Addictive Tech [en]

This week-end I was listening to a Fresh Air interview of the author of Irresistible, on addictive technology. I don’t like the idea of considering tech overuse as an addiction. But if we leave words like that one aside, I find myself in agreement with Adam Alter.

Here’s my main take-away, the one that has been trotting in my head since then: if you find yourself checking Facebook or whatever on your phone when you would actually rather be doing something else, then it means there is a problem.

This happens to me. A lot. But being aware of it makes it reasonably easy to snap out — which I have been doing regularly these last days. “Do I really want to spend my Sunday morning hanging out on Facebook?”

I’ve also installed Moment to try and get some objective measure of my usage, but I keep forgetting to take the screen shots.

Russian Passenger [fr]

Tout à l’heure, j’ai écouté l’épisode “The Russian Passenger” du podcast Reply All. Alex arrive avec une question: il a d’un coup commencé à recevoir des alertes Uber pour des trajets à Moscou, au milieu de la nuit. Il voit que les trajets sont facturés à sa carte de crédit.

Il tente de se connecter à son compte via l’application sur son téléphone mais… son compte ne semble plus exister! L’investigation subséquente nous mène dans le monde du traffic de comptes et de mots de passe. On envisage d’abord l’hypothèse d’une faille de sécurité chez Uber, abandonnée au profit de la réutilisation de mots de passe. En effet, quand on réutilise ses mots de passe, il suffit qu’un service qu’on emploie soit compromis, et les trafiquants de comptes vont ensuite essayer notre combinaison “e-mail + mot de passe” un peu partout, pénétrant ainsi dans des comptes de service qui n’ont pas été compromis. Dans le cas d’Alex, il semblerait même que ce soit son compte Gmail qui ait été hacké, alors même qu’il utilise la double authentification… Le mystère demeure.

Bref, encore une histoire qui met en avant l’importance de ne jamais réutiliser ses mots de passe, et donc d’avoir un gestionnaire de mots de passe pour les gérer (parce que s’en souvenir c’est impossible).

More Friction [en]

I think that now that we are all experiencing that we can be “public” (something we couldn’t 20 years ago) we’re going to be crawling back into more private spaces, understanding that the advantages we can see to “reaching more people” or “micro-fame” come with a load of drawbacks. But we need time in these public spaces to really get what those drawbacks are (as a society).

On a personal level, I can feel the pull towards publication spaces which have more friction. I was reading an author’s blog this morning — a full-time SF author who is quite well known. There were only a handful of comments on each blog post. It felt, reading his blog, that I had a priviledged contact with him — something I’m not going to feel on his 25k+ facebook page. Something that reminds me of the early days of online socialising and blogging.

When I write stuff on my blog, although it’s “the public internet”, it feels like a more intimate space, because it’s less reactive. The content is harder to get to. And there is value in that.

This was initially a Facebook comment.

Incident malentendant [fr]

La surdité est la plupart du temps invisible (“malentendance” serait plus correct mais moche). On voit les lunettes, mais pas les appareils auditifs. Tout à l’heure au centre de biométrie et des documents d’identité, le gentil fonctionnaire m’envoie dans la cabine photo-empreintes, puis me donne des instructions depuis derrière son guichet.

Je ne le vois pas. Je ne l’entends pas très bien. Je stresse, j’ai peur de mal comprendre ce qu’il me dit. La première photo, je regarde à gauche, parce que j’ai pas retenu “regardez droit devant vous” et que je tendais l’oreille pour voir s’il me disait quelque chose, et quand je tends l’oreille, je regarde à droite et à gauche, visiblement.

Sur la deuxième photo, j’ai la pire tronche de repris de justice, parce qu’en plus du look “photo d’identité biométrique” je suis stressée et concentrée.

Je ruminais sur cette histoire en rentrant, et j’ai réalisé un truc: j’ai toujours peur de mal comprendre les consignes ou instructions quand il y en a. C’est vraiment un truc qui me stresse. Si on me demande de faire un truc, je dois avoir 100% compris ce qu’on attend de moi. Peut-être que ce n’est pas juste un truc d’angoissée, mais aussi un truc de malentendante-pas-appareillée-durant-ses-tendres-années-formatrices?

