Russian Passenger [fr]

Tout à l’heure, j’ai écouté l’épisode “The Russian Passenger” du podcast Reply All. Alex arrive avec une question: il a d’un coup commencé à recevoir des alertes Uber pour des trajets à Moscou, au milieu de la nuit. Il voit que les trajets sont facturés à sa carte de crédit.

Il tente de se connecter à son compte via l’application sur son téléphone mais… son compte ne semble plus exister! L’investigation subséquente nous mène dans le monde du traffic de comptes et de mots de passe. On envisage d’abord l’hypothèse d’une faille de sécurité chez Uber, abandonnée au profit de la réutilisation de mots de passe. En effet, quand on réutilise ses mots de passe, il suffit qu’un service qu’on emploie soit compromis, et les trafiquants de comptes vont ensuite essayer notre combinaison “e-mail + mot de passe” un peu partout, pénétrant ainsi dans des comptes de service qui n’ont pas été compromis. Dans le cas d’Alex, il semblerait même que ce soit son compte Gmail qui ait été hacké, alors même qu’il utilise la double authentification… Le mystère demeure.

Bref, encore une histoire qui met en avant l’importance de ne jamais réutiliser ses mots de passe, et donc d’avoir un gestionnaire de mots de passe pour les gérer (parce que s’en souvenir c’est impossible).

Mots de passe: c’est pas toi qu’on vise [fr]

[en]

They aren't after you, and aren't interested in reading your e-mails. Hackers ("crackers", actually), are just after the easy accounts they can compromise. So, if you're the one with a bad or reused password, your account is the one that might be used to send spam or participate in a cyberattack at some point.

Short version: if you can memorise your passwords, they're not good enough. Generate them automatically. Make them long. Use a password manager. And double authentification everywhere you can.

…Mais c’est toi qui vas avoir des emmerdes quand même.

I Can't See You...Photo: Peter @ Flickr

Un faux sentiment de sécurité

Je te connais, lecteur, lectrice: tu as un peu la tête dans le sable quand il s’agit de mots de passe et de “sécurité informatique”. Tu vois, tu bâilles déjà.

Tu sais que tes mots de passe sont un peu simples et que tu devrais pas les réutiliser. Mais tu te rassures (à tort, je te préviens déjà):

  • “Je suis insignifiant(e), qui diable pourrait vouloir hacker mes mails/mon site/mon compte Facebook?”
  • “Au pire, j’ai rien à cacher, si quelqu’un lit mes mails, grand bien lui fasse, je m’en fiche un peu.”

Allez, avoue, tu as pensé au moins une de ces deux choses quand tu as lu “mots de passe” dans le titre de mon article. Et tu n’es pas tout(e) seul(e).

Cet article va t’embêter, je te préviens déjà, car il va te sortir la tête du sable et tu risques de dormir un peu moins bien cette nuit. Si tu tiens à ton sommeil, mieux vaut arrêter de lire.

C’est trop long, et tu veux juste le résumé?

  1. Active la double authentification partout
  2. Utilise un gestionnaire de mots de passe
  3. Assure-toi que tous tes mots de passe sont de longues séquences de charabia inintelligible du genre de ce qu’affectionnent les informaticiens qui se soucient de la sécurité.

Tu vois… Ça semble être beaucoup de boulot et ne pas valoir la peine, parce que tu n’as pas (encore) assez peur. Je te comprends, hein. J’ai été à ta place. Il y a longtemps…

Tu continues à lire? A tes risques et périls.

Pourquoi je devrais m’inquiéter?

Je vais d’abord répondre à la grande question qui te turlupine: “Si personne ne m’en veut au point de hacker mon site, et si je n’ai rien de bien important dans mes mails, pourquoi devrais-je me préoccuper de mes mots de passe et de la ‘sécurité’, du coup?”

  1. Les hackers ne visent pas des personnes particulières: ils visent les comptes les moins bien sécurisés. (Genre, le tien, si ton mot de passe est “Raminagrobis1!”)
  2. Les hackers n’en ont rien à faire de lire tes mails: ils désirent utiliser ton compte comme arme pour nuire à autrui. (Genre, envoyer du spam, si tu as de la chance, ou lancer une cyberattaque contre un gouvernement, si tu en as moins. Ou arnaquer tes proches “pas très doués avec internet” pour leur soutirer de l’argent. Tu rigoles, mais ils sont bien plus doués que tu ne l’imagines.)

