-sollicités. Tout le monde et toutes les marques sont sur Facebook. C’est la surenchère du “comment faire pour que les gens remarquent ce que je fais”. Parce que oui, faut faire bien, être pertinent, répondre à un besoin chez l’autre… mais s’il ne sait pas qu’on existe, tout ça, c’est inutile!

Je ne dis rien de nouveau. C’est pour ça qu’on a la pub. On est tous dans une grande foule à tenter de se faire entendre. Ou voir. Le premier qui monte sur la table ou les épaules de quelqu’un, on va le voir. Mais si tout le monde le fait, on ne voit plus personne.

La solution? Perso, je pense qu’on va “en revenir” un peu, de cette surenchère à capter l’attention de tous. Quand tout le monde vous crie dans les oreilles, celui qui vous donne un petit billet réussira à se faire entendre. C’est ce qu’on disait au début du web, ce que disait le Cluetrain: on est pas des “eyeballs”, on est pas des nombres, on en marre qu’on nous objectifie pour nous vendre des trucs.

Et j’ai l’impression, de plus en plus, qu’online est devenu ce qu’était avant offline. Exemple bête, les infos. J’ai arrêté de regarder les infos il y a des années parce que ça ne faisait que me rendre plus anxieuse. Maintenant les infos sont partout sur Facebook et Twitter. La pub aussi.

Alors, moi, je crois (et j’insiste sur “croire”, c’est une croyance) qu’on va finir par revenir au fondamental: aux gens, aux relations. Quand on est saturé d’infos, et qu’on réalise qu’on ne peut pas leur faire confiance (Fake News anybody?) on va finir par recommencer à demander à son voisin ce qu’il en pense.

Retour au personnel, au relationnel. (C’est de ça que j’ai causé mardi à Genève, d’ailleurs.)

Alors, le blog? Le blog reste (j’en suis persuadée) l’endroit par excellence pour une communication humaine un peu plus développée et moins réactive que les commentaires Facebook. La discussion c’est bien, et utile, et nécessaire, mais des fois c’est bien de réfléchir un peu plus tranquillement dans son coin.

Son problème, c’est la distribution, et c’est là qu’il est “comme tout le reste”. Faut avoir un réseau de malade sur Facebook, Instagram, Twitter, et ailleurs. Faut savoir présenter les choses de façon accrocheuse pour capter l’attention du facebookeur décérébré (je sais, j’en suis aussi), qu’il clique et qu’il lise (et ne se contente pas juste de partager, ou pire, d’ignorer). D’ailleurs, je mets maintenant des photos à mes articles, même si elles n’ont rien à voir. Sinon, ils n’existent même pas, dans l’écosystème de distribution Twitter-Facebook-Linkedin.

Le chat qui miaule bien fort obtient les croquettes…

Les lecteurs RSS sont quand même bien morts avec Google Reader.

Le revers (positif) de la médaille, c’est l’e-mail. Avec la démocratisation des outils sociaux, notre e-mail s’est quand même un peu vidé de toutes sortes d’activités qui fonctionnent mieux sur Facebook et consorts. Je ne sais pas vous, mais pour ma part, je ne croule pas sous les mails. Les humains ont appris à utiliser des filtres (pas tous, ok, mais quand même), Gmail a commencé à regrouper nos longs échanges en conversations, et les boîtes de réception sont de plus en plus intelligentes.

L’e-mail, qu’on a voulu mort il y a des années (je me souviens de quelques interviews, dont une, j’étais sur le quai de la gare de St-Prex, marrant comme ça marche la mémoire, bref, on essayait de me faire dire que l’e-mail c’était fini, non mais tu rêves), c’est un certain retour à ces messages de moi à toi, en privé, loin de tout le bruit et des sollicitations. C’est pas pour rien que les newsletters reprennent du poil de la bête.

Donc, assurez-vous qu’on puisse s’abonner à votre blog par e-mail. J’adore le blog de Sylvie. Mais si je n’étais pas abonnée par e-mail, je raterais beaucoup d’articles. L’e-mail, je sais que je le regarde. Au moins le titre. Les réseaux sociaux, c’est pas fait pour tout voir. C’est conçu pour faire remonter les voix les plus fortes, et ce sont elles qu’on finit par entendre. On y a beaucoup cru (je me mets dedans), mais ça a des effets vachement pervers, mine de rien.

