Archive pour mai 2006

Les 10 mots de passe les plus courants

mercredi 31 mai 2006

On ne cesse de nous le répéter, ces temps-ci : il faut savoir être imaginatif dans le choix de ses mots de passe. Trop courts, trop basiques, trop prévisibles, trop récurrents, les codes utilisés par la majeure partie des gens ne sont pas assez sécurisés, et ils peuvent être la proie de voleurs d’identité ou de videurs de comptes bancaires. Evidemment, toutes les données ne valent pas forcément la peine d’être archi-protégées, mais bon nombre d’entre nous n’en ont qu’un seul et unique, qu’ils utilisent allègrement pour la gestion de leurs fichiers à celle de leur messagerie, en passant par celle de leurs comptes en banque. Et là, ça peut vite devenir un gros danger.

Le blog “Modern Life Is Rubbish” a récemment publié les résultats d’un sondage intéressant, lequel cherchait à connaître les 10 mots de passe les plus “classiques”, parmi un millier d’échantillons environ, la plupart provenant de personnes de nationalité anglaise. Voici le résultat :

  1. 123
  2. password
  3. liverpool
  4. letmein
  5. 123456
  6. qwerty
  7. charlie
  8. monkey
  9. arsenal
  10. thomas

les “123”, “123456” et “qwerty” étaient plus que prévisibles : des enchainements de lettres ou de chiffres ; “charlie” et “thomas” sont des prénoms, donc devinables en connaissant un peu la personne ; “liverpool” et “arsenal” sont 2 des plus grands clubs de foot d’Angleterre, donc pas trop difficile à deviner si l’utilisateur en est fan. Le reste n’est pas non plus d’une robustesse avérée, vous en conviendrez. J’aime beaucoup le “letmein” en passant, qui à lui tout seul illustre le phénomène du “trop de mots de passe tue le mot de passe”.

Personnellement, j’ai arrêté de conseiller aux gens de retenir plusieurs mots de passe compliqués différents : le nombre de services où on doit s’identifier augmente en permanence, et on aboutit forcément à une situation où la personne cherche à ne garder qu’un seul mot de passe pour tout, parfois même assez facile à deviner. Ce que je conseille donc est un mot de passe unique, mais modulaire : choisissez une base assez sécurisée (avec au moins 8 caractères dont des lettres, des chiffres, et un ou deux symboles comme le trait d’union ou le point), et faites-en subtilement varier 2 ou 3 caractères en fonction du nom de service auquel on se connecte. Ce n’est pas aussi robuste qu’un mot de passe différent à chaque fois, mais ça a le mérite de ne pas avoir à en inventer un nouveau pour chaque service, et de pouvoir s’en souvenir immédiatement sans avoir à les noter quelque part. Pratique !

Mac-laser

dimanche 21 mai 2006

Depuis une année environ, les ordinateurs portables d’Apple (qui s’appellent désormais tous “MacBook”) intègrent une technologie connue sous le nom de “sudden motion sensor”. Il s’agit en fait d’un capteur de type accéléromètre qui réagit aux mouvements subis par le boîtier, et ce dans les 3 axes de rotation possibles. Lorsque le système reçoit une alerte venant de lui (dûe à un choc, une forte vibration ou une chute), il peut alors prendre l’initiative de déplacer la tête de lecture du disque dur vers sa zone de sécurité, afin d’éviter qu’elle ne fasse un “crash” et provoque une perte de données.

Un tel dispositif ne pouvait laisser les bidouilleurs indifférents. Ils ont en effet très vite cherché à détourner son utilisation afin de pouvoir transformer l’ordinateur en un dispositif de contrôle, avec en ligne de mire une façon de piloter certains jeux. Mais tout récemment, une utilisation encore plus pittoresque a été inventée : transformez votre Mac en sabre-laser !

Le fonctionnement est tout simple : faites des swings avec votre Mac portable et il interprètera vos mouvements pour produire un son de sabre-laser façon George Lucas ! Pas très utile, voire dangereux en cas de maladresse, mais voilà de quoi faire un certain effet dans un lieu plein de touristes !

Mac-laser

“Jeune Padawan, avec des néons comme sur celui-ci, c’eût été encore plus réaliste, non ?”

