La Poste a apparemment décidé de faire l'exact contraire de la bonne pratique : supprimer la fonctionnalité permettant l'authentification en deux étapes via une application OTP (comme Google Authenticator). La raison :
La fonctionnalité de double authentification par l’application mobile […] pouvait générer des blocages (notamment lors d’un changement de téléphone).
Elle recommande désormais l'utilisation de l'authentification en deux étapes par l'envoi d'un code par SMS, comme on en voit encore partout et alors même que cette fonctionnalité est moins sécurisée, puisque non chiffré (là où l'OTP avait l'avantage d'être calculé par l'application, et donc ne nécessitait aucune communication).
Bon. À la personne à La Poste qui a pondu cette décision : sachez que l'argument du changement de téléphone peut tout aussi bien s'appliquer à l'authentification par SMS, dans la mesure où (fun fact) on peut aussi changer de numéro de mobile. Si si !
Ah et autre fun fact, la problématique soulevée, en fait, elle est déjà connue, et une solution assez élégante a été proposée : générer des clés de secours à usage unique.
Bref, plutôt que de supprimer le support de fonctionnalités de sécurité qui ont fait leurs preuves (d'autant plus qu'on parle d'un coffre-fort numérique…), et si vous faisiez de la pédagogie auprès de vos utilisateurs, histoire de leur donner un peu de bonne pratique et d'hygiène numérique ?
Mise à jour 19/05/2022 : le service Digiposte a répondu (très) succinctement via Twitter qu'un nouveau dispositif d'authentification en deux étapes sera proposé, sans donner plus de détail sur sa nature et sur sa date de disponibilité. Je reste tout de même assez étonné de la manœuvre qui consiste à affaiblir la sécurité d'une application avant même de proposer une meilleure solution…
NVIDIA semble d'être ENFIN décidé à libérer le code de ses pilotes sous licence MIT !
Il reste encore pas mal de boulot (le processus a à peine commencé), mais je ne pouvais pas m'empêcher de partager cette heureuse nouvelle en partageant cette très belle issue #1 !
Cette avancée devrait permettre à l'avenir une intégration bien plus propre et, surtout, plus poussée des cartes graphiques de NVIDIA sous GNU/Linux, sujet de discorde depuis bien longtemps.
— C'est qui Deuchnord ?
— C'est moi.Un début de discussion tout à fait normal chez Les-Tilleuls.coop
Hier soir, j'indiquais brièvement et en 280 caractères que ce site avait subi une indisponibilité dans certaines situations. Pour être plus précis, cela arrivait notamment quand on tentait de venir sur tech.deuchnord.fr avec Safari et qu'on utilisait le réseau mobile d'Orange.
Autant vous dire que quand j'ai découvert ça, je ne comprenais pas tout. C'est avec l'aide d'un collègue que j'ai fini par trouver le coupable : la configuration du serveur Nginx !
Quand on installe Nginx pour la première fois sur son serveur, il crée un fichier par défaut qui ressemble à ceci :
server {
# ...
listen 80;
# ...
}Tel quel, on pourrait comprendre qu'une fois chargé, Nginx écoutera sur le port 80 (port standard dédié au protocole HTTP à la base du Web), et puis c'est marre. Spoiler : non, c'est pas le cas.
Ou pour être plus précis, Nginx ouvre bien le port 80 pour écouter ce qu'il se passe dessus, mais il le fait sur l'adresse IPv4 uniquement.
Si votre serveur possède aussi une adresse IPv6, vous devrez aussi indiquer à Nginx d'ouvrir le port sur ce protocole, autrement, il n'écoutera pas dessus !
Pour faire cela, rien de plus simple, il suffit d'éditer votre fichier et d'ajouter la directive suivante dans la section server :
listen [::]:80;Notez bien les deux signes : entre crochets, suivis d'un nouveau signe :.
Une fois cette modification faite, rechargez la configuration (service nginx reload sous Debian), et votre site sera désormais bien disponible sur les adresses IPv6 !
[Les trois géants de la tech] vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.
Je trouve cette nouvelle très inquiétante. N'ayant jamais fait confiance à la biométrie pour l'authentification (trop intrusif et moins sûr), j'espérais ne jamais voir les mots de passe disparaître pour de bon.
Sans compter que ça va laisser sur le carreau de nombreux utilisateurs qui ne possèdent pas l'équipement pour cela, et vont donc devoir se rabattre sur le code PIN (bien moins sécurisé qu'un mot de passe).