Donc oui, rendre son blog visible, c’est la galère. Rendre n’importe quoi visible, en fait.

Il y a certainement des choses à redire concernant les idées que j’émets ici. J’ai écrit tout ça d’une humeur un peu “coup de gueule” qui reflète aussi où j’en suis par rapport à tout ça. Si vous avez des objections ou des avis différents, je serai ravie de les entendre.

Similar Posts:

Addictive Tech [en]

This week-end I was listening to a Fresh Air interview of the author of Irresistible, on addictive technology. I don’t like the idea of considering tech overuse as an addiction. But if we leave words like that one aside, I find myself in agreement with Adam Alter.

Here’s my main take-away, the one that has been trotting in my head since then: if you find yourself checking Facebook or whatever on your phone when you would actually rather be doing something else, then it means there is a problem.

This happens to me. A lot. But being aware of it makes it reasonably easy to snap out — which I have been doing regularly these last days. “Do I really want to spend my Sunday morning hanging out on Facebook?”

I’ve also installed Moment to try and get some objective measure of my usage, but I keep forgetting to take the screen shots.

Similar Posts:

Russian Passenger [fr]

Tout à l’heure, j’ai écouté l’épisode “The Russian Passenger” du podcast Reply All. Alex arrive avec une question: il a d’un coup commencé à recevoir des alertes Uber pour des trajets à Moscou, au milieu de la nuit. Il voit que les trajets sont facturés à sa carte de crédit.

Il tente de se connecter à son compte via l’application sur son téléphone mais… son compte ne semble plus exister! L’investigation subséquente nous mène dans le monde du traffic de comptes et de mots de passe. On envisage d’abord l’hypothèse d’une faille de sécurité chez Uber, abandonnée au profit de la réutilisation de mots de passe. En effet, quand on réutilise ses mots de passe, il suffit qu’un service qu’on emploie soit compromis, et les trafiquants de comptes vont ensuite essayer notre combinaison “e-mail + mot de passe” un peu partout, pénétrant ainsi dans des comptes de service qui n’ont pas été compromis. Dans le cas d’Alex, il semblerait même que ce soit son compte Gmail qui ait été hacké, alors même qu’il utilise la double authentification… Le mystère demeure.

Bref, encore une histoire qui met en avant l’importance de ne jamais réutiliser ses mots de passe, et donc d’avoir un gestionnaire de mots de passe pour les gérer (parce que s’en souvenir c’est impossible).

Similar Posts:

More Friction [en]

I think that now that we are all experiencing that we can be “public” (something we couldn’t 20 years ago) we’re going to be crawling back into more private spaces, understanding that the advantages we can see to “reaching more people” or “micro-fame” come with a load of drawbacks. But we need time in these public spaces to really get what those drawbacks are (as a society).

On a personal level, I can feel the pull towards publication spaces which have more friction. I was reading an author’s blog this morning — a full-time SF author who is quite well known. There were only a handful of comments on each blog post. It felt, reading his blog, that I had a priviledged contact with him — something I’m not going to feel on his 25k+ facebook page. Something that reminds me of the early days of online socialising and blogging.

When I write stuff on my blog, although it’s “the public internet”, it feels like a more intimate space, because it’s less reactive. The content is harder to get to. And there is value in that.

This was initially a Facebook comment.

Similar Posts:

At Some Point I Started Caring About What I Wrote Here [en]

[fr] A un moment donné j'ai commencé à me soucier de ce que j'écrivais ici. Dans le sens de me soucier de ce qu'on allait en penser.

When did it happen? I’m not so sure. At some point, I started caring about what I wrote on my blog. I started thinking about what others would think. I used to just write what I felt like writing. I didn’t have this sense that I had an “audience”. Sixteen years ago, pretty much nobody I knew was online. I knew online people, of course. But they were online people. My tribe.

I realised that after following an online course called Writing Your Grief. It was just after Tounsi’s death, but I’d already signed up – it was coincidental. For the first time in a long time I was writing things that weren’t meant to be published, but that weren’t journaling either. It was an extraordinary experience: not just as related to my grief, but for the writing. We had a private Facebook group in which we could share our writing and read each other’s pieces. A room full of compassionate strangers. I hadn’t written like that in years. More than a decade, maybe. And I loved what I wrote. You know, when words seem to write themselves, and your writing actually tells you something?