Sapiens : le jeu où qu’on s’y croirait

samedi 20 mai 2006

Ce matin, j’ai découvert qu’il existait une version pour Mac OS X de Sapiens, un jeu auquel je jouais déjà lorsque j’avais dix ans. Créé par Didier et Olivier Guillon en 1986, il a commencé sa carrière sur MO5, un ordinateur pour lequel il fallait être courageux pour écrire des jeux. Il est ensuite passé par de nombreuses autres plates-formes, dont l’Amstrad CPC et l’Atari, cette dernière étant celle que j’ai connue.

Ah, Sapiens… Aujourd’hui un tel jeu peut paraître très désuet, tant dans l’apparence que dans la profondeur, mais à l’époque c’était un de ces trop rares jeux nés de l’esprit de gens passionnés. Il vous fait voyager 100 000 ans en arrière, à l’époque de nos ancètres que la science moderne appelle “Homo Sapiens Neandertalensis”. Votre héros est un chasseur en quête de reconnaissance, auquel le chef de la tribu va confier plusieurs missions l’obligeant à risquer sa vie en-dehors de sa tribu rassurante et affronter la dure loi de la jungle.

L’élément qui m’avait laissé les souvenirs les plus nets était certainement les dialogues : il était possible de (tenter de) discuter avec n’importe lequel des congénères rencontrés sur votre chemin. On pouvait alors lui poser des questions courantes (“qui es-tu ?” “que veux-tu ?”), mais aussi bon nombre de vantardises rassurantes comme , “c’est moi le plus fort”, “même l’ours me fuit” ou encore “je t’écrase d’une main”, ainsi qu’une floppée d’insultes du plus bel effet : “baisse les yeux”, “tu n’es qu’un couard”, “face de porc”, “primate dégénéré” (!)… Evidemment, de tels propos, plus la peine d’espérer vous faire accompagner de votre interlocuteur ou faire des échanges avec lui… la susceptibilité n’est pas une aberration de notre civilisation avancée, qu’on se le dise !

Dans ce jeu, le réalisme des situations est réellement saisissant. Peut-être même trop, d’ailleurs. Savez-vous comment étaient traitées les femmes blondes il y a 1000 siècles ? Eh bien pas très différemment d’aujourd’hui, figurez-vous :

Entre blondes et brunes...

Eh oui, la guerre des pigments capillaires supposés jouer sur la taille du cortex existait déjà ! D’ailleurs les mâles, eux, pressés par les besoins naturels relatifs à la survie de l’espèce, savaient être patients, eux :

Entre blondes et mâles...

Notez qu’à l’époque, faire la cour impliquait encore d’être poli. Pas de “zyva, la meuf, ta l’R trop bonne, vien ché wam !” et autres jeuneries contemporaines. Cela dit, il convient de remarquer qu’en ces temps reculés, le respect de la hiérarchie avait déjà son importance, même si mai 68 était encore loin. Ainsi, il y avait des choses à ne surtout pas demander au chef de sa propre tribu (même si vous étiez blonde) :

Ne jamais fâcher le chef...

Vous le voyez, bandes de jeunes incultes, à défaut du réalisme que les jeux d’aujourd’hui prétendent vous offrir à coups de textures, polygones et autres shaders, les vieux jeux vous le donnaient par la pertinence des situations et la richesse des dialogues. Alors un peu de respect pour les bon jeux d’antan, que diable !

Nota : les images ci-dessus sont vraiment issues du jeu et n’ont été retouchées que pour en diminuer la largeur ; ceux qui s’essayeront à Sapiens s’apercevront vite qu’il n’est pas bien difficile d’arriver à ce genre de scènes cocasses…

Big Brother USA étend son bras vers l’Europe

dimanche 14 mai 2006

Premier round. Fin février dernier, l’Europe avait validé le principe de rétention des données de connexion : à tout instant, que ce soit en téléphonie ou en accès à l’internet, tous les opérateurs de chaque pays-membre doit conserver les traces des connexions établies au cours des 6 dernier mois minimum. Les données ainsi stockées (source, destination, date, heure et durée) devront ainsi être tenues à disposition des autorités, en vertu de la lutte contre le terrorisme.