Mastercard Visa [en]

Pro tip: if you’re booking flights online, make sure using your Mastercard doesn’t cost you an extra 50 for your flight ticket price.

It happened to me earlier this morning as I was booking a flight. I went on Kayak, found a flight I liked, clicked the link that sent me over to eDreams to book it. By the time I was ready to buy, the price had silently hopped up 50 CHF. I tried other sites. I tried the airline site directly. I couldn’t find the flight at the price Kayak advertised.

I made a last-ditch effort to book the flight, starting over from Kayak and keeping an eye on the price. I saw it had jumped as I filled in my credit card details. I looked closer. I saw a discreet notice advertising “best price using Visa credit”. Switched my Mastercard for my Visa. Bingo.

Ponzi Coaching [en]

Sometimes I get the nagging feeling that everybody (or almost) who used to be a fellow freelance consultant has now drifted into coaching. What is going on here? There seems to be a Ponzi-like dynamic going on, as with all these people giving online courses about how to earn money through your online business. It’s not quite life coaching for life coaches, but sometimes it feels very close: earning money by getting people to give you money so that hopefully they can make money like you’re making money.

Unfortunately, it seems that is where the money is. People are willing to spend money… if it helps their business make more money. And that’s not the kind of gig I want. Am I doomed?

Choice [en]

Earlier today, I was listening to Malcolm Gladwell on the TED Radio Hour podcast. He was talking about choice architecture. In short, how the way we frame the available choices influences decisions (think: opt-in or opt-out, for organ donors for example). James Clear has made me think about this a lot, under the title of “environment design”.

A podcast or two later I’m listening to Fresh Air, about Bannon and Sessions vision for remaking America. Terry Gross and her guest are talking about Breitbart and the kind of coverage it puts forward, namely crimes committed by immigrants.

Do you see the link?

The media landscape we float in, the ideas we’re exposed to, the articles we read — they are the environment in which we make our decisions about what to believe. They are the choice architecture of our beliefs. They follow the path of least resistance. That is why things repeated often enough become truth. Choice architecture.

Note: don’t see a title? Normal, this is my first aside.

At Some Point I Started Caring About What I Wrote Here [en]

[fr] A un moment donné j'ai commencé à me soucier de ce que j'écrivais ici. Dans le sens de me soucier de ce qu'on allait en penser.

When did it happen? I’m not so sure. At some point, I started caring about what I wrote on my blog. I started thinking about what others would think. I used to just write what I felt like writing. I didn’t have this sense that I had an “audience”. Sixteen years ago, pretty much nobody I knew was online. I knew online people, of course. But they were online people. My tribe.

I realised that after following an online course called Writing Your Grief. It was just after Tounsi’s death, but I’d already signed up – it was coincidental. For the first time in a long time I was writing things that weren’t meant to be published, but that weren’t journaling either. It was an extraordinary experience: not just as related to my grief, but for the writing. We had a private Facebook group in which we could share our writing and read each other’s pieces. A room full of compassionate strangers. I hadn’t written like that in years. More than a decade, maybe. And I loved what I wrote. You know, when words seem to write themselves, and your writing actually tells you something?

Morning Pages do that, but they are less structured. More stream-of-consciousness. I haven’t been able to pick up Morning Pages again since Tounsi died. Maybe I will someday. Right now I feel like I’m holding on by the skin of my teeth, so I don’t have the courage to dive back in.
While I was mulling over this new/old writing I’ve connected with (again?), Adam shared a link to this piece about blogging. Which I read.

You know it’s a recurring theme here on Climb to the Stars. I miss the Golden Age of Blogging. And when I was reading the piece linked above, about how blogging went from carefree online writing to being all about influencers, my feelings finally collided into a thought: yes, that was it. I missed writing without caring too much about what people would think. About being judged. About having to be “good” because my job depends on it now. Similarly, I noted the other day on Facebook that I wasn’t online to sell or market stuff, I was online because I liked it here. Because I enjoy it.