Morning Pages do that, but they are less structured. More stream-of-consciousness. I haven’t been able to pick up Morning Pages again since Tounsi died. Maybe I will someday. Right now I feel like I’m holding on by the skin of my teeth, so I don’t have the courage to dive back in.
While I was mulling over this new/old writing I’ve connected with (again?), Adam shared a link to this piece about blogging. Which I read.

You know it’s a recurring theme here on Climb to the Stars. I miss the Golden Age of Blogging. And when I was reading the piece linked above, about how blogging went from carefree online writing to being all about influencers, my feelings finally collided into a thought: yes, that was it. I missed writing without caring too much about what people would think. About being judged. About having to be “good” because my job depends on it now. Similarly, I noted the other day on Facebook that I wasn’t online to sell or market stuff, I was online because I liked it here. Because I enjoy it.

Catch-22, right? Because I enjoy it, I made it my job, and now it matters. I’m not a nobody anymore. I have clients. Colleagues in the industry. And I care what they think. And so I write less. I’m careful. I self-censor – more. I enjoy it less.

And now I’ve found a different pleasure in writing. Writing things I’m scared to show people, because I hope they’re good, but fear they’re banal. Expectations. Ah, expectations.

I guess I’ll just keep writing.

img_1178

Similar Posts:

Cloudbleed: faut-il à nouveau changer vos mots de passe? [fr]

[en] Archive of my weekly French-language "technology advice column".

Ma newsletter hebdomadaire “Demande à Steph” est archivée ici pour la postérité. Chaque semaine, un tuyau ou une explication touchant à la technologie numérique, ou une réponse à vos questions! Inscrivez-vous pour recevoir directement la prochaine édition. Voici l’archive originale. Et la page Facebook!

Note: cette semaine, vu le caractère “actu” du sujet, je la reproduis ici immédiatement, mais normalement je fais ça avec beaucoup de retard…

Ceux qui suivent un peu l’actu du web n’auront pas raté la dernière grosse faille de sécurité Cloudbleed. Si vous vivez dans le monde “normal”, il y a des chances que vous n’en ayez pas entendu parler — alors que ça vous concerne probablement.

Je vais résumer, puis vous dire quoi faire 🙂

Résumé:

Cloudflare est un service de “cache”, ça veut dire qu’il intervient pour soulager les serveurs web qui peinent à gérer un trop fort traffic. Vous savez, quand on veut acheter des billets pour le Paléo et que “rien ne marche”? C’est le serveur qui pétouille car trop de gens veulent s’y connecter en même temps. (Un cas typique où ça arrive c’est en cas d’attaque DDOS, je vous en avais parlé il y a quelque temps).

Cloudflare prend le relais pour montrer lui-même les pages web demandées à la place du pauvre serveur surchargé. Le visiteur ne remarque rien. Par exemple, quand vous allez sur mon blog, c’est Cloudflare qui vous montre les pages, pas mon serveur. C’est un service super facile à mettre en place, donc super populaire.

Une petite erreur de programmation, et hop, les pages web servies par Cloudflare étaient susceptibles de contenir des informations aléatoires provenant d’autres sites, y compris mots de passe, messages privés, identifiants de session, etc (un identifiant de session c’est le machin qui fait qu’on “reste connecté” à un service sans devoir redonner son mot de passe tout le temps).

Ces pages web ont été enregistrées pendant des mois par les moteurs de recherche (Google et compagnie) et possiblement par d’autres services qui mettent en cache des pages web pour rendre leur chargement plus rapide (les navigateurs web font ça par exemple).

Cloudflare a réagi vite, réparé le problème, et fait purger autant que possible les informations indiscrètes des moteurs de recherche. On n’a pour le moment pas de preuve que ces données ont été utilisées à de mauvaises fins jusqu’ici — mais le mal est fait: votre mot de passe Uber ou OKCupid se balade possiblement quelque part dans la nature.

Que faire?

Comme les mots de passe liés aux sites utilisant Cloudflare ont possiblement été compromis, il faut changer ces mots de passe. Je vous rappelle que l’enjeu en cas de fuite de mot de passe n’est pas “quelqu’un va lire vos mails” (ça, désolée, mais on s’en fout), mais plutôt “vos comptes vont être exploités pour arnaquer vos connaissances ou comme cyberarme pour influencer des élections à l’autre bout de la planète”. J’explique tout ça dans mon article “c’est pas toi qu’on vise.

