Traitez d’abord les mails récents au retour de vacances! [fr]

Quand vous revenez de vacances ou d’absence et que vous êtes devant une pile de mails, traitez les mails les plus récents en premier.

Je réalise régulièrement que cette façon de procéder ne va pas forcément de soi. C’est vrai qu’on a tendance à penser chronologiquement, ou bien commencer par le début, et donc se dire qu’on va faire les choses dans l’ordre.

Mais la réalité c’est que le mail d’il y a trois semaines a bien des chances d’être caduque, surtout s’il était un peu urgent. Les urgences d’il y a trois semaines ne sont plus des urgences, par contre les urgences d’aujourd’hui le sont encore. Il vaut donc mieux commencer par elles.

Ce mail d’il y a trois semaines a peut-être aussi été suivi par un mail il y a une semaine qui dit “laisse tomber, j’ai trouvé une solution”. Ne vaut-il donc pas la peine de voir ce mail-là en premier?

A plus forte raison si vous êtes en copie d’une “discussion mail” à plusieurs, il vaut mieux voir l’état de la discussion aujourd’hui (qui est peut-être close) plutôt que de répondre d’abord au premier mail, puis au deuxième, etc. – pour ensuite découvrir que nos réponses sont inutiles parce que la situation a évolué entre-temps.

Il arrive aussi que l’on ait tellement de mails qu’on n’arrive pas à tout rattraper. Dans la plupart des cas de figure, ce n’est pas un désastre, pour autant que l’on traite d’abord les mails récents! Si un mail envoyé reste sans réponse et était important, la personne va se manifester à nouveau et donc se retrouver en haut de votre boîte de réception, et son mail sera traité.

Il vaut aussi la peine, avant de passer beaucoup de temps sur une ancienne demande, de vérifier avec l’expéditeur si celle-ci est toujours d’actualité.

Bonne reprise!

Getting Older: How I Use Technology [en]

At lunch my colleague ordered delivery for us. On her phone.

Of course I know this exists. But it hasn’t “worked” that well in Switzerland for all that long, and I think I’d never ordered food with an app. I felt like a fumbling doofus not knowing where to find the fries in the menu.

This got me thinking (and we had a chat around this topic with a bunch of my – quite – younger colleagues, and one my age).

The idea that you can easily and cheaply get food delivered is very new to me. This is not something we could do when I was young. I think I only really started ordering food during lockdown (when Quintus died, actually), and I only did it a handful of times. Maybe once before. But I call, speak to a human being, place my order. I don’t really feel confident doing it through a website.

Weird, huh?

We were also musing on why so many people seem to want paper versions of certain documents when a digital version can be sent instantly by e-mail (and printed, if need be). Some people just aren’t comfortable having important things on their phones. I recalled how long it took me (me!) to be comfortable travelling with only a “phone” version of my airline ticket. In all honesty, depending on where I’m going, I still am not really.

So, here’s a little list of stuff I do and don’t do with technology.

  • I use ebanking and cash transfer apps (I’m almost completely cashless)
  • I use an app to track my public transport use and bill me at the end of the day
  • I order(ed) books and CDs online from amazon, before I went completely digital
  • I buy plane and train tickets online (but am always slightly uneasy not carrying a print version when abroad)
  • I make concert reservations online
  • To book a restaurant, I’ll call them up
  • I chat and interact with people I “don’t know” online all the time
  • I’ve been meeting people “from the internets” for over twenty years (completely blasé about it)
  • I never managed to really get into snapchat or tiktok
  • I rarely print things, I tend to photograph paper stuff to digitally store it
  • I order groceries online when needed but I’d rather go into the store (when needed: post-lockdown, overworked)
  • I message people, rarely cold-call (except with family or purely utilitarian stuff, I generally schedule my calls)
  • I don’t order clothes online
  • I rarely print photos, they are first and foremost digital beings
  • I trust digital storage at least as much as physical storage
  • I know how to use a paper map
  • I navigate using google maps most of the time
  • I don’t have a CD or DVD player anymore
  • I have a Kindle and prefer most of my books as e-books
  • I type rather than write on pen and paper
  • I dictate to my phone regularly (my thumbs get fed up though I thumb-type really fast)
  • I rarely send people voice messages (never without consent – I hate receiving cold voice messages)
  • I have a location tracker on my cat, and home surveillance cameras (for the cats) but haven’t connected the cat-flap to the internet

When I was talking with my colleagues, I realised that the first phone I had which could usefully connect to the internet (through GPRS) was around 2007 or so (it wasn’t an iphone). I could check my mails and even Twitter. Load slow web pages that weren’t mobile-friendly. I was 33 in 2007. So until that age, I lived and functioned without a constant connection to the internet. And I’m realising, now, as years turn into decades, that I’m starting to see my age in my level of comfort with certain technology usages.