Catch-22, right? Because I enjoy it, I made it my job, and now it matters. I’m not a nobody anymore. I have clients. Colleagues in the industry. And I care what they think. And so I write less. I’m careful. I self-censor – more. I enjoy it less.

And now I’ve found a different pleasure in writing. Writing things I’m scared to show people, because I hope they’re good, but fear they’re banal. Expectations. Ah, expectations.

I guess I’ll just keep writing.


Cloudbleed: faut-il à nouveau changer vos mots de passe? [fr]

[en] Archive of my weekly French-language "technology advice column".

Ma newsletter hebdomadaire “Demande à Steph” est archivée ici pour la postérité. Chaque semaine, un tuyau ou une explication touchant à la technologie numérique, ou une réponse à vos questions! Inscrivez-vous pour recevoir directement la prochaine édition. Voici l’archive originale. Et la page Facebook!

Note: cette semaine, vu le caractère “actu” du sujet, je la reproduis ici immédiatement, mais normalement je fais ça avec beaucoup de retard…

Ceux qui suivent un peu l’actu du web n’auront pas raté la dernière grosse faille de sécurité Cloudbleed. Si vous vivez dans le monde “normal”, il y a des chances que vous n’en ayez pas entendu parler — alors que ça vous concerne probablement.

Je vais résumer, puis vous dire quoi faire 🙂


Cloudflare est un service de “cache”, ça veut dire qu’il intervient pour soulager les serveurs web qui peinent à gérer un trop fort traffic. Vous savez, quand on veut acheter des billets pour le Paléo et que “rien ne marche”? C’est le serveur qui pétouille car trop de gens veulent s’y connecter en même temps. (Un cas typique où ça arrive c’est en cas d’attaque DDOS, je vous en avais parlé il y a quelque temps).

Cloudflare prend le relais pour montrer lui-même les pages web demandées à la place du pauvre serveur surchargé. Le visiteur ne remarque rien. Par exemple, quand vous allez sur mon blog, c’est Cloudflare qui vous montre les pages, pas mon serveur. C’est un service super facile à mettre en place, donc super populaire.

Une petite erreur de programmation, et hop, les pages web servies par Cloudflare étaient susceptibles de contenir des informations aléatoires provenant d’autres sites, y compris mots de passe, messages privés, identifiants de session, etc (un identifiant de session c’est le machin qui fait qu’on “reste connecté” à un service sans devoir redonner son mot de passe tout le temps).

Ces pages web ont été enregistrées pendant des mois par les moteurs de recherche (Google et compagnie) et possiblement par d’autres services qui mettent en cache des pages web pour rendre leur chargement plus rapide (les navigateurs web font ça par exemple).

Cloudflare a réagi vite, réparé le problème, et fait purger autant que possible les informations indiscrètes des moteurs de recherche. On n’a pour le moment pas de preuve que ces données ont été utilisées à de mauvaises fins jusqu’ici — mais le mal est fait: votre mot de passe Uber ou OKCupid se balade possiblement quelque part dans la nature.

Que faire?

Comme les mots de passe liés aux sites utilisant Cloudflare ont possiblement été compromis, il faut changer ces mots de passe. Je vous rappelle que l’enjeu en cas de fuite de mot de passe n’est pas “quelqu’un va lire vos mails” (ça, désolée, mais on s’en fout), mais plutôt “vos comptes vont être exploités pour arnaquer vos connaissances ou comme cyberarme pour influencer des élections à l’autre bout de la planète”. J’explique tout ça dans mon article “c’est pas toi qu’on vise.

Quand on doit changer tout un tas de mots de passe, on se félicite d’utiliser un gestionnaire de mots de passe et d’avoir cessé depuis belle lurette d’essayer de les mémoriser.

(Rappel: si vous pouvez vous souvenir de vos mots de passe, ils ne sont pas assez forts. Seule exception: une poignée de mots de passe Diceware, pour votre e-mail principal et votre gestionnaire de mots de passe, par exemple. Explications.)

Un gestionnaire de mots de passe vient avec un générateur de mots de passe: le plus long c’est le mieux. Changer de mot de passe prend une minute, et comme il n’y a pas besoin de s’en souvenir, c’est tout ce qu’il y a à faire.