Quand on doit changer tout un tas de mots de passe, on se félicite d’utiliser un gestionnaire de mots de passe et d’avoir cessé depuis belle lurette d’essayer de les mémoriser.

(Rappel: si vous pouvez vous souvenir de vos mots de passe, ils ne sont pas assez forts. Seule exception: une poignée de mots de passe Diceware, pour votre e-mail principal et votre gestionnaire de mots de passe, par exemple. Explications.)

Un gestionnaire de mots de passe vient avec un générateur de mots de passe: le plus long c’est le mieux. Changer de mot de passe prend une minute, et comme il n’y a pas besoin de s’en souvenir, c’est tout ce qu’il y a à faire.

Quels mots de passe changer? Cloudflare est super populaire, et on ne “voit” pas qu’un site utilise Cloudflare quand on le consulte. On peut vérifier à l’aide de ce site, “Does it use Cloudflare?” — tout en sachant qu’on est dans le monde des “possibles”, qu’un site utilisant Cloudflare n’est pas nécessairement compromis, et qu’un site qui n’apparaît pas dans la liste n’est pas “garanti 100% sûr” non plus. Il y a aussi une liste sur GitHub (ils ont ratissé large).

Pour vous simplifier la tâche, commencez déjà par UberOKCupidMediumLe TempsFitBit. S’il y a un bouton dans vos paramètres pour “déconnecter toutes les autres sessions”, utilisez-le.

Après, jetez un oeil sur la liste de GitHub pour voir si des sites que vous utilisez vous sautent aux yeux. Et mettez l’adresse de vos services favoris dans Does it use Cloudflare? pour vous assurer qu’il ne faut pas changer ces mots de passe là.

Et si vous êtes du genre à utiliser les mêmes mots de passe un peu partout… je vous conseille vraiment d’installer un gestionnaire de mots de passe et de tout changer. Ordre de priorité: email, facebook, admin de votre site web si vous en avez un, Twitter, Instagram…

Je vous entends soupirer, et je compatis. Le vie numérique demande tout un tas de compétences qu’on ne nous enseigne pas, et qu’il faut apprendre sur le tas. A nouveau, si vous nagez, faites-moi signe en répondant à ce mail et je regarde comment je peux vous aider!

Quelques sources en français sur Cloudbleed: Cloudflare, pourquoi la fuite de données vous concerne, (Numerama)Bug chez Cloudflare: pensez à changer vos mots de passe (Libération)Cloudbleed: importante fuite de données chez Cloudflare, changez vos mots de passe (NextInpact)

Similar Posts:

Stratégie médias sociaux: à distance ou en dialogue? [fr]

[en] I'm always astonished when I hear about people developing social media strategies for a client "on their own". For me, the strategy emerges from the discussion between two parties, each bringing their expertise to the table: social media, and the company/context the strategy is for. I sell a process rather than strategies.

Je me souviens de la première fois qu’on m’a explicitement demandé de “pondre” une stratégie médias sociaux. Pas avec ces mots, bien sûr. On m’a demandé, après un entretien d’embauche, de “juste” mettre par écrit une stratégie pour l’organisation en question.

J’étais à la fois estomaquée et confuse: premièrement, je ne m’attendais pas à ce qu’on me donne une “mission” (et j’ignorais totalement que ce genre de chose se pratiquait, m’étant présentée à un seul véritable entretien d’embauche dans ma vie), et deuxièmement, produire de mon côté, en toute autonomie, une “stratégie médias sociaux” me paraissait d’un non-sens sans nom.

Au fil des années, j’ai rencontré à plusieurs reprises cette idée de production de stratégie médias sociaux “à distance” de l’organisation qu’elle concerne. Comme exercice pour des étudiants, comme demande de la part de clients potentiels, ou encore de la part d’agences.

Et je ne comprends toujours pas.

Pour moi, une stratégie est le résultat d’une rencontre: moi, qui amène à la table mon expertise en médias sociaux, et le client, qui amène à la table son expertise sur son organisation et les contraintes et moyens qui fournissent le cadre dans lequel on travaille. La stratégie émerge de la discussion. Pas de mon cerveau, ex nihilo, après avoir absorbé quelques généralités concernant mon client.

Du coup, ça m’a aidé à être plus claire avec mes clients — qu’ils soient le “client final” ou non. Je ne vends pas des stratégies, mais un processus d’accompagnement pour développer ensemble la stratégie. Economie d’énergie, économie d’argent, économie de temps. Une approche née du monde numérique, dans lequel il coûte peu de tester une idée directement, de planifier en cours de route, plutôt que de prendre des lustres “hors terrain” pour tenter de deviner ce qui prendra.