Quoting Douglas Adams:

1. Anything that is in the world when you’re born is normal and ordinary and is just a natural part of the way the world works.

2. Anything that’s invented between when you’re fifteen and thirty-five is new and exciting and revolutionary and you can probably get a career in it.

3. Anything invented after you’re thirty-five is against the natural order of things.

What about you?

So You Know My Users and Community Better Than Me? [en]

Sometime back I joined a pile of “Group/Page Admin Help” support groups on Facebook. As you may or may not know, I manage a rather busy and intense support group for diabetic cat owners on Facebook. One thing I would love to be able to do is identify members who haven’t posted in a given time-frame to check in on them.

We screen people who want to join the group through welcome questions, so every person who joins the group has a sick cat (a few exceptions). The thing with diabetic cats is that if you don’t do things right, you run the risk of ending up with a disaster. When those disasters happen at night or on week-ends (as they do), the group ends up having to deal with panicked owner and sometimes dying cat that the on-call vet doesn’t want to see (I guess they have their reasons). So in addition to wanting to be helpful to our members, we have a vested interest as a community in making sure that our members are actually using the group to follow best practices, keep their cat safe, and therefore avoid being the source of a midnight crisis.

This is just to give you a bit of background.

So what we do in my group is each member gets a personalised welcome publication when they join, with instructions to get started and pointers to our documentation. At the end of the week. all the people who joined during the week get a “group welcome” publication with some more info and links. (Think “onboarding”.) Two months later, another message (the first six months after diagnosis are critical, so two months in is a good time to get your act together if you haven’t yet). I used to do a “you’ve been here six months, wow!” group post too, but now I’ve moved it up to a year (the group turned two years old last January).

When I posted in these “admin support groups” to explain what we did and that I would like a way to identify inactive members, I was immediately piled upon (honestly there is no other word) by people telling me that they would quit a group which mentioned them like that in publications, that people should be allowed to lurk, etc. etc. I was Wrong to want to identify inactive members and Wrong to actively onboard new members.

I have to say I was a bit shocked at the judgement and outrage. Why do these people assume they understand my community better than I do? Anyway, it was a very frustrating experience.

For the record, there isn’t a way of identifying inactive members in a Facebook group.

Yesterday, somebody else posted the same question on one of those groups. They also wanted a way to identify inactive members to encourage them to participate, in a group based on active participation. Again, the onslaught of judgemental comments regarding the group’s rules and philosophy.

Seriously, what is wrong with people?

Le message vocal, entre amour et haine [fr]

A la base, je déteste les messages vocaux. Mais j’ai appris à les aimer. Je vous raconte.

Premièrement, le message vocal souffre du défaut propre à l’audio et à la vidéo, par rapport au texte: on ne peut pas y jeter un rapide coup d’oeil ou l’écouter en diagonale. Soit on l’écoute, soit on ne l’écoute pas. L’écouter monopolise l’entier de notre attention. Et avant de l’écouter, on ne sait pas ce qu’il y a dedans.

Impossible de “trier”, de décider s’il mérite ou non une consultation immédiate, s’il va nous remuer ou simplement nous donner une information anodine. Le message vocal, comme la séquence audio ou vidéo, est simple à produire, mais impose à celui qui le reçoit une plus grande charge pour y accéder.

Deuxièmement, et ça c’est un élément personnel, comme je suis malentendante, écouter un message vocal représente potentiellement toute une gymnastique: ôter mes appareils, trouver mon mains libres, etc. Et il y a toujours la crainte que la qualité audio ne soit pas suffisamment bonne et que je doive réécouter des bouts.

Voilà pour le message vocal “haine”: celui qui débarque sans explications ni annonce, imprévu, une boîte noire qui réclame que je lâche tout pour je-ne-sais-quoi.

Et l’amour alors?

Le message vocal, c’est de la voix. On entend l’autre. On s’exprime parfois plus facilement qu’à l’écrit. Pour raconter quelque chose, ou rentrer dans des subtilités, c’est génial. C’est moins prenant qu’un appel, mais il y a une proximité similaire. Il y a des gens avec qui j’ai des conversations par messages vocaux. J’adore.