Second round. Au début de la semaine dernière, un scandale a éclaté aux Etats-Unis : suite aux attentats du 11 septembre, le gouvernement américain a mis en place un dispositif similaire concernant les conversations téléphoniques. Alors qu’il n’était question que d’espionner des gens soupçonnés d’être en relation avec des organisations terroristes, le quotidien USA Today a révélé le secret de polichinelle : les enregistrements sont généralisés à tous les américains. Les conversations ne seraient pas écoutées mais les informations de provenance, de destination, de date et de durée ont été stockées en vue d’être mis en corrélation avec des activités terroristes.

Troisième round. Aujourd’hui, le magazine en ligne EUobserver révèle que les USA, en se servant des accords internationnaux passés avec l’union européenne, cherche à se voir autoriser l’accès aux données des citoyens européens. Et les hauts dirigeants de l’Europe semblent trouver ça normal. Voilà qui fait froid dans le dos. Et vous pensiez que le scandale des pays de l’UE ayant collaboré au transit des supposés terroristes à destination de Guantanamo allait calmer un peu les ardeurs de l’administration Bush et de la commission européenne ?

Quand donc les citoyens du monde occidental se rendront compte que la lutte contre le terrorisme, telle qu’elle nous est présentée, n’est en réalité qu’un emballage séduisant destiné à faire accepter aux populations une pression gouvernementale de plus en plus forte au détriment de leurs libertés ? Le terrorisme est un risque que le monde moderne a engendré (ventes d’armes aux pays étrangers, pillage organisé des ressources des pays pauvres, interventionnisme politique et militaire, surmédiatisation des événements, etc.), et tant que les gens continueront à y réagir avec horreur et sidération, il n’ira qu’en augmentant. Et les gouvernements en profiteront allègrement pour renforcer leurs pouvoirs de surveillance et de manipulation.

Moteurs de recherche : les requêtes qui tuent

samedi 13 mai 2006

Y’a-t-il des phrases dangereuses à saisir dans un moteur de recherche ? Et sur quels critères peut-on distinguer une recherche dangereuse d’une autre qui ne l’est pas ? Site Advisor, éditeur d’une extension pour Firefox du même nom, vient de publier une étude intéressante portant sur la sûreté des moteurs de recherche. Et selon ses auteurs, Ben Edelman et Hannah Rosenbaum, une requête devient suffisamment dangereuse pour en déconseiller fortement sa saisie à partir du moment où elle retourne une moyenne supérieure à 50% de sites louches sur l’ensemble des principaux moteurs de recherche. Par site louche, on entend un site qui cherchera à vous ajouter à une liste de spam ou à installer à votre insu des adwares et autre spywares.

C’est donc tout naturellement qu’on trouve, à la fin de l’article, un récapitualtif des requêtes les plus risquées, donc celles à ne jamais entrer sur un moteur, sauf si vous cherchez à tester vos protection anti-malware. Les résultats n’ont rien de très étonnant : les sites malveillants cherchent toujours à attirer l’internaute naïf en répondant présent aux requêtes les plus communes, à savoir les logiciels de téléchargement en peer-to-peer et les gadgets en tout genre que les gens s’échangent à longueur de journée. La palme de la requête la plus dangereuse est décernée à “free screensavers”, avec une moyenne de 59% de sites douteux. Viennent ensuite “Bearshare”, “Screensavers”, “Winmx”, “Limewire”, “Download Yahoo messenger”, “Lime wire” ou encore “Free ringtones”.

A la lecture de cette étude, même si elle est volontairement alarmiste (est-il besoin de le préciser ?), on se rend bien compte d’un des dangers des moteurs de recherche : l’indexage automatique des pages web permet à des personnes malhonnêtes d’être mentionnés en bonne place parmi les résultats d’une requête fort banale. On ne le répètera jamais assez : sur le web, soyez prudent. N’utilisez pas n’importe quel navigateur (suivez mon regard…), n’installez pas n’importe quel plugin, méfiez-vous des titres de page qui cherchent visiblement à capter le regard, et exercez votre sens critique.

En attendant que tout le monde apprenne à être suffisemment paranoïaque sur le net, je suggérerais bien à Google de prendre connaissance de ces requêtes dangereuses et modifie, lorsqu’un internaute saisit l’une d’entre elles, son bouton “j’ai de la chance”, car ce dernier devient alors d’une ironie mesquine, bien qu’involontaire. Pourquoi pas quelque chose comme “j’aime vivre dangereusement” ?

Le CLUF de Windows XP en langage humain

samedi 6 mai 2006

Depuis le temps qu’on en rêvait, le site LinuxAdvocate l’a fait : transcrire le contrat d’utilisation de l’utilisateur final (CLUF) en langage compréhensible par un humain normal. Bon, d’accord, c’est de l’anglais, mais au moins, plus besoin d’un avocat à ses côtés pour espérer comprendre ce que Microsoft entend vous empêcher de faire avec son logiciel.

Quelques morceaux choisis, avec petit commentaire perso à la clé :

You agree that at any time, and at the request of “content providers” (eg. media giants such as Sony and BMG), Microsoft may disable certain features on your computer, such as the ability to play your music or movie files.

La fameuse clause instituant les DRM au sein-même du système, qui se traduit par la perte de contrôle (certes partielle, mais où s’arrêtera-t-elle ?) de l’ordinateur par l’utilisateur.

You agree that Microsoft can automatically and without your consent put new software on your computer.

Introduite par Windows Media Player 9 puis par le Service Pack 2 de Windows XP cette clause autorise Microsoft à installer ce qu’il veut sur votre ordinateur, y compris des mises à jour de logiciels… ou des espions.

Software developers cannot attempt to figure out how Windows XP Home works for any reason (including writing software that works with or communicates with Windows XP Home).

Une des clauses qui fait bouillir la Commission Européenne : les développeurs de logiciels sont censés se cantonner aux documentations officielles de Microsoft, qui se garde bien de révéler les parties sensibles de Windows, notamment ce qui permettrait d’améliorer son interopérabilité avec Linux.

You may not rent, lease, or lend your computer (including laptops) to anyone once it has Windows XP Home on it.

Il est interdit de prêter ou emprunter un ordinateur sous Windows… Et pourtant qui ne l’a jamais fait ?

Microsoft assures you that Windows XP Home will work correctly for the first 90 days. They do not assure you that Windows XP Home or any “service packs” or “hot fixes” will work correctly after this time.

Ah, j’adore celle-ci : la garantie d’un logiciel limitée à 90 jours… eh oui, ça s’use aussi, Windows ! Maintenant on comprend pourquoi on finit souvent par devoir le réinstaller…

Microsoft is not responsible for anything that happens to your computer, lost time, lost documents, etc. that happens as a result of using Windows XP Home.

Si Windows XP fait exploser votre machine et brûler votre maison (et votre famille avec), ce n’est pas la faute à Microsoft : c’est la vôtre, puisque vous lui avez fait confiance.

Microsoft will not be liable for any damages caused by viruses, even if those viruses are the result of security problems in Windows XP Home.

Et voilà comment se disculper de son incompétence : même si notre logiciel est buggé et plein de failles, ce n’est pas notre faute si vous attrappez un virus ! Quand on pense à ces hôpitaux qui doivent dédommager les victimes d’infections noeusocomiales, on se dit que la santé des ordinateurs n’est pas encore reconnue comme vitale… même pour ceux qui stockent les fichiers de la sécu, qui pilotent les appareils des médecins ou qui surveillent l’hygiène des locaux hospitaliers.

Pour finir, une que dont je publie les deux “versions”, car c’est vraiment révélateur :