Certes, la planification a sa place. Mais des fois, il vaut mieux faire, et voir.

(Scoop: je suis restée indépendante.)

Similar Posts:

Mots de passe: c’est pas toi qu’on vise [fr]

[en]

They aren't after you, and aren't interested in reading your e-mails. Hackers ("crackers", actually), are just after the easy accounts they can compromise. So, if you're the one with a bad or reused password, your account is the one that might be used to send spam or participate in a cyberattack at some point.

Short version: if you can memorise your passwords, they're not good enough. Generate them automatically. Make them long. Use a password manager. And double authentification everywhere you can.

…Mais c’est toi qui vas avoir des emmerdes quand même.

I Can't See You...Photo: Peter @ Flickr

Un faux sentiment de sécurité

Je te connais, lecteur, lectrice: tu as un peu la tête dans le sable quand il s’agit de mots de passe et de “sécurité informatique”. Tu vois, tu bâilles déjà.

Tu sais que tes mots de passe sont un peu simples et que tu devrais pas les réutiliser. Mais tu te rassures (à tort, je te préviens déjà):

  • “Je suis insignifiant(e), qui diable pourrait vouloir hacker mes mails/mon site/mon compte Facebook?”
  • “Au pire, j’ai rien à cacher, si quelqu’un lit mes mails, grand bien lui fasse, je m’en fiche un peu.”

Allez, avoue, tu as pensé au moins une de ces deux choses quand tu as lu “mots de passe” dans le titre de mon article. Et tu n’es pas tout(e) seul(e).

Cet article va t’embêter, je te préviens déjà, car il va te sortir la tête du sable et tu risques de dormir un peu moins bien cette nuit. Si tu tiens à ton sommeil, mieux vaut arrêter de lire.

C’est trop long, et tu veux juste le résumé?

  1. Active la double authentification partout
  2. Utilise un gestionnaire de mots de passe
  3. Assure-toi que tous tes mots de passe sont de longues séquences de charabia inintelligible du genre de ce qu’affectionnent les informaticiens qui se soucient de la sécurité.

Tu vois… Ça semble être beaucoup de boulot et ne pas valoir la peine, parce que tu n’as pas (encore) assez peur. Je te comprends, hein. J’ai été à ta place. Il y a longtemps…

Tu continues à lire? A tes risques et périls.

Pourquoi je devrais m’inquiéter?

Je vais d’abord répondre à la grande question qui te turlupine: “Si personne ne m’en veut au point de hacker mon site, et si je n’ai rien de bien important dans mes mails, pourquoi devrais-je me préoccuper de mes mots de passe et de la ‘sécurité’, du coup?”

  1. Les hackers ne visent pas des personnes particulières: ils visent les comptes les moins bien sécurisés. (Genre, le tien, si ton mot de passe est “Raminagrobis1!”)
  2. Les hackers n’en ont rien à faire de lire tes mails: ils désirent utiliser ton compte comme arme pour nuire à autrui. (Genre, envoyer du spam, si tu as de la chance, ou lancer une cyberattaque contre un gouvernement, si tu en as moins. Ou arnaquer tes proches “pas très doués avec internet” pour leur soutirer de l’argent. Tu rigoles, mais ils sont bien plus doués que tu ne l’imagines.)

J’explique un peu, parce que je te sens à moitié convaincu(e), là. Et tu es déjà en train de tenter de te rassurer en te disant que ton mot de passe est pas si mauvais que ça. Après tout, y’a une majuscule, des chiffres, et un signe de ponctuation dedans. Je reviens dans un moment sur “bon/mauvais” mot de passe, mais en très bref: si tu peux t’en souvenir, il est craquable.

Les gens qui vont chercher à rentrer dans tes comptes (e-mail, Apple, Facebook, blog, site, Instagram, Twitter et autres Snapchat) sont comme des voleurs qui testeraient systématiquement toutes les portes de l’immeuble dans lequel ils sont rentrés. Ils appuient sur la poignée: si ça ouvre, bingo! La personne qui aura droit à leur visite, c’est Jacques Bolomey du 9e en face de l’ascenseur, qui n’a pas fermé sa porte à clé, parce qu’il n’a rien de valeur chez lui, et en plus y’a personne qui lui en veut personnellement au point de commanditer une expédition cambriolesque chez lui.