Mais le pré-requis, c’est le consentement. Vérifier que je vais pouvoir écouter, par exemple. C’est aussi le message vocal envoyé avec un peu de contexte: “je te raconte ça, tu écouteras à l’occasion”.  C’est le message vocal poli, au final, qui tient compte de l’autre, et pas juste de la grande facilité qu’il y a à le produire.

Et vous, comment vivez-vous les messages vocaux?

Blogging and Facebook [en]

[fr] Réflexion sur la place du blog, de facebook, et de la solitude.

Not 20 years ago. But not yesterday either.

My number of blogging years is going to start to look like 20. Well, 18 this summer, but that looks an awful lot like 20 around the corner. My old Quintus is not quite as old as this blog.

We all know that blogging before Twitter and Facebook was quite different from what it is now. “Social Media” made blogging seem tedious, and as we became addicted to more easily available social interaction, we forgot to stop and write. Some of us have been hanging in there. But most of those reading have left the room: consumption is so much easier in the click-baity world of Facebook.

Facebook didn’t invent click-bait. I remember the click-bait postings and the click-bait blogs, way back when. When the nunber of a comments on a post were an indicator of a blog’s success, and therefore quality, and therefore of the blogger’s worth. And then we lost Google Reader. Not that I was ever a huge user of any kind of newsreader, but many were. So Twitter and Facebook, our algorithm machines, became the sources to lead us to blog postings, and pretty much everything else we read.

As the current “delete Facebook” wave hits, I wonder if there will be any kind of rolling back, at any time, to a less algorithmic way to access information, and people. Algorithms came to help us deal with scale. I’ve long said that the advantage of communication and connection in the digital world is scale. But how much is too much?

Facebook is the nexus of my social life right now. But I’ve always viewed my blog as its backbone, even when I wasn’t blogging much. This blog is mine. I control it. It’s less busy than my facebook presence, to the point where I almost feel more comfortable posting certain things here, in a weird “private by obscurity” way, even though this is the open internet. But the hordes are not at the doors waiting to pounce, or give an opinion. Comments here are rare, and the bigger barrier to entry is definitely a feature.

I’ve found it much easier to write here since I decided to stop caring so much, stop putting so much energy in the “secondary” things like finding a catchy or adequately descriptive title (hey Google), picking the right categories, and tagging abundantly. All that is well and good, except when it detracts from writing. It makes wading through my posts more difficult, I’m aware of that. But oh well.

During my two-week holiday, I didn’t disconnect completely. That wasn’t the point. But I definitely pulled back from social interaction (online and off, it was a bit of a hermit fortnight). I spent more time alone, more time searching for boredom. I checked in on the little francophone diabetic cat group I manage, as well as FDMB, a little. I checked my notifications. I posted a little. But I didn’t spend that much time going through my feed.

And you know what? After a week or ten days or so, my facebook feed started giving me the same feeling as daytime TV. Or cinema ads. I stopped watching TV years ago. I watch the odd movie or series, but I’m not exposed to the everyday crap or ads anymore. And when I go to the cinema, the ads seem so stupid. I’m not “in there” anymore. This mild deconnection gave me a sense of distance with my facebook newsfeed that I was lacking.

I caught myself (and still catch myself) diving in now and again. Scroll, scroll, like, scroll, like, tap, scroll, like, comment, scroll, scroll, scroll. What exactly am I doing here, keeping my brain engaged when I could be doing nothing? Or something else? I think my holiday gave me enough of a taste of how much I need solitude and doing-nothingness that I now feel drawn to it.

I’m not leaving Facebook. But if it were to disappear, I’d survive. I’d regroup here, read more blogs, listen to more podcasts (hah!). It helps that I’m looking at my immediate and medium-term professional future as an employee. And that I’ve recently experienced that forum-based communities could be vibrant, and in some ways better than Facebook groups.

Addictive Tech [en]

This week-end I was listening to a Fresh Air interview of the author of Irresistible, on addictive technology. I don’t like the idea of considering tech overuse as an addiction. But if we leave words like that one aside, I find myself in agreement with Adam Alter.

Here’s my main take-away, the one that has been trotting in my head since then: if you find yourself checking Facebook or whatever on your phone when you would actually rather be doing something else, then it means there is a problem.

This happens to me. A lot. But being aware of it makes it reasonably easy to snap out — which I have been doing regularly these last days. “Do I really want to spend my Sunday morning hanging out on Facebook?”

I’ve also installed Moment to try and get some objective measure of my usage, but I keep forgetting to take the screen shots.