J’explique un peu, parce que je te sens à moitié convaincu(e), là. Et tu es déjà en train de tenter de te rassurer en te disant que ton mot de passe est pas si mauvais que ça. Après tout, y’a une majuscule, des chiffres, et un signe de ponctuation dedans. Je reviens dans un moment sur “bon/mauvais” mot de passe, mais en très bref: si tu peux t’en souvenir, il est craquable.

Les gens qui vont chercher à rentrer dans tes comptes (e-mail, Apple, Facebook, blog, site, Instagram, Twitter et autres Snapchat) sont comme des voleurs qui testeraient systématiquement toutes les portes de l’immeuble dans lequel ils sont rentrés. Ils appuient sur la poignée: si ça ouvre, bingo! La personne qui aura droit à leur visite, c’est Jacques Bolomey du 9e en face de l’ascenseur, qui n’a pas fermé sa porte à clé, parce qu’il n’a rien de valeur chez lui, et en plus y’a personne qui lui en veut personnellement au point de commanditer une expédition cambriolesque chez lui.

Tu vois comment ça marche: on a toute une collection d’e-mails. On s’en fiche à qui ils sont. On regarde juste si on peut rentrer. Et du coup, si tu as un “mauvais” mot de passe (je rappelle qu’on reviendra sur ce qu’est un bon ou mauvais mot de passe), hop, ton compte sera compromis. Et ils font pas ça à la main, hein, ils ont des robots qui bossent là-dessus 24 heures sur 24.

Reste la question de la visite. Si tu es comme Jacques Bolomey, tu te dis, ok, les voleurs sont entrés chez moi, j’ai rien à voler, dommage pour eux. Sauf que dans notre histoire, les voleurs ne cherchent pas à repartir avec des objets de valeur. Ils veulent utiliser ton appart pour nuire au monde. Je reprends une image que j’ai déjà utilisée: ils vont planquer de la drogue dans les murs, lancer des bombes puantes depuis ta fenêtre (ou y installer un sniper), mettre la musique à faire trembler tout l’immeuble, et probablement foutre le feu à la penderie en partant pour couvrir leurs traces.

Tu vas rentrer du boulot pour trouver l’appart en cendres, et les flics qui t’attendent parce qu’ils ont quand même mis la main sur l’héro, ou que le sniper a tué quelqu’un, et puis bon, ils aimeraient “te parler”. (Si tu as du bol et qu’il n’y a ni héro, ni sniper, ni pyromanie, tu vas peut-être t’en tirer avec un avertissement de la gérance pour la musique et les bombes puantes.)

Ce que tu risques vraiment

J’arrête là l’analogie qui vaut ce qu’elle vaut. Voici les vraies choses qui peuvent arriver si quelqu’un de mal intentionné parvient à accéder à un de tes comptes:

  • Ton adresse e-mail peut être utilisée pour envoyer du spam
  • Le serveur de ton site web peut être utilisé pour envoyer du spam
  • Ton site web peut tenter d’installer des logiciels malveillants sur l’ordinateur de ceux qui le visitent
  • Ton site web peut se retrouver plein de liens pour des sites pornos ou des produits pharmaceutiques
  • Ton site web peut être redirigé sur un site peu professionnel (porno, jeux, ferme à contenu grouillant de pubs douteuses)
  • Ton compte Facebook peut être utilisé pour envoyer des messages d’arnaque à tes contacts (ton e-mail aussi, bien sûr)
  • Ton compte Facebook peut être utilisé pour inviter tes amis à installer des applications pourries ou cliquer sur des liens douteux qui installeront des trucs pourris sur leur ordi (tu vois l’idée)
  • Ton compte Facebook peut être utilisé pour liker et commenter un peu partout, voire être transformé en “compte fantôme” ou “faux compte” (tu sais, les gens qui achètent des “like”…?)
  • Ton serveur web peut être recruté pour faire partie d’une “armée de robots” qui mèneront diverses attaques coordonnées dans le but de rendre non-opérationnels d’autres serveurs ou des parties d’internet (cf. l’attaque d’octobre dernier qui a paralysé une bonne partie d’internet)
  • Depuis ton e-mail, on peut demander une remise à zéro de n’importe quel compte qui y est rattaché…
  • Avec le mot de passe de ton compte Apple ou Google, on peut installer des choses sur ton ordinateur ou ton téléphone, ou les effacer
  • …je pourrais continuer.

Et les conséquences pour toi?