Tu vois comment ça marche: on a toute une collection d’e-mails. On s’en fiche à qui ils sont. On regarde juste si on peut rentrer. Et du coup, si tu as un “mauvais” mot de passe (je rappelle qu’on reviendra sur ce qu’est un bon ou mauvais mot de passe), hop, ton compte sera compromis. Et ils font pas ça à la main, hein, ils ont des robots qui bossent là-dessus 24 heures sur 24.

Reste la question de la visite. Si tu es comme Jacques Bolomey, tu te dis, ok, les voleurs sont entrés chez moi, j’ai rien à voler, dommage pour eux. Sauf que dans notre histoire, les voleurs ne cherchent pas à repartir avec des objets de valeur. Ils veulent utiliser ton appart pour nuire au monde. Je reprends une image que j’ai déjà utilisée: ils vont planquer de la drogue dans les murs, lancer des bombes puantes depuis ta fenêtre (ou y installer un sniper), mettre la musique à faire trembler tout l’immeuble, et probablement foutre le feu à la penderie en partant pour couvrir leurs traces.

Tu vas rentrer du boulot pour trouver l’appart en cendres, et les flics qui t’attendent parce qu’ils ont quand même mis la main sur l’héro, ou que le sniper a tué quelqu’un, et puis bon, ils aimeraient “te parler”. (Si tu as du bol et qu’il n’y a ni héro, ni sniper, ni pyromanie, tu vas peut-être t’en tirer avec un avertissement de la gérance pour la musique et les bombes puantes.)

Ce que tu risques vraiment

J’arrête là l’analogie qui vaut ce qu’elle vaut. Voici les vraies choses qui peuvent arriver si quelqu’un de mal intentionné parvient à accéder à un de tes comptes:

  • Ton adresse e-mail peut être utilisée pour envoyer du spam
  • Le serveur de ton site web peut être utilisé pour envoyer du spam
  • Ton site web peut tenter d’installer des logiciels malveillants sur l’ordinateur de ceux qui le visitent
  • Ton site web peut se retrouver plein de liens pour des sites pornos ou des produits pharmaceutiques
  • Ton site web peut être redirigé sur un site peu professionnel (porno, jeux, ferme à contenu grouillant de pubs douteuses)
  • Ton compte Facebook peut être utilisé pour envoyer des messages d’arnaque à tes contacts (ton e-mail aussi, bien sûr)
  • Ton compte Facebook peut être utilisé pour inviter tes amis à installer des applications pourries ou cliquer sur des liens douteux qui installeront des trucs pourris sur leur ordi (tu vois l’idée)
  • Ton compte Facebook peut être utilisé pour liker et commenter un peu partout, voire être transformé en “compte fantôme” ou “faux compte” (tu sais, les gens qui achètent des “like”…?)
  • Ton serveur web peut être recruté pour faire partie d’une “armée de robots” qui mèneront diverses attaques coordonnées dans le but de rendre non-opérationnels d’autres serveurs ou des parties d’internet (cf. l’attaque d’octobre dernier qui a paralysé une bonne partie d’internet)
  • Depuis ton e-mail, on peut demander une remise à zéro de n’importe quel compte qui y est rattaché…
  • Avec le mot de passe de ton compte Apple ou Google, on peut installer des choses sur ton ordinateur ou ton téléphone, ou les effacer
  • …je pourrais continuer.

Et les conséquences pour toi?

  • Si ton e-mail envoie du spam, tes vrais mails finiront plus souvent dans les indésirables de tes destinataires, sans que tu le saches
  • Si ton serveur web se comporte mal, ton hébergeur te sommera de faire le ménage (tu sais faire?) ou pourrait par exemple désactiver ton site web en attendant
  • Si ton compte Facebook fait des cochonneries derrière ton dos, Facebook risque de brider ton compte, t’empêcher de liker, de poster, de commenter, par exemple — voire le suspendre
  • Si ton site web est bourré de pubs et de liens douteux, Google va le pénaliser ou le désindexer (souvent les pubs ne s’affichent que pour Google, donc tu n’y verras rien)
  • Si ton compte mail ou Facebook envoie des messages “SOS je me suis fait agresser au fin fond de l’Afrique et j’ai tout perdu, peux-tu STP m’envoyer des sous” à tous tes contacts, déjà ça fait désordre, ensuite si Tante Agathe tombe dans le panneau, tu te sentiras vraiment très mal (oui oui on se dit tous que c’est évident que c’est une arnaque… eh bien “même moi” je ne suis pas passsée loin de me faire avoir par un truc du genre; on est toujours plus intelligent après que sur le moment.)
  • Si ton serveur web est utilisé à des fins cybercriminelles à ton insu, c’est pas très cool…
  • Si ton compte Instagram commence à publier des dames toutes nues au lieux de photos de nourriture, ça plaira peut-être à certains, mais pas à tous
  • Idem si ton site web professionnel se transforme du jour au lendemain en site porno