Russian Passenger [fr]

Tout à l’heure, j’ai écouté l’épisode “The Russian Passenger” du podcast Reply All. Alex arrive avec une question: il a d’un coup commencé à recevoir des alertes Uber pour des trajets à Moscou, au milieu de la nuit. Il voit que les trajets sont facturés à sa carte de crédit.

Il tente de se connecter à son compte via l’application sur son téléphone mais… son compte ne semble plus exister! L’investigation subséquente nous mène dans le monde du traffic de comptes et de mots de passe. On envisage d’abord l’hypothèse d’une faille de sécurité chez Uber, abandonnée au profit de la réutilisation de mots de passe. En effet, quand on réutilise ses mots de passe, il suffit qu’un service qu’on emploie soit compromis, et les trafiquants de comptes vont ensuite essayer notre combinaison “e-mail + mot de passe” un peu partout, pénétrant ainsi dans des comptes de service qui n’ont pas été compromis. Dans le cas d’Alex, il semblerait même que ce soit son compte Gmail qui ait été hacké, alors même qu’il utilise la double authentification… Le mystère demeure.

Bref, encore une histoire qui met en avant l’importance de ne jamais réutiliser ses mots de passe, et donc d’avoir un gestionnaire de mots de passe pour les gérer (parce que s’en souvenir c’est impossible).

More Friction [en]

I think that now that we are all experiencing that we can be “public” (something we couldn’t 20 years ago) we’re going to be crawling back into more private spaces, understanding that the advantages we can see to “reaching more people” or “micro-fame” come with a load of drawbacks. But we need time in these public spaces to really get what those drawbacks are (as a society).

On a personal level, I can feel the pull towards publication spaces which have more friction. I was reading an author’s blog this morning — a full-time SF author who is quite well known. There were only a handful of comments on each blog post. It felt, reading his blog, that I had a priviledged contact with him — something I’m not going to feel on his 25k+ facebook page. Something that reminds me of the early days of online socialising and blogging.

When I write stuff on my blog, although it’s “the public internet”, it feels like a more intimate space, because it’s less reactive. The content is harder to get to. And there is value in that.

This was initially a Facebook comment.

Mots de passe: c’est pas toi qu’on vise [fr]


They aren't after you, and aren't interested in reading your e-mails. Hackers ("crackers", actually), are just after the easy accounts they can compromise. So, if you're the one with a bad or reused password, your account is the one that might be used to send spam or participate in a cyberattack at some point.

Short version: if you can memorise your passwords, they're not good enough. Generate them automatically. Make them long. Use a password manager. And double authentification everywhere you can.

…Mais c’est toi qui vas avoir des emmerdes quand même.

I Can't See You...Photo: Peter @ Flickr

Un faux sentiment de sécurité

Je te connais, lecteur, lectrice: tu as un peu la tête dans le sable quand il s’agit de mots de passe et de “sécurité informatique”. Tu vois, tu bâilles déjà.

Tu sais que tes mots de passe sont un peu simples et que tu devrais pas les réutiliser. Mais tu te rassures (à tort, je te préviens déjà):

  • “Je suis insignifiant(e), qui diable pourrait vouloir hacker mes mails/mon site/mon compte Facebook?”
  • “Au pire, j’ai rien à cacher, si quelqu’un lit mes mails, grand bien lui fasse, je m’en fiche un peu.”

Allez, avoue, tu as pensé au moins une de ces deux choses quand tu as lu “mots de passe” dans le titre de mon article. Et tu n’es pas tout(e) seul(e).

Cet article va t’embêter, je te préviens déjà, car il va te sortir la tête du sable et tu risques de dormir un peu moins bien cette nuit. Si tu tiens à ton sommeil, mieux vaut arrêter de lire.

C’est trop long, et tu veux juste le résumé?

  1. Active la double authentification partout
  2. Utilise un gestionnaire de mots de passe
  3. Assure-toi que tous tes mots de passe sont de longues séquences de charabia inintelligible du genre de ce qu’affectionnent les informaticiens qui se soucient de la sécurité.

Tu vois… Ça semble être beaucoup de boulot et ne pas valoir la peine, parce que tu n’as pas (encore) assez peur. Je te comprends, hein. J’ai été à ta place. Il y a longtemps…

Tu continues à lire? A tes risques et périls.

Pourquoi je devrais m’inquiéter?

Je vais d’abord répondre à la grande question qui te turlupine: “Si personne ne m’en veut au point de hacker mon site, et si je n’ai rien de bien important dans mes mails, pourquoi devrais-je me préoccuper de mes mots de passe et de la ‘sécurité’, du coup?”