  • Si ton e-mail envoie du spam, tes vrais mails finiront plus souvent dans les indésirables de tes destinataires, sans que tu le saches
  • Si ton serveur web se comporte mal, ton hébergeur te sommera de faire le ménage (tu sais faire?) ou pourrait par exemple désactiver ton site web en attendant
  • Si ton compte Facebook fait des cochonneries derrière ton dos, Facebook risque de brider ton compte, t’empêcher de liker, de poster, de commenter, par exemple — voire le suspendre
  • Si ton site web est bourré de pubs et de liens douteux, Google va le pénaliser ou le désindexer (souvent les pubs ne s’affichent que pour Google, donc tu n’y verras rien)
  • Si ton compte mail ou Facebook envoie des messages “SOS je me suis fait agresser au fin fond de l’Afrique et j’ai tout perdu, peux-tu STP m’envoyer des sous” à tous tes contacts, déjà ça fait désordre, ensuite si Tante Agathe tombe dans le panneau, tu te sentiras vraiment très mal (oui oui on se dit tous que c’est évident que c’est une arnaque… eh bien “même moi” je ne suis pas passsée loin de me faire avoir par un truc du genre; on est toujours plus intelligent après que sur le moment.)
  • Si ton serveur web est utilisé à des fins cybercriminelles à ton insu, c’est pas très cool…
  • Si ton compte Instagram commence à publier des dames toutes nues au lieux de photos de nourriture, ça plaira peut-être à certains, mais pas à tous
  • Idem si ton site web professionnel se transforme du jour au lendemain en site porno

Bref. Tu vois le genre de truc auquel on fait face? On est loin de “bah, si quelqu’un veut lire mes mails…”

Bon ou mauvais mot de passe?

Si tu as survécu jusqu’ici, tu es probablement en train de stresser un peu. (Sauf si ces questions de sécurité, c’est un peu ton métier, en quel cas tu as probablement envie de me dire de quel bois tu te chauffe, parce que oui, mea culpa, j’ai un peu abusé des simplifications et analogies pourtant bien parlantes mais un poil imparfaites.)

Donc, tu stresses, et te te dis que tes mots de passe, avec un peu de chance, ne sont pas si mauvais que ça, et que (on peut rêver) tu n’est pas concerné(e).

J’ai de mauvaises nouvelles: si tu peux te souvenir de tes mots de passe, ou s’ils sont listés dans un document Word sur ton ordi, c’est mal barré. Oui, même si tu as un mot de passe de base que tu fais varier de service en service, comme j’ai fait durant des années. Aujourd’hui, ça ne suffit pas.

La puissance de calcul des ordinateurs augmente chaque année, raccourcissant ainsi le temps nécessaire à craquer un mot de passe par “force brute” (en essayant toutes les combinaisons les unes après les autres). Les recommandations d’il y a deux ans sont déjà dépassées, et celles d’il y a cinq ans, je te dis pas.

Les craqueurs sont aussi intelligents que nous et ils lisent les mêmes recommandations pour “faire de bons mots de passe”.  Ils donnent à manger les recettes à leurs petits algorithmes, et hop, le tour est joué. Une “recette secrète” n’augmente pas la sécurité de ton mot de passe, car elle n’est jamais secrète. Ce qui permet d’évaluer si un mot de passe est “sûr” ou pas? Le temps nécessaire pour tester toutes les possibilités quand on connaît la recette. Oui, tu m’as bien lue.

Un bon mot de passe, aujourd’hui, fait minimum 12-16 caractères de long (plus c’est mieux, hein!) et n’a pas été généré par un être humain. Nous sommes beaucoup trop prévisibles. C’est pour ça qu’il faut absolument utiliser un gestionnaire de mots de passe, qui nous évitera d’avoir à nous en souvenir, et à les taper! Magique!

Et là, tu me dis: “Euh mais c’est pas dangereux d’avoir tous ses mots de passe comme ça au même endroit?” Avec le recul, tu comprendras l’ironie de ta question, mais je vais te répondre tout à fait sérieusement: non, car la base de données contenant tes mots de passe sera fortement cryptée à l’aide du mot de passe maître que toi seul connaîtras. Sans cette clé, la base de données est un coffre-fort inviolable, inutile à quiconque mettra la main dessus. Pour autant bien entendu que ton mot de passe maître soit incraquable — et que tu puisses t’en souvenir. “Euh attends… Tu as pas justement dit que c’était impossible? Que si on pouvait s’en souvenir, ce n’était pas un bon mot de passe?” Tu suis bien, petit scarabée. J’ai effectivement dit ça, et j’avoue que j’ai simplifié un peu. Il existe une méthode pour créer des mots de passe très sûrs et faciles à mémoriser: diceware.

De la réutilisation des mots de passe

Une autre chose importante à comprendre, et qui explique pourquoi il ne faut jamais réutiliser un mot de passe, c’est que les craqueurs ont des listes. Des listes d’e-mails associés à des mots de passe, et des listes de mots de passe associés à leur forme cryptée. Ça devient un poil technique, mais si tu as lu jusqu’ici, accroche-toi, c’est la dernière pièce du puzzle.

Les services en ligne stockent dans leur base de données notre nom d’utilisateur (souvent notre e-mail) et notre mot de passe, pour pouvoir nous reconnaître lorsque l’on s’identifie. Logique. Et comme les mots de passe c’est secret, ils les cryptent avant de les mettre dans leur base de données. Crypter un truc, ça ne marche que dans un sens: on peut transformer un mot de passe en sa forme cryptée, mais pas vice-versa. Quand on se connecte à Facebook, par exemple, on tape son mot de passe, mais le formulaire le crypte directement et l’envoie sous cette forme à Facebook, qui va comparer ce qu’il a reçu (crypté) avec ce qu’il a stocké dans sa base de données (crypté aussi). Facebook, en fait, ne “voit” jamais ton mot de passe, juste sa forme cryptée.

Parfois, les services en ligne se font “hacker”, comme on dit, et il y a fuite de données. Ça veut dire que quelqu’un s’empare d’un morceau de la base de données, par exemple la liste de tous les noms d’utilisateurs et les mots de passe (cryptés) associés. C’est là qu’on s’amuse avec la “force brute” dont j’ai parlé avant: on génère des tas de mots de passe, on les crypte, et on regarde si ça correspond à quelque chose dans notre liste. Si oui, eurêka, on a “décodé” un mot de passe! (Je simplifie mais c’est ça l’idée.)

Il y a aussi des services pas très sérieux qui ne cryptent pas les mots de passe. S’ils se font hacker, bingo. Et là, tu commences à voir pourquoi ça pourrait être un problème de réutiliser à plusieurs endroits le même mot de passe. Imaginons que LinkedIn se fasse hacker. (C’est arrivé.) Pas de panique, LinkedIn prévient ses utilisateurs (ahem, ahem), et on change tous notre mot de passe LinkedIn. Sauf que. Imaginons que les sinistres individus qui ont à présent entre les mains cette liste réussissent à décrypter un certain nombre (pour ne pas dire un nombre certain) de ces mots de passe. Sachant que les gens réutilisent souvent le même mot de passe, ils vont essayer ce mot de passe (avec l’e-mail associé) un peu partout: l’e-mail, d’abord, bien sûr, vu que ça donne accès à tout (le Saint Graal du craquage), puis Facebook, Twitter, Instagram, les hébergeurs web, les registrars, etc…

Tu vois le problème?

La double authentification

En fait, après tout ce que je t’ai raconté sur les mots de passe, il me reste à t’avouer un truc: les mots de passe, c’est en fait un super mauvais système pour identifier les gens. C’est vrai, au fond. Et tu le vois, maintenant: c’est super fragile. Et c’est super conpliqué d’en faire qui tiennent la route. Malheureusement on est coincés avec pour encore un bon moment.

Pour pallier à la faiblesse des mots de passe, on rajoute un truc: la double authentification. Sous ce nom barbare se cache quelque chose que tu connais depuis des années et que tu utilises à chaque fois que tu te connectes à ton e-banking: en plus du mot de passe, on te demande un code qui est sur une petite carte, ou que tu génères avec une calculette, ou encore qu’on t’envoie par SMS. On t’identifie d’une part avec quelque chose que tu connais (ton mot de passe) et d’autre part avec quelque chose que tu as (la carte, ta carte bancaire, ton téléphone qui reçoit les SMS…).

Quasi tous les services web l’offrent. C’est vraiment important de l’activer (google aussi “double vérification”, “validation en deux étapes”,  “authentification forte”).

OK, j’ai peur. Je fais quoi maintenant?

Ça va dépendre ou tu en es et de ton degré de confort avec la technologie.

Tu flippes? Ça te dépasse, ou alors tu ne sais pas par quel bout prendre l’histoire? Tu veux utiliser ton temps au mieux et faire juste tout de suite? Je suis là pour t’aider, soit en “cours privé”, soit, si tu trouves 2-3 camarades (ou plus!) en groupe. Envoie-moi un mot ici ou ailleurs (Facebook marche très bien) et on regarde ça ensemble.

Si tu as juste besoin de quelques indications pour te lancer, tu trouveras ici les liens et infos qui peuvent encore te manquer. Félicitations et courage! C’est un peu enquiquinant à faire, mais tu dormiras tellement mieux… tu verras.

En tous cas, si tu as lu cet article jusqu’au bout, tu dois voir beaucoup plus clair dans ces histoires de mots de passe. J’espère que ça t’aura été utile, même si pas forcément très agréable!

Gmail: essentiel d'activer la double identification (avec téléphone) [fr]

[en] Haven't turned on Google two-factor authorization? Do it now, or you risk being the next Mat Honan.

Pour mes lecteurs plus francophones, dans la série “sécurité internet de base”, il est essentiel d’avoir pour votre e-mail non seulement un bon mot de passe, unique, et que vous ne partagez pas, mais également d’activer l’authentification en deux étapes.

C’est le genre de système qu’utilise votre e-banking depuis des lustres: pour vous connecter, vous devez donner votre mot de passe (=quelque chose que vous savez) et prouver via un code reçu par SMS que vous êtes en possession de votre téléphone mobile (=quelque chose que vous avez). Ainsi, le simple crack de votre mot de passe ne suffit plus à rentrer dans votre boîte e-mail.

Une fois activée la double authentification, Google va générer à votre demande des mots de passe à usage unique pour les services et applications que vous avez besoin de connecter à votre compte Gmail. Par exemple, votre logiciel de chat pour Google Talk, votre client e-mail sur votre ordinateur si vous en utilisez un, ou un réseau social qui voudrait accéder à vos contacts pour vous aider à démarrer.

Pas convaincu encore? Lisez Matt Cutts, patron de l’anti-webspam chez Google, qui vaporise un certain nombre de mythes (oui, si vous perdez votre téléphone, il y a quand même moyen pour vous d’accéder à votre e-mail!). Il a écrit cet article suite au hacking assez dramatique dont a été victime Mat Honan (en gros, perdu toutes ses données dans l’histoire, y compris toutes les photos de la première année de vie de sa fille). Si cette triste histoire ne vous motive pas à prendre un tout petit peu sérieusement la sécurité de votre identité en ligne… je ne peux rien faire pour vous!

Port de Vidy: dépenser plein de sous pour emmerder le monde [en]

Le Port de Vidy à Lausanne fait super fort avec ses super nouvelles portes sécurisées censées empêcher les visiteurs malvenus de venir finir leurs soirées sur nos bateaux.

Porte sécurisée Port de Vidy 1

Première tentative hier pour moi: la porte bloquant l’accès à l’estacade sur laquelle est amarré le Farrniente est… fermée. Tellement fermée que même le badge ne l’ouvre pas.

On teste les autres estacades: la A ne prend pas notre badge mais elle est ouverte, la B prend notre badge mais… elle est ouverte, la C est fermée et prend notre badge, victoire!, sauf que nous sommes à l’estacade D. Qui est vraiment fermée. (Il y a encore E, F, etc qu’on n’a pas testé. Pas très scientifique.)

Heureusement que c’est un jeu d’enfant d’enjamber par le côté les super portes magnifiquement sécurisées. On a quand même pu faire notre régate, et constater que la porte était également verrouillée pour qui arrive depuis l’estacade.

Porte sécurisée Port de Vidy 2

Dois-je préciser aussi qu’un seul badge est donné par bateau? Très pratique pour les équipages “multi-foyers” où l’on ne sait pas toujours qui arrivera en première pour commencer à préparer le bateau…

Moralité: quelqu’un s’est sûrement fait un joli pactole avec cette histoire qui sert principalement à emmerder les propriétaires de bateaux et leurs équipages et ne risque pas de décourager les visiteurs indésirables. Seuls gagnants sur place: les grèbes huppés, qui peuvent nicher presque en paix.

Grèbe huppé tranquille

Tiens, ça me rappelle que je n’ai toujours pas écrit l’article incendiaire que j’avais dans les doigts concernant le passage de ma porte d’immeuble de l’humble clé au moderne digicode…

Outraged and Furious: First Encounter With a Full-Body Scanner (in the UK) [en]

[fr] Furax: je découvre qu'au Royaume-Uni aussi, il faut passer par un de ces scanners-qui-vous-déshabillent. Et je découvre ça coincée comme un rat dans une cage en verre dont la seule sortie passe par un de ces scanners. Et contrairement aux USA, pas d'autre option: c'est ça ou je ne vole pas.

I am furious and outraged like I have rarely been.

You’ve heard about the full-body scanners they’ve been using in the US, right? And the “enhanced pat-downs” you go through if you opt out of the scanners? Thought that was bad?