Bref. Tu vois le genre de truc auquel on fait face? On est loin de “bah, si quelqu’un veut lire mes mails…”

Bon ou mauvais mot de passe?

Si tu as survécu jusqu’ici, tu es probablement en train de stresser un peu. (Sauf si ces questions de sécurité, c’est un peu ton métier, en quel cas tu as probablement envie de me dire de quel bois tu te chauffe, parce que oui, mea culpa, j’ai un peu abusé des simplifications et analogies pourtant bien parlantes mais un poil imparfaites.)

Donc, tu stresses, et te te dis que tes mots de passe, avec un peu de chance, ne sont pas si mauvais que ça, et que (on peut rêver) tu n’est pas concerné(e).

J’ai de mauvaises nouvelles: si tu peux te souvenir de tes mots de passe, ou s’ils sont listés dans un document Word sur ton ordi, c’est mal barré. Oui, même si tu as un mot de passe de base que tu fais varier de service en service, comme j’ai fait durant des années. Aujourd’hui, ça ne suffit pas.

La puissance de calcul des ordinateurs augmente chaque année, raccourcissant ainsi le temps nécessaire à craquer un mot de passe par “force brute” (en essayant toutes les combinaisons les unes après les autres). Les recommandations d’il y a deux ans sont déjà dépassées, et celles d’il y a cinq ans, je te dis pas.

Les craqueurs sont aussi intelligents que nous et ils lisent les mêmes recommandations pour “faire de bons mots de passe”.  Ils donnent à manger les recettes à leurs petits algorithmes, et hop, le tour est joué. Une “recette secrète” n’augmente pas la sécurité de ton mot de passe, car elle n’est jamais secrète. Ce qui permet d’évaluer si un mot de passe est “sûr” ou pas? Le temps nécessaire pour tester toutes les possibilités quand on connaît la recette. Oui, tu m’as bien lue.

Un bon mot de passe, aujourd’hui, fait minimum 12-16 caractères de long (plus c’est mieux, hein!) et n’a pas été généré par un être humain. Nous sommes beaucoup trop prévisibles. C’est pour ça qu’il faut absolument utiliser un gestionnaire de mots de passe, qui nous évitera d’avoir à nous en souvenir, et à les taper! Magique!

Et là, tu me dis: “Euh mais c’est pas dangereux d’avoir tous ses mots de passe comme ça au même endroit?” Avec le recul, tu comprendras l’ironie de ta question, mais je vais te répondre tout à fait sérieusement: non, car la base de données contenant tes mots de passe sera fortement cryptée à l’aide du mot de passe maître que toi seul connaîtras. Sans cette clé, la base de données est un coffre-fort inviolable, inutile à quiconque mettra la main dessus. Pour autant bien entendu que ton mot de passe maître soit incraquable — et que tu puisses t’en souvenir. “Euh attends… Tu as pas justement dit que c’était impossible? Que si on pouvait s’en souvenir, ce n’était pas un bon mot de passe?” Tu suis bien, petit scarabée. J’ai effectivement dit ça, et j’avoue que j’ai simplifié un peu. Il existe une méthode pour créer des mots de passe très sûrs et faciles à mémoriser: diceware.

De la réutilisation des mots de passe

Une autre chose importante à comprendre, et qui explique pourquoi il ne faut jamais réutiliser un mot de passe, c’est que les craqueurs ont des listes. Des listes d’e-mails associés à des mots de passe, et des listes de mots de passe associés à leur forme cryptée. Ça devient un poil technique, mais si tu as lu jusqu’ici, accroche-toi, c’est la dernière pièce du puzzle.