Quels mots de passe changer? Cloudflare est super populaire, et on ne “voit” pas qu’un site utilise Cloudflare quand on le consulte. On peut vérifier à l’aide de ce site, “Does it use Cloudflare?” — tout en sachant qu’on est dans le monde des “possibles”, qu’un site utilisant Cloudflare n’est pas nécessairement compromis, et qu’un site qui n’apparaît pas dans la liste n’est pas “garanti 100% sûr” non plus. Il y a aussi une liste sur GitHub (ils ont ratissé large).

Pour vous simplifier la tâche, commencez déjà par UberOKCupidMediumLe TempsFitBit. S’il y a un bouton dans vos paramètres pour “déconnecter toutes les autres sessions”, utilisez-le.

Après, jetez un oeil sur la liste de GitHub pour voir si des sites que vous utilisez vous sautent aux yeux. Et mettez l’adresse de vos services favoris dans Does it use Cloudflare? pour vous assurer qu’il ne faut pas changer ces mots de passe là.

Et si vous êtes du genre à utiliser les mêmes mots de passe un peu partout… je vous conseille vraiment d’installer un gestionnaire de mots de passe et de tout changer. Ordre de priorité: email, facebook, admin de votre site web si vous en avez un, Twitter, Instagram…

Je vous entends soupirer, et je compatis. Le vie numérique demande tout un tas de compétences qu’on ne nous enseigne pas, et qu’il faut apprendre sur le tas. A nouveau, si vous nagez, faites-moi signe en répondant à ce mail et je regarde comment je peux vous aider!

Quelques sources en français sur Cloudbleed: Cloudflare, pourquoi la fuite de données vous concerne, (Numerama)Bug chez Cloudflare: pensez à changer vos mots de passe (Libération)Cloudbleed: importante fuite de données chez Cloudflare, changez vos mots de passe (NextInpact)

Stratégie médias sociaux: à distance ou en dialogue? [fr]

[en] I'm always astonished when I hear about people developing social media strategies for a client "on their own". For me, the strategy emerges from the discussion between two parties, each bringing their expertise to the table: social media, and the company/context the strategy is for. I sell a process rather than strategies.

Je me souviens de la première fois qu’on m’a explicitement demandé de “pondre” une stratégie médias sociaux. Pas avec ces mots, bien sûr. On m’a demandé, après un entretien d’embauche, de “juste” mettre par écrit une stratégie pour l’organisation en question.

J’étais à la fois estomaquée et confuse: premièrement, je ne m’attendais pas à ce qu’on me donne une “mission” (et j’ignorais totalement que ce genre de chose se pratiquait, m’étant présentée à un seul véritable entretien d’embauche dans ma vie), et deuxièmement, produire de mon côté, en toute autonomie, une “stratégie médias sociaux” me paraissait d’un non-sens sans nom.

Au fil des années, j’ai rencontré à plusieurs reprises cette idée de production de stratégie médias sociaux “à distance” de l’organisation qu’elle concerne. Comme exercice pour des étudiants, comme demande de la part de clients potentiels, ou encore de la part d’agences.

Et je ne comprends toujours pas.

Pour moi, une stratégie est le résultat d’une rencontre: moi, qui amène à la table mon expertise en médias sociaux, et le client, qui amène à la table son expertise sur son organisation et les contraintes et moyens qui fournissent le cadre dans lequel on travaille. La stratégie émerge de la discussion. Pas de mon cerveau, ex nihilo, après avoir absorbé quelques généralités concernant mon client.

Du coup, ça m’a aidé à être plus claire avec mes clients — qu’ils soient le “client final” ou non. Je ne vends pas des stratégies, mais un processus d’accompagnement pour développer ensemble la stratégie. Economie d’énergie, économie d’argent, économie de temps. Une approche née du monde numérique, dans lequel il coûte peu de tester une idée directement, de planifier en cours de route, plutôt que de prendre des lustres “hors terrain” pour tenter de deviner ce qui prendra.

Certes, la planification a sa place. Mais des fois, il vaut mieux faire, et voir.

(Scoop: je suis restée indépendante.)