“EXCLUSION OF INCIDENTAL, CONSEQUENTIAL AND CERTAIN OTHER DAMAGES. TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, IN NO EVENT SHALL MICROSOFT OR ITS SUPPLIERS BE LIABLE FOR ANY SPECIAL, INCIDENTAL, PUNITIVE, INDIRECT, OR CONSEQUENTIAL DAMAGES WHATSOEVER (INCLUDING, BUT NOT LIMITED TO, DAMAGES FOR LOSS OF PROFITS OR CONFIDENTIAL OR OTHER INFORMATION, FOR BUSINESS INTERRUPTION, FOR PERSONAL INJURY, FOR LOSS OF PRIVACY, FOR FAILURE TO MEET ANY DUTY INCLUDING OF GOOD FAITH OR OF REASONABLE CARE, FOR NEGLIGENCE, AND FOR ANY OTHER PECUNIARY OR OTHER LOSS WHATSOEVER) ARISING OUT OF OR IN ANY WAY RELATED TO THE USE OF OR INABILITY TO USE THE SOFTWARE, THE PROVISION OF OR FAILURE TO PROVIDE SUPPORT OR OTHER SERVICES, INFORMATON, SOFTWARE, AND RELATED CONTENT THROUGH THE SOFTWARE OR OTHERWISE ARISING OUT OF THE USE OF THE SOFTWARE, OR OTHERWISE UNDER OR IN CONNECTION WITH ANY PROVISION OF THIS EULA, EVEN IN THE EVENT OF THE FAULT, TORT (INCLUDING NEGLIGENCE), MISREPRESENTATION, STRICT LIABILITY, BREACH OF CONTRACT OR BREACH OF WARRANTY OF MICROSOFT OR ANY SUPPLIER, AND EVEN IF MICROSOFT OR ANY SUPPLIER HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.”

Microsoft is not responsible for any damages. This includes loss of profit, the release of confidential information, or the loss of your privacy. Microsoft is further not liable for failing to use “good faith,” “reasonable care” or for negligence. Microsoft is not liable even if they break the terms of this agreement.

En français, ça donne : “Microsoft n’est responsable d’aucun dommage, incluant diminution de profits, fuites d’informations confidentielles et perte de votre intimité. Même si Microsoft commet des négligences et ne fait preuve d’aucune bonne foi ou de bon sens. Et même si elle rompt le présent contrat de licence.” Ils auraient pu ajouter à la fin “Et allez tous vous faire f…”, de toute façon à côté d’une phrase de 178 mots aussi imbitable, personne ne l’aurait remarqué…

Je tiens à préciser que ce genre de contrat se retrouve dans l’immense majorité des logiciels. Le CLUF de Microsoft est ici emblématique car (presque) tous les possesseurs d’ordinateurs l’ont accepté, mais absolument pas unique en son genre. Qu’il s’agisse de Microsoft, d’Apple, d’Adobe, de Google ou même de Symantec et ses logiciels d’entretien (eh oui !), les éditeurs profitent honteusement du fait que personne ne lit ces amas de verbiage juridique pour imposer leur propre loi, celle des restrictions d’utilsation et de la négation de toute garantie de fonctionnement ou de responsabilité en cas de dommages causés par l’utilisation de leurs logiciels. Et ce même dans les cas où des vies sont en jeu.

Zwiiip… la nouvelle arme anti-manif

jeudi 4 mai 2006

Un moyen de riposte efficace mais sans danger pour maîtriser les foules vient peut-être d’être inventé par les chercheurs de l’institut de recherche de San Antonio, au Texas. Partant du principe que les foules rebelles ont besoin de marcher pour être menaçantes, ils ont mis au point de quoi les mettre à genoux : une substance super-glissante. Ce mélange d’eau et de poudre de polyacrylamide, déjà brevetée, est annoncé comme capable de faire tomber quiconque marche dessus et de faire perdre le contrôle à n’importe quel véhicule.

Combinée à un système de propulsion à air comprimé, la substance vise clairement à séduire les forces de l’ordre auxquelles les gouvernements demandent de plus en plus de fermeté avec de moins en moins de victimes. Non toxique, le gel ne devrait pas provoquer d’autres dégâts que ceux d’une grosse vague de verglas. L’avantage est qu’une fois la flaque glissante installée et correctement signalée, ceux qui s’y aventureront ne pourront pas prétendre qu’on les a matraqués sans avertissement.

Une façon de responsabiliser les foules, en quelque sorte. Après tout, une manifestation sous la pluie, c’est déjà pas marrant, mais pour défiler en présence de verglas, il faut vraiment être motivé. Autre avantage : si cette arme est adoptée, les documentaires filmés à l’occasion des manifs seront enfin plus amusants que images de banderolles aux slogans chaque fois plus mal défraîchis que la précédente. Et puis, qui sait, ça donnera peut-être un coup de boost à la téléphonie 3G avec transmission de vidéos !