Les services en ligne stockent dans leur base de données notre nom d’utilisateur (souvent notre e-mail) et notre mot de passe, pour pouvoir nous reconnaître lorsque l’on s’identifie. Logique. Et comme les mots de passe c’est secret, ils les cryptent avant de les mettre dans leur base de données. Crypter un truc, ça ne marche que dans un sens: on peut transformer un mot de passe en sa forme cryptée, mais pas vice-versa. Quand on se connecte à Facebook, par exemple, on tape son mot de passe, mais le formulaire le crypte directement et l’envoie sous cette forme à Facebook, qui va comparer ce qu’il a reçu (crypté) avec ce qu’il a stocké dans sa base de données (crypté aussi). Facebook, en fait, ne “voit” jamais ton mot de passe, juste sa forme cryptée.

Parfois, les services en ligne se font “hacker”, comme on dit, et il y a fuite de données. Ça veut dire que quelqu’un s’empare d’un morceau de la base de données, par exemple la liste de tous les noms d’utilisateurs et les mots de passe (cryptés) associés. C’est là qu’on s’amuse avec la “force brute” dont j’ai parlé avant: on génère des tas de mots de passe, on les crypte, et on regarde si ça correspond à quelque chose dans notre liste. Si oui, eurêka, on a “décodé” un mot de passe! (Je simplifie mais c’est ça l’idée.)

Il y a aussi des services pas très sérieux qui ne cryptent pas les mots de passe. S’ils se font hacker, bingo. Et là, tu commences à voir pourquoi ça pourrait être un problème de réutiliser à plusieurs endroits le même mot de passe. Imaginons que LinkedIn se fasse hacker. (C’est arrivé.) Pas de panique, LinkedIn prévient ses utilisateurs (ahem, ahem), et on change tous notre mot de passe LinkedIn. Sauf que. Imaginons que les sinistres individus qui ont à présent entre les mains cette liste réussissent à décrypter un certain nombre (pour ne pas dire un nombre certain) de ces mots de passe. Sachant que les gens réutilisent souvent le même mot de passe, ils vont essayer ce mot de passe (avec l’e-mail associé) un peu partout: l’e-mail, d’abord, bien sûr, vu que ça donne accès à tout (le Saint Graal du craquage), puis Facebook, Twitter, Instagram, les hébergeurs web, les registrars, etc…

Tu vois le problème?

La double authentification

En fait, après tout ce que je t’ai raconté sur les mots de passe, il me reste à t’avouer un truc: les mots de passe, c’est en fait un super mauvais système pour identifier les gens. C’est vrai, au fond. Et tu le vois, maintenant: c’est super fragile. Et c’est super conpliqué d’en faire qui tiennent la route. Malheureusement on est coincés avec pour encore un bon moment.

Pour pallier à la faiblesse des mots de passe, on rajoute un truc: la double authentification. Sous ce nom barbare se cache quelque chose que tu connais depuis des années et que tu utilises à chaque fois que tu te connectes à ton e-banking: en plus du mot de passe, on te demande un code qui est sur une petite carte, ou que tu génères avec une calculette, ou encore qu’on t’envoie par SMS. On t’identifie d’une part avec quelque chose que tu connais (ton mot de passe) et d’autre part avec quelque chose que tu as (la carte, ta carte bancaire, ton téléphone qui reçoit les SMS…).

Quasi tous les services web l’offrent. C’est vraiment important de l’activer (google aussi “double vérification”, “validation en deux étapes”,  “authentification forte”).

OK, j’ai peur. Je fais quoi maintenant?

Ça va dépendre ou tu en es et de ton degré de confort avec la technologie.

Tu flippes? Ça te dépasse, ou alors tu ne sais pas par quel bout prendre l’histoire? Tu veux utiliser ton temps au mieux et faire juste tout de suite? Je suis là pour t’aider, soit en “cours privé”, soit, si tu trouves 2-3 camarades (ou plus!) en groupe. Envoie-moi un mot ici ou ailleurs (Facebook marche très bien) et on regarde ça ensemble.

Si tu as juste besoin de quelques indications pour te lancer, tu trouveras ici les liens et infos qui peuvent encore te manquer. Félicitations et courage! C’est un peu enquiquinant à faire, mais tu dormiras tellement mieux… tu verras.

En tous cas, si tu as lu cet article jusqu’au bout, tu dois voir beaucoup plus clair dans ces histoires de mots de passe. J’espère que ça t’aura été utile, même si pas forcément très agréable!

Similar Posts: