Archive for 22 décembre 2010

Qu’est-ce qu’un bon mot de passe ?

Un ami m’a raconté l’histoire suivante il y a quelques jours :

Il y a quelques semaines, je me suis connecté sur le réseau d’un hôtel où je résidais pour quelques nuits. Dans la soirée, un détail dans la barre latérale du Finder m’a fait sourciller : un autre portable Apple était connecté sur le même réseau local que moi. Et selon la règle établie par l’assistant de Mac OS X, il s’appelait « Ordinateur de XXX », XXX étant le prénom de son utilisateur. Plus intéressant encore, le compte était accessible en partage de fichiers. Et en tapant « XXX » (le nom de l’utilisateur) comme identifiant et en ne tapant aucun mot de passe… Je pouvais accéder au disque complet de l’utilisateur. Pas de méthode de crack violent : il m’a juste fallu une minute de déduction, et tenter le coup pour réussir à rentrer sur cet ordinateur.

Cette petite histoire montre donc qu’il est indispensable de disposer d’un bon mot de passe sécurisé pour sécuriser son ordinateur et tous les différents services auxquels nous avons besoin d’accéder en ligne.1

Ce qui est étonnant, c’est de voir à quel point il est difficile pour chacun de choisir un bon mot de passe. Or, le couple identifiant/mot de passe est la seule façon de garantir de façon fiable votre identité auprès d’un système informatique (un sujet que j’ai déjà décrit dans Snow Leopard Efficace) et de vous protéger de certains intrusions. Et malheureusement, pour trop d’utilisateurs le mot de passe est vécu comme un calvaire, et donc par défaut trop simple… quand il n’est pas juste complètement supprimé !  Ou pire encore, noté sur  un post-it posé sur l’écran…

Je me suis donc posé la question ces jours-ci : qu’est qu’un bon mot de passe ? D’habitude, quand on demande à un expert, un bon mot de passe doit répondre aux règles suivantes :

  • Au moins 8 caractères ;
  • Mélanger majuscules et minuscules ;
  • Contenir des chiffres et des lettres ;
  • Intégrer au moins un caractère spécial (? ; ! ‘ § & etc.) ;
  • Ne pas être un mot du dictionnaire.
  • Ne pas être évident. Éviter par exemple sa date de naissance, le nom de son épouse, etc.

Je suis plutôt d’accord avec ces règles, même si les mots de passe sont de plus en plus rapides à cracker en mode force brute, la puissance de calcul des ordinateurs aidant. Mais personnellement, je rajouterais deux règles  :

  • Le mot de passe doit être mémorisable. Il existe plein de méthodes pour cela : l’acrostiche est par exemple une méthode couramment utilisée et qui peut être considérée comme efficace. Si votre chanson préférée est « Hélène, je m’appelle Hélène », vous pouvez très bien partir sur « LNJeuMapLLN! ». OK, il manque des chiffres, mais ça peut être amélioré, et côté sécurité, c’est vraiment pas mauvais. Remplacez par exemple le e par un 3, et ça ira encore mieux. Vous pouvez aussi utiliser un peu de leet speak pour améliorer tout ça…
  • Malheureusement, ce mot de passe a un défaut à mon goût. Il est peut-être mémorisable, mais il ne « coule » pas sous les doigts. Je veux dire par là que sa frappe est compliquée, et du coup vous êtes ralenti lorsque vous devez le taper. Il faut que votre mot de passe soit fluide. Il faut que vous puissez le taper sans avoir à regarder le clavier et sans avoir pour autant à vous faire des crampes aux doigts. C’est un des points les plus délicats, mais une fois que vous aurez trouvé ce mot de passe, vous n’aurez plus forcément envie d’en changer. Et vous serez satisfait de bénéficier d’un peu plus de sécurité.

Ce dernier point est bien plus crucial que l’on pourrait le croire. J’ai déjà eu des mots de passe qui répondaient à toutes les règles précédentes, mais dont la frappe me semblait finalement « douloureuse » ou trop compliquée, je perdais trop de temps à les taper. Dans ce cas, c’étaient de mauvais mots de passe. Si il vous faut plus de 3 secondes pour taper votre mot de passe, c’est qu’il est mauvais. Je tape certes assez vite 2, mais vous devriez pouvoir trouver un mot de passe à votre convenance et que vous serez capable de taper rapidement.

N’hésitez pas non plus à tester vos mots de passe avec l’aide de l’Assistant mot de passe:

  1. Ouvrez la préférence Système Comptes
  2. Cliquez sur Modifier le mot de passe
  3. Cliquez sur la clé en face de Nouveau mot de passe.

L’assistant pourra vous proposer des suggestions ou tester votre mot de passe actuel afin d’en vérifier son niveau de sécurité.

Pensez donc à changer votre mot de passe s’il n’est pas sécurisé.

(Et si le sujet vous passionne, vous pouvez lire l’article de Yoann Gini, qui a eu l’idée d’écrire sur le même sujet et de diffuser son article juste quelques heures avant moi. Argh).

  1. Accessoirement, cette histoire montre également à quel point Bonjour est parfois trop bavard et combien il peut être utile d’utiliser un firewall efficace ou un outil de type Little Snitch…
  2. Environ 55 mots/minute, excusez du peu.

Apple : la passion du design, enfin en vidéo !

Depuis le temps… La conférence Apple : la passion du designque j’ai présentée en mars dernier au Musée de l’informatique de la Défense est enfin visible en vidéo !

Apple : la passion du design par Guillaume Gete on Vimeo.

Enjoy !

PS : Oui je sais, je parle trop vite et il y a trop d’hésitations. Je corrigerai pour la prochaine hein.
PPS : Et oui je sais, Vimeo c’est bien mais c’est pas top pour les iPhone et iPad. Malheureusement, pour poster sur Youtube ou DailyMotion, il faut pas que les vidéos soient trop longues. Ou alors, faut raquer.

Les joies du téléchargement légal…

Parfois, on se dit que l’industrie audiovisuelle mérite ce qui lui arrive. Elle mérite le piratage, et elle mériterait qu’on lui mette des coups de pieds dans le derrière.

Explications.

J’ai commandé et reçu récemment l’édition Ultimate Combo Blu-Ray + DVD + Copie digitale de l’exceeeeeellent film Inception. Pas de souci : le coffret arrive le jour annoncé, je regarde le film sur la PS3, tout va bien, c’est formidable. Mais puisque Warner propose une copie digitale (qu’on utilise donc avec les doigts, plutôt qu’une copie numérique…) du film, je me décide donc à la télécharger. Un petit papier fournit donc un code à taper sur le site www.warnerathome.com. Il explique qu’il faut cliquer sur la bannière du site affichant cette promotion  (pourquoi diable ne pas proposer directement une URL du type warnerathome.com/inception ?) puis taper le code pour ensuite télécharger le film, en version WMV pour PC ou DivX pour Mac.

J’avais alors rêvé que je pouvais lire le film en trois clics sur mon ordinateur… Mais comme pour Inception, la réalité semble si compliquée qu’on se demande si on n’est pas encore en train de rêver.

Car une fois qu’on est sur le superbe (ahem) site warnerathome.com, on cherche la fameuse bannière, qui n’existe donc pas. Mon instinct me pousse à aller voir sur le site http://www.warnervideolive.com/, site de téléchargement légal de l’offre de Warner, où je devrais trouver la bannière… Ah non, toujours pas. Alors tapons le nom du film dans le moteur de recherche… Il ne s’affiche pas !?! Ah,alors cliquons sur un des liens qui parle d’Inception, quand même. Ouf ! Je peux taper un Bonuscode, je me dis que c’est sûrement de ça qu’on parle sur le petit papier fourni avec le film (le terme Bonuscode n’y étant jamais référencé).

Tapons donc le bonuscode à l’endroit indiqué. Oh, je peux choisir de télécharger le film ! Oh, mais… seulement en version WMV ! J’arrête donc pour ce soir… Je retente l’expérience trois jours plus tard, et miracle, la version DivX est également disponible. J’ajoute au panier, je vais pour m’enregistrer, et je regarde, et hop, le panier est vide ! GRAAAAAAAAAAH !!! Et impossible de retaper le Bonuscode, qui est déclaré invalide, sauf à virer les cookies…

Après avoir écrit au support de Warner, je reçois un e-mail le lendemain :

Bonjour,
C’est avec la plus grande attention que nous avons pris connaissance de votre demande.
Après vérification, il se trouve que votre BONUSCODE est parfaitement valide.
Afin de bénéficier pleinement de cette offre merci de vérifier les points suivant :
1- Rendez vous sur www.warnervideolive.com et identifiez vous sur votre compte.
2- Cliquez sur Mon panier:
Si un article est présent avec un mode de paiement BONUSCODE, vous pouvez valider la commande.
Si aucun article n’est présent, entrez votre BONUSCODE a l’emplacement indiqué a gauche et suivez les indications affichées a l’écran.

Évidemment, la manipulation indiquée ne marche pas. Que ça soit avec Safari, Firefox, Chrome… Ah mais au fait, je n’ai pas tenté avec Internet Explorer ? Parallels, à la rescousse !

Et…

Bien évidemment, sous IE, ça MARCHE. Grrrrrrrrrr.

Téléchargement du film lancé… Ah non ! On obtient juste un petit fichier Inception.tix, à garder de côté. Installons plutôt le Divx Player nouvelle génération. Un lecteur à l’interface transparente même si ça ne vous plait pas, aux boutons de fenêtres originaux (comprenez : moches et non standard), et il faudra enregistrer votre lecteur DivX auprès de Warner pour pouvoir lire votre film. Car, oui, vous ne pourrez le lire que sur UN seul appareil. Oubliez votre iPhone, votre iPad, ça sera sur votre Mac, point barre. Je double-clique sur le fameux fichier .tix, ce qui lance le téléchargement… qui se bloque à mon insu au bout de 30%. Pas possible de continuer, il faut relancer l’application, 3 fois pour arriver à la fin de la journée à obtenir tout le film. Merveilleux non ?

Enfin, on lance la lecture : la qualité est bof, le film est sensé peser 1 Go selon l’application DivX, en réalité 1,69 Go selon le Finder (mais seulement 300 Mo selon la police), et, surtout, joie et bonheur, vous ne pourrez pas le regarder sans connexion Internet ! Et oui, dans un grand élan de stupidité, le lecteur DivX doit être capable de décider au moment de la lecture si vous pouvez lire le film ou non ! Si vous comptiez lancer la lecture de votre film préféré au milieu du Tunnel sous la Manche, vous pouvez oublier.

Warner complique donc encore inutilement le téléchargement dit « légal », la copie digitale étant pénible à télécharger ET pénible à utiliser. Entretemps, il vous aura sûrement fallu 2 heures pour récupérer en trois clics la copie HD sur Piratebay ou Megaupload. Quand les majors comprendront-elles qu’une expérience utilisateur désastreuse ne permettra pas de contrer le piratage ? Là j’avoue que j’ai pas trop la foi sur ce coup.