I did.

You probably already know — if you know me a bit — that all the security theatre around flying angers me no end. Somebody tries to smuggle explosives on plane in their shoes? Let’s make everyone take off their shoes. Liquid explosives? Great, let’s put restrictions on liquids in carry-on luggage. Explosive underwear? Even better, let’s ask everyone to get naked. You know.

I won’t get into the details of why this is a complete pile of horseshit, others like Bruce Schneier have done it (and are still doing it) way better than me.

Now, if you’ve been flying to or from the US, chances are that you’ve wondered what you thought about them. Do they invade your privacy? your intimacy? are the “enhanced” pat-downs you can choose instead something you’re willing to subject yourself to? are they as safe as we’re told?

And, like us all when we travel and have to jump through hoops, you’ve probably reached some kind of agreement with yourself about the price you were willing to pay (in terms of hassle or loss of freedom or invasion of privacy or possible unproven health risks) to benefit from the comforts of air travel.

Or, maybe, if you don’t have any intention of flying to the US in the near future, you’ve put off that particular decision until you really have to make it.

I know I did.

Actually, I have taken the US off my list of “places I’m going to fly to” — unless I have a very good reason to change my mind.

Yes, because of the bloody scanners.

I’d actually pretty much made up my mind that before going through the “enhanced security theatre”, I would rather get to the US by road, flying first to Canada. Or something like that. But having no immediate plans to go to the US, I didn’t give it that much thought.

Now, back to why I’m writing this in Manchester airport departure lounge, having used up a pack of hankies because I feel so outraged that I don’t know what to do with myself and can’t stop crying. (Writing is helping, though, so now I just look like a mess but I’m not dripping a puddle on the floor anymore.)

I’m on my way back home, having visited my grandparents as I regularly do. I know the security theatre drill: liquids separate, take out the laptop, make sure I don’t pack too many cables, finish my water before going through security, remove extra and potentially beeping clothing before going through the metal detectors, and prepare to be quickly frisked because the darn things are so sensitive that anything can set them off. (Except in Geneva airport, where I can safely go through with clothing that will beep anywhere else.)

Well, not this time.

This time I went through the detector, which beeped, and I ended up trapped like a rat in a glass room — only way out through a full-body scanner.

I wasn’t prepared for this.

I didn’t even know they were used outside the US, or for travelers going to tame places like Switzerland from the UK.

I had no clue I should also have been thinking about whether I wanted to continue going to the UK by air (actually: coming back from the UK), or if I preferred to switch to the Eurostar.

I called out to the guy who was making the people before me go through, expressed my surprise at finding the scanner there, and asked what the other option was. He told me there was no other option, that once I had been selected for search, it was that — or don’t fly.

I exclaimed that I hadn’t had time to think about this, and he told me to “take my time” — but that was before I’d realized they were not giving me any other options.

He quickly called his superior who stepped into the box with me and started telling me it was safe, necessary, would be quickly over, etc. I tried explaining why I didn’t want to go through but we were clearly in a “dialogue de sourds”, and I started getting pretty upset (understand: crying from anger — I tend to do that, it’s really annoying).

I don’t know how long I stayed stuck there (at least 10 minutes I’d say), but it was pretty clear that I had no other option but to go through — unless I wanted to give up on my flight (yeah, sure).

I gave in, told the guy I was furious, refused his offer to give me documentation, picked up my stuff (my shiny new MacBook Air had been lying in an open tray in front of everybody during all that time) and sat down to continue having my meltdown on my own.

So, what went so wrong here?

Clearly, the fact that I discovered the existence of full-body scanners in Manchester Airport while I was trapped like a rat in a glass cage and pretty much forced to go through one.

That put me in the unenviable situation of having only a few minutes to make a difficult “ethical” decision that I’d been putting off because I wasn’t expecting to have to face this kind of situation: do I cave in to security theatre and fly, or do I refuse, and pay the price by not being able to board my flight?

I hadn’t even decided, with the US scenario, if I preferred to go through the scanner or submit to an invasive pat-down.

Also, although the two security staff I interacted with were very kind and polite, it would probably have helped if the guy in the box had actually been able to hear what I had to say and sympathize (maybe that’s too strong a word).

Instead, he insisted on telling me I was wrong, that this was necessary, that it was for my safety, that it wasn’t dangerous and would only take a few seconds, that he could give me all sorts of documentation to explain this to me.

For somebody who has read a lot on the topic of airport security (even if I haven’t written that much about it, except for rants like this one when things get too frustrating), it really didn’t help to have him talk to me as if I was just a scared uninformed passenger. I mean, he even told me that they hadn’t had any problems coming out of Manchester (regarding security), and so that they must be doing something right. I hope all of my readers can spot the flawed logic there. It doesn’t mean anything.

Wishful thinking probably, but I think that faced with somebody who would have said “I agree, all this security is probably overkill, I’m unfortunately as stuck with regulations here as you are, and I’m really sorry you didn’t know about this beforehand” — it would have helped more than pressuring me by saying that if I wanted to fly I had to go through and that I was making a fuss for nothing.

Time to buy some of that scanner-proof underwear, methinks.

Security Fail (Big Time) [en]

[fr] Quand on dit que les questions de sécurité sont le maillon faible... Voici un exemple magnifique en action. Visiblement implémenté par quelqu'un n'ayant à disposition qu'un demi-cerveau.

Sometimes I come across stuff online that makes me really mad. Like this:

Security Question Weak Link

And it gets better (yeah, they tell you this after you’ve tried defining your password, of course):

Oh yeah, ask stupid security questions and be tough on your password criteria

Honestly, what were they thinking?! Answer: they weren’t thinking. This was clearly designed by somebody with half a brain. And approved by somebody with half a brain.

This is the online equivalent of putting three locks on your door and leaving the window wide open just next to it.

Anybody with about 5 minutes to spare can easily find my answer to any of these three “secret questions” (aha!) by digging around a bit online.

This is just plain STUPID.

Today: Backup Awareness Day! [en]

[fr] Aujourd'hui, comme le 24 de chaque mois, journée des sauvegardes. Faites les vôtres!

I haven’t done as much as I wanted around Backup Awareness Day yet (and even skipped last month because I was in the mountains at that time), but it will come during the next months.

Backup Awareness Day takes place on the 24th of each month and is the occasion to:

  • do your backups and set up automatic systems to keep your data safe
  • help and encourage others to do so by helping them and blogging about the importance of backups and backup techniques.

If like me you’re having a busy week (busy but good), at least take the time today to:

  • plug in that external hard drive and make sure Time Machine does a backup
  • export your WordPress blog
  • dump your MySQL database
  • if all else fails or is too complicated for you, copy your most precious document folders onto a thumb drive or an external hard drive.

More next month!

Today is Backup Awareness Day! [en]

Two months ago, on February 24th, I hit the wrong “Drop” button in PhpMyAdmin, resulting in the immediate deletion of the blog you’re reading. I didn’t know when I had last backed it up.

The story ends well, though it cost me (and others) many hours (days, actually) of work to get the whole of Climb to the Stars back online again.

I’ve always been careless about backups. Like many of you, probably. We can afford to be careless because accidents don’t happen very often, and as with Black Swans, we are under the mistaken belief that having been safe in the past will keep us safe in the future. Not so. As I like to repeat, the first time a disaster happens, well, it had never happened till then.

So, I’ve decided to declare the 24th of each month “Backup Awareness Day”. Here’s what it’s about:

  • Back up your files.
  • Back up your website.
  • Blog about the importance of backing up (sharing tips, stories, advice).
  • Tell your friends to back up.
  • Help your friends back up.
  • Put in place automatic backup systems.

Bottom-line: decrease the number of people who never back up, or back up so infrequently they’ll be in a real mess if things go wrong.

Now, perfectionism is the biggest enemy to getting things done. Backup Awareness Day does not mean that you have to do all this. Here are a few ideas to get your started (better a bad backup than no backup at all):

  • If Time Machine (or any other regular backup system you use for your computer) has been telling you it hasn’t done a backup in ages, stop what you’re doing right now and plug it in.
  • If you use WordPress, when was the last time you went to Tools > Export to make a quick backup? It’s not the best way to do it, but in my case, it saved CTTS.
  • Do you use something like Mozy to have a remote backup of your most important files? Time to sign up, maybe.
  • Are you working on important documents that exist only on your computer, which is never backed up? At the minimum, pick up a thumb drive and copy them onto it — or send yourself an e-mail with the files as attachment, if your e-mail is stored outside your computer (Gmail, for example).
  • Do you have an automatic backup set up for your database or website? Set some time aside on Backup Awareness Day to figure out cron.
  • When did you make the last dump of your MySQL database? Head over to PhpMyAdmin, or the command line (it’s mysqldump --opt -u user -p databasename > my-dirty-backup.sql)
  • Do you have the backup thing all figured out? Write a post for your readers with a few tips or tutorials to help them along. (Tag your posts “backupawarenessday” — I thought about “BAD” but that wasn’t really optimal ;-))

I’m hoping to develop the concept more over the coming months. If you have ideas, get in touch, and take note of Backup Awareness Day for the month of May: Sunday 24th!