  1. Les hackers ne visent pas des personnes particulières: ils visent les comptes les moins bien sécurisés. (Genre, le tien, si ton mot de passe est “Raminagrobis1!”)
  2. Les hackers n’en ont rien à faire de lire tes mails: ils désirent utiliser ton compte comme arme pour nuire à autrui. (Genre, envoyer du spam, si tu as de la chance, ou lancer une cyberattaque contre un gouvernement, si tu en as moins. Ou arnaquer tes proches “pas très doués avec internet” pour leur soutirer de l’argent. Tu rigoles, mais ils sont bien plus doués que tu ne l’imagines.)

J’explique un peu, parce que je te sens à moitié convaincu(e), là. Et tu es déjà en train de tenter de te rassurer en te disant que ton mot de passe est pas si mauvais que ça. Après tout, y’a une majuscule, des chiffres, et un signe de ponctuation dedans. Je reviens dans un moment sur “bon/mauvais” mot de passe, mais en très bref: si tu peux t’en souvenir, il est craquable.

Les gens qui vont chercher à rentrer dans tes comptes (e-mail, Apple, Facebook, blog, site, Instagram, Twitter et autres Snapchat) sont comme des voleurs qui testeraient systématiquement toutes les portes de l’immeuble dans lequel ils sont rentrés. Ils appuient sur la poignée: si ça ouvre, bingo! La personne qui aura droit à leur visite, c’est Jacques Bolomey du 9e en face de l’ascenseur, qui n’a pas fermé sa porte à clé, parce qu’il n’a rien de valeur chez lui, et en plus y’a personne qui lui en veut personnellement au point de commanditer une expédition cambriolesque chez lui.

Tu vois comment ça marche: on a toute une collection d’e-mails. On s’en fiche à qui ils sont. On regarde juste si on peut rentrer. Et du coup, si tu as un “mauvais” mot de passe (je rappelle qu’on reviendra sur ce qu’est un bon ou mauvais mot de passe), hop, ton compte sera compromis. Et ils font pas ça à la main, hein, ils ont des robots qui bossent là-dessus 24 heures sur 24.

Reste la question de la visite. Si tu es comme Jacques Bolomey, tu te dis, ok, les voleurs sont entrés chez moi, j’ai rien à voler, dommage pour eux. Sauf que dans notre histoire, les voleurs ne cherchent pas à repartir avec des objets de valeur. Ils veulent utiliser ton appart pour nuire au monde. Je reprends une image que j’ai déjà utilisée: ils vont planquer de la drogue dans les murs, lancer des bombes puantes depuis ta fenêtre (ou y installer un sniper), mettre la musique à faire trembler tout l’immeuble, et probablement foutre le feu à la penderie en partant pour couvrir leurs traces.

Tu vas rentrer du boulot pour trouver l’appart en cendres, et les flics qui t’attendent parce qu’ils ont quand même mis la main sur l’héro, ou que le sniper a tué quelqu’un, et puis bon, ils aimeraient “te parler”. (Si tu as du bol et qu’il n’y a ni héro, ni sniper, ni pyromanie, tu vas peut-être t’en tirer avec un avertissement de la gérance pour la musique et les bombes puantes.)

Ce que tu risques vraiment

J’arrête là l’analogie qui vaut ce qu’elle vaut. Voici les vraies choses qui peuvent arriver si quelqu’un de mal intentionné parvient à accéder à un de tes comptes:

  • Ton adresse e-mail peut être utilisée pour envoyer du spam
  • Le serveur de ton site web peut être utilisé pour envoyer du spam
  • Ton site web peut tenter d’installer des logiciels malveillants sur l’ordinateur de ceux qui le visitent
  • Ton site web peut se retrouver plein de liens pour des sites pornos ou des produits pharmaceutiques
  • Ton site web peut être redirigé sur un site peu professionnel (porno, jeux, ferme à contenu grouillant de pubs douteuses)
  • Ton compte Facebook peut être utilisé pour envoyer des messages d’arnaque à tes contacts (ton e-mail aussi, bien sûr)
  • Ton compte Facebook peut être utilisé pour inviter tes amis à installer des applications pourries ou cliquer sur des liens douteux qui installeront des trucs pourris sur leur ordi (tu vois l’idée)
  • Ton compte Facebook peut être utilisé pour liker et commenter un peu partout, voire être transformé en “compte fantôme” ou “faux compte” (tu sais, les gens qui achètent des “like”…?)
  • Ton serveur web peut être recruté pour faire partie d’une “armée de robots” qui mèneront diverses attaques coordonnées dans le but de rendre non-opérationnels d’autres serveurs ou des parties d’internet (cf. l’attaque d’octobre dernier qui a paralysé une bonne partie d’internet)
  • Depuis ton e-mail, on peut demander une remise à zéro de n’importe quel compte qui y est rattaché…
  • Avec le mot de passe de ton compte Apple ou Google, on peut installer des choses sur ton ordinateur ou ton téléphone, ou les effacer
  • …je pourrais continuer.