(Now stop reading and go do a few backups.)

Lift09 — Melanie Rieback — RFID and Security [en]

Whitehat hacker.

RFID uses radio waves to identify things. Shows much of a promise for breaking (?) into things. Next low-end of computing.

You have to bring virtual attacks into the physical domain, when it comes to RFID.

Some security problems:

– Unauthorized tag reading
– eavesdropping
– tracking
– tag cloning
– denial of service

Wardriving for passports. Skimming credit cards from a distance.

Low-level misuse of improperly formatted RFID tag data.

Three main kinds of RFID Malware:

– RFID exploits
– RFID worms
– RFID viruses

“Is your cat infected with a computer virus?” (pet tagging *steph-note: Bagha has one!*)

Google trends for RFID: biggest peak just after Melanie published her paper.

2 bio public transportation system was hacked in and 8-week project by students. Amsterdam.

Issues: same company designing and auditing the back-end security of the system. *steph-booth: gosh, what do people imagine?*

People in charge don’t listen about these issues until they’re demonstrated.

Melanie has worked on a device that does penetration tests and acts as a firewall for RFID.

Can spoof and jam RFID tags.

Listens to the first part of the query trying to figure out what it wants to do, and if it’s something not allowed, it sends out random noise (selective jamming). Filter inbound and outbound queries.

Security: RFID fuzzing.

All the hard work for cloning public transport passes has been done. Just needs to be put together.

The RFID Guardian is being commercialised now (so it’s not just students who are dangerous now).

Companies and governments assume that these attacks are going to stay in labs. They need to wake up. Why put the tools into the hands of the bad guys? The bad guys are going to have the tools any way, it’s time for the good guys to have access (full disclosure). If computer scientists have the right tools they might be able to prevent lots of these attacks. We need an RFID security industry.

The whole project is open source. Hardware and software.

Flickr and Dopplr: the Right Way to Import GMail Contacts [en]

[fr] Il est maintenant possible d'importer des contacts depuis GMail (ou Hotmail) sans devoir divulguer son mot de passe, aussi bien chez Flickr que chez Dopplr. Génial!

A few days ago, I saw this tweet by Matt Biddulph soar by:

Impressed by passwordless import at http://www.flickr.com/impor… – does anyone know if that’s a public yahoo API they use? want!

I immediately went to investigate. You see, I have an interest in social network portability (also called “make holes in my buckets”) — I gave a talk on SPSNs from a user point of view at WebCamp SNP in Cork recently — and I am also concerned that in many cases, implementations in that direction make generous use of the password anti-pattern (ie, asking people for the password to their e-mail). It’s high time for design to encourage responsible behaviour instead. As the discussion at WebCamp shows, we all agree that solutions need to be found.

So, what Matt said sounded sweet, but I had to check for myself. (Oh, and Matt builds Dopplr, in case you weren’t sure who he was.) Let me share with you what I saw. It was nice.

Go to the Flickr contact import page if you want to follow live. First, I clicked on the GMail icon and got this message.

Flickr: Find your friends

I clicked OK.

Flickr and Google

This is a GMail page (note the logged in information upper right), asking me if Flickr can access my Google Contacts, just this one time. I say “yes, sure”.

Flickr: Finding my friends

Flickr goes through my GMail contacts, and presents me with a list:

Flickr: Found your friends

There is of course an “add all” option (don’t use it unless you have very few contacts), and as you can see, next to each contact there is a little drop down which I can use to add them.

Flickr: Contacts

When I’m done adding them, Flickr asks me if I want to send e-mail invites — which I don’t.

Neat, isn’t it?

Well, the best news about this is that Flickr isn’t alone. Dopplr (remember Matt?) does the same thing — and also for Windows Live Hotmail now.

DOPPLR: Passwordless GMail contact import

Note and question mark: I just saw Dopplr announced GMail password-free import back in March, before Matt’s tweet. Did Dopplr do it before Flickr? Then, what was the tweet about? Thoroughly chronologically confused. Anyway, passwordless import of GMail contacts rocks. Thanks, guys.

Update: Thanks for the chronology, Matt (see his comment below). So basically, Matt’s tweet was about the fact that though GMail and Hotmail allows services like Dopplr and Flickr to access contacts without requiring a password, Yahoo doesn’t. Flickr does it from your Yahoo account because they have special access. So, Yahoo, when do we get a public API for that?