Et les conséquences pour toi?

  • Si ton e-mail envoie du spam, tes vrais mails finiront plus souvent dans les indésirables de tes destinataires, sans que tu le saches
  • Si ton serveur web se comporte mal, ton hébergeur te sommera de faire le ménage (tu sais faire?) ou pourrait par exemple désactiver ton site web en attendant
  • Si ton compte Facebook fait des cochonneries derrière ton dos, Facebook risque de brider ton compte, t’empêcher de liker, de poster, de commenter, par exemple — voire le suspendre
  • Si ton site web est bourré de pubs et de liens douteux, Google va le pénaliser ou le désindexer (souvent les pubs ne s’affichent que pour Google, donc tu n’y verras rien)
  • Si ton compte mail ou Facebook envoie des messages “SOS je me suis fait agresser au fin fond de l’Afrique et j’ai tout perdu, peux-tu STP m’envoyer des sous” à tous tes contacts, déjà ça fait désordre, ensuite si Tante Agathe tombe dans le panneau, tu te sentiras vraiment très mal (oui oui on se dit tous que c’est évident que c’est une arnaque… eh bien “même moi” je ne suis pas passsée loin de me faire avoir par un truc du genre; on est toujours plus intelligent après que sur le moment.)
  • Si ton serveur web est utilisé à des fins cybercriminelles à ton insu, c’est pas très cool…
  • Si ton compte Instagram commence à publier des dames toutes nues au lieux de photos de nourriture, ça plaira peut-être à certains, mais pas à tous
  • Idem si ton site web professionnel se transforme du jour au lendemain en site porno

Bref. Tu vois le genre de truc auquel on fait face? On est loin de “bah, si quelqu’un veut lire mes mails…”

Bon ou mauvais mot de passe?

Si tu as survécu jusqu’ici, tu es probablement en train de stresser un peu. (Sauf si ces questions de sécurité, c’est un peu ton métier, en quel cas tu as probablement envie de me dire de quel bois tu te chauffe, parce que oui, mea culpa, j’ai un peu abusé des simplifications et analogies pourtant bien parlantes mais un poil imparfaites.)

Donc, tu stresses, et te te dis que tes mots de passe, avec un peu de chance, ne sont pas si mauvais que ça, et que (on peut rêver) tu n’est pas concerné(e).

J’ai de mauvaises nouvelles: si tu peux te souvenir de tes mots de passe, ou s’ils sont listés dans un document Word sur ton ordi, c’est mal barré. Oui, même si tu as un mot de passe de base que tu fais varier de service en service, comme j’ai fait durant des années. Aujourd’hui, ça ne suffit pas.

La puissance de calcul des ordinateurs augmente chaque année, raccourcissant ainsi le temps nécessaire à craquer un mot de passe par “force brute” (en essayant toutes les combinaisons les unes après les autres). Les recommandations d’il y a deux ans sont déjà dépassées, et celles d’il y a cinq ans, je te dis pas.

Les craqueurs sont aussi intelligents que nous et ils lisent les mêmes recommandations pour “faire de bons mots de passe”.  Ils donnent à manger les recettes à leurs petits algorithmes, et hop, le tour est joué. Une “recette secrète” n’augmente pas la sécurité de ton mot de passe, car elle n’est jamais secrète. Ce qui permet d’évaluer si un mot de passe est “sûr” ou pas? Le temps nécessaire pour tester toutes les possibilités quand on connaît la recette. Oui, tu m’as bien lue.

Un bon mot de passe, aujourd’hui, fait minimum 12-16 caractères de long (plus c’est mieux, hein!) et n’a pas été généré par un être humain. Nous sommes beaucoup trop prévisibles. C’est pour ça qu’il faut absolument utiliser un gestionnaire de mots de passe, qui nous évitera d’avoir à nous en souvenir, et à les taper! Magique!

Et là, tu me dis: “Euh mais c’est pas dangereux d’avoir tous ses mots de passe comme ça au même endroit?” Avec le recul, tu comprendras l’ironie de ta question, mais je vais te répondre tout à fait sérieusement: non, car la base de données contenant tes mots de passe sera fortement cryptée à l’aide du mot de passe maître que toi seul connaîtras. Sans cette clé, la base de données est un coffre-fort inviolable, inutile à quiconque mettra la main dessus. Pour autant bien entendu que ton mot de passe maître soit incraquable — et que tu puisses t’en souvenir. “Euh attends… Tu as pas justement dit que c’était impossible? Que si on pouvait s’en souvenir, ce n’était pas un bon mot de passe?” Tu suis bien, petit scarabée. J’ai effectivement dit ça, et j’avoue que j’ai simplifié un peu. Il existe une méthode pour créer des mots de passe très sûrs et faciles à mémoriser: diceware.

De la réutilisation des mots de passe

Une autre chose importante à comprendre, et qui explique pourquoi il ne faut jamais réutiliser un mot de passe, c’est que les craqueurs ont des listes. Des listes d’e-mails associés à des mots de passe, et des listes de mots de passe associés à leur forme cryptée. Ça devient un poil technique, mais si tu as lu jusqu’ici, accroche-toi, c’est la dernière pièce du puzzle.

Les services en ligne stockent dans leur base de données notre nom d’utilisateur (souvent notre e-mail) et notre mot de passe, pour pouvoir nous reconnaître lorsque l’on s’identifie. Logique. Et comme les mots de passe c’est secret, ils les cryptent avant de les mettre dans leur base de données. Crypter un truc, ça ne marche que dans un sens: on peut transformer un mot de passe en sa forme cryptée, mais pas vice-versa. Quand on se connecte à Facebook, par exemple, on tape son mot de passe, mais le formulaire le crypte directement et l’envoie sous cette forme à Facebook, qui va comparer ce qu’il a reçu (crypté) avec ce qu’il a stocké dans sa base de données (crypté aussi). Facebook, en fait, ne “voit” jamais ton mot de passe, juste sa forme cryptée.

Parfois, les services en ligne se font “hacker”, comme on dit, et il y a fuite de données. Ça veut dire que quelqu’un s’empare d’un morceau de la base de données, par exemple la liste de tous les noms d’utilisateurs et les mots de passe (cryptés) associés. C’est là qu’on s’amuse avec la “force brute” dont j’ai parlé avant: on génère des tas de mots de passe, on les crypte, et on regarde si ça correspond à quelque chose dans notre liste. Si oui, eurêka, on a “décodé” un mot de passe! (Je simplifie mais c’est ça l’idée.)

Il y a aussi des services pas très sérieux qui ne cryptent pas les mots de passe. S’ils se font hacker, bingo. Et là, tu commences à voir pourquoi ça pourrait être un problème de réutiliser à plusieurs endroits le même mot de passe. Imaginons que LinkedIn se fasse hacker. (C’est arrivé.) Pas de panique, LinkedIn prévient ses utilisateurs (ahem, ahem), et on change tous notre mot de passe LinkedIn. Sauf que. Imaginons que les sinistres individus qui ont à présent entre les mains cette liste réussissent à décrypter un certain nombre (pour ne pas dire un nombre certain) de ces mots de passe. Sachant que les gens réutilisent souvent le même mot de passe, ils vont essayer ce mot de passe (avec l’e-mail associé) un peu partout: l’e-mail, d’abord, bien sûr, vu que ça donne accès à tout (le Saint Graal du craquage), puis Facebook, Twitter, Instagram, les hébergeurs web, les registrars, etc…

Tu vois le problème?

La double authentification

En fait, après tout ce que je t’ai raconté sur les mots de passe, il me reste à t’avouer un truc: les mots de passe, c’est en fait un super mauvais système pour identifier les gens. C’est vrai, au fond. Et tu le vois, maintenant: c’est super fragile. Et c’est super conpliqué d’en faire qui tiennent la route. Malheureusement on est coincés avec pour encore un bon moment.

Pour pallier à la faiblesse des mots de passe, on rajoute un truc: la double authentification. Sous ce nom barbare se cache quelque chose que tu connais depuis des années et que tu utilises à chaque fois que tu te connectes à ton e-banking: en plus du mot de passe, on te demande un code qui est sur une petite carte, ou que tu génères avec une calculette, ou encore qu’on t’envoie par SMS. On t’identifie d’une part avec quelque chose que tu connais (ton mot de passe) et d’autre part avec quelque chose que tu as (la carte, ta carte bancaire, ton téléphone qui reçoit les SMS…).

Quasi tous les services web l’offrent. C’est vraiment important de l’activer (google aussi “double vérification”, “validation en deux étapes”,  “authentification forte”).

OK, j’ai peur. Je fais quoi maintenant?

Ça va dépendre ou tu en es et de ton degré de confort avec la technologie.

Tu flippes? Ça te dépasse, ou alors tu ne sais pas par quel bout prendre l’histoire? Tu veux utiliser ton temps au mieux et faire juste tout de suite? Je suis là pour t’aider, soit en “cours privé”, soit, si tu trouves 2-3 camarades (ou plus!) en groupe. Envoie-moi un mot ici ou ailleurs (Facebook marche très bien) et on regarde ça ensemble.

Si tu as juste besoin de quelques indications pour te lancer, tu trouveras ici les liens et infos qui peuvent encore te manquer. Félicitations et courage! C’est un peu enquiquinant à faire, mais tu dormiras tellement mieux… tu verras.

En tous cas, si tu as lu cet article jusqu’au bout, tu dois voir beaucoup plus clair dans ces histoires de mots de passe. J’espère que ça t’aura été utile, même si pas forcément très agréable!

Nearly a Week With Less Facebook [en]

[fr] Il y a près d'une semaine, sur une impulsion, j'ai supprimé de mon téléphone l'application Facebook: c'était en effet principalement sur mon téléphone que je me retrouvais à consulter mon fil d'actus de façon un peu frénétique, compulsive. Et ces temps, les nouvelles du monde qui ont envahi "mon" Facebook commençaient à me peser. Le fait d'avoir cette icône bleue sur l'écran de mon téléphone à chaque fois que je l'ouvrais pour faire quoi que ce soit ne m'aidait pas à prendre de la distance. Du coup, j'ai l'application Groupes, Pages, et Messenger -- mais pour Facebook tout court je vais sur l'ordi ou l'iPad, ou dans le navigateur sur mon téléphone (c'est moins "agréable" mais ça marche). Et bien sûr, je peux toujours réinstaller l'application! Mais pour le moment, j'apprécie le retour au calme que cette modification de mon environnement numérique m'apporte.

fullsizeoutput_5386The morning after I wrote my last post about being exposed to too much news, I decided to try removing the Facebook app from my phone. It was a spur-of-the-moment idea, prompted by a few death announcements in my social circle on top to all the difficult world news we’re dealing with nowadays.

The fact that I get “caught up” in Facebook, compulsively cycling through my newsfeed and notifications, has been bothering me for a while. Time flies by and I’m still on Facebook.

Where this happens most is on my phone, particularly because I can carry it around all over the place the easiest. I will stand up and leave the computer. I will leave the iPad lying around somewhere. But the phone is always with me.

And the Facebook app is there, on my home screen, staring at me each time I turn on my phone for anything. And I get lost inside.

As you know if you’ve been following me for some time, I’m super interested in stuff like procrastination, change, habits. And I probably have already mentioned an idea I found clearly expressed on James Clear’s blog: environment is key in shaping our habits. If I think about my “Facebook habit”, clearly the fact that this app is so prominently displayed on my screen is encouraging it.

I remember one step of Note to Self’s “Bored and Brilliant” challenge was to delete your favorite app from your phone for a day. I didn’t like the idea. I preferred to think that I could have the discipline not to check my phone compulsively. And I can. But the problem is when I go to my phone for something else, and end up on Facebook instead — or afterwards.

Anyway. I decided to remove the app for the day, to give myself some space away from all the news. I can still check Facebook on my iPad or computer — or even in the browser — but it’s not staring at me each time I pick up my phone anymore.

Quite fast, I replaced it with the Facebook Groups app. I love Facebook Groups and am active in quite a few of them. They are not saturated with world news or people dying. They are not as active as my newsfeed, and therefore don’t lead to as much compulsive reloading. I also unearthed the Pages app so I could post to my pages. And I use Messenger, of course.

I realised that doing this gave me a breather. So I didn’t reinstall the app the next day. Or the next. It’s been nearly a week now, and I might keep things like this. I’ve been through the browser interface a few times, but it’s less seamless than the app, and so you don’t get “sucked in” as much.

Let me make it clear: this is absolutely not about “quitting Facebook” or anything like that. It is about “less compulsion”. About helping myself spend my time with more decision, less automation. It’s funny, I never thought I would do this. Had you asked me 10 days ago I would have said it was a silly idea. Or that I didn’t want to “cut the cord” like that. And I might roll this change back. But just now, I’m finding that being able to take a few steps back from my “TV 2.0” is really helpful.