Où l'on apprend soudain que l'on ne peut pas compiler un programme écrit dans un langage A avec un compilateur conçu pour un langage B. 🤪
Le dépôt GitHub du projet httpie, un des projets les plus suivis de la plateforme GitHub, a récemment été passé en privé par son mainteneur à la suite d'une série d'erreurs de manipulation, ce qui a provoqué la perte de la totalité de ses 54 000 étoiles et de ses plus de mille suivis.
Le cas de ce projet est assez intéressant : il met en évidence un certain nombre d'incohérences sur la plateforme et de messages d'alerte peu clairs, qui mis bout à bout dégradent l'expérience utilisateur, et qui finissent par amener à de mauvaises manipulation.
Mais ce qui m'interpelle surtout, c'est le refus de GitHub de restaurer les étoiles et les suivis du dépôt, dont ils possèdent pourtant une sauvegarde qu'ils ont déjà utilisée par le passé pour un de leurs propres projets qui avait subi exactement le même sort. Je peux comprendre qu'ils refusent ce genre de chose sur des projets ayant peu d'étoiles, mais ce n'est pas vraiment le cas ici…
Il est très facile de créer de jolies failles de sécurité, et c'est souvent le résultat d'un oubli ou d'une paresse.
Ici un cas pratique avec la Caisse d'Épargne qui avait oublié de supprimer un sous-domaine qui pointait à une époque vers un serveur légitime, depuis supprimé et dont l'adresse IP a été récupéré par un particulier… qui aurait pu effectuer des attaques assez violentes auprès des clients de la banque (s'il en avait eu conscience et l'avait voulu).
Un très bel article sur le blog technique de Netflix sur leur méthode pour s'assurer que la localisation ne cassent pas l'interface de leur application.
Ce blog est d'ailleurs une mine d'or pour la veille technique, dans la mesure où ils y partagent pas mal de leurs pratiques. Très intéressant, surtout au regard de la complexité technique d'une plateforme VOD.
Je passe exceptionnellement par Archive.org pour partager ceci, étant donné que le ticket a été fortement altéré par le mainteneur de la librairie.
Apparemment, la librairie JavaScript node-ipc (utilisée par plus de 300 paquets, elles-même certainement en dépendance de beaucoup d'autres, vu que la plupart sont des librairies) a ajouté récemment un morceau de code offusqué qui s'active dans le cas où il est exécuté depuis une adresse IP russe ou biélorusse, et écrase tous les fichiers (au moins de l'application, peut-être du système entier) avec un message de protestation contre la guerre en Ukraine.
Faites donc très attention si cette librairie se trouve dans vos dépendances (directes ou non), car elle pourrait provoquer des dommages irréversibles pour vos utilisateurs.
Édit : un article ici qui explique la situation de façon un peu plus claire.
Microsoft continue de pourrir son OS avec des publicités affichées directement dans son interface. Après les notifications invitant à utiliser Edge dès qu'on ouvre Firefox ou Chrome et le message gigantesque appelant à sauvegarder dans OneDrive quand on ouvre son dossier personnel, voici donc la petite barre dans le gestionnaire de fichiers invitant à utiliser divers logiciels de Microsoft. L'histoire ne nous dit pas si le message publicitaire s'affichera en fonction des types de fichiers rencontrés pendant la navigation. :)))))
Vous vous souvenez de l'époque où Windows était un système d'exploitation et non un panneau publicitaire à 150€ (pour l'édition Famille) ?
Je découvre cette petite anecdote sympathique sur une voiture qui refusait de démarrer lorsque vous achetiez de la glace à la vanille.
Je l'aime beaucoup, car elle rappelle l'importance de prendre un peu de distance face à une situation sans aucune logique au premier abord.
Merci à Sébastien Sauvage pour la découverte !
Edit : je n'avais pas fait attention au lien vers l'article de Snopes en bas de la page, qui indique que cette anecdote est une légende urbaine et n'a donc jamais eu lieu.
Bien que fausse, je l'aime bien quand même pour le fond :)
Vous vous souvenez quand Microsoft a sauté Windows 9 en disant que Windows 10 était « le renouveau du système d'exploitation », et que quelques mois plus tard on s'est rendus compte que la vraie raison était que ça aurait cassé plein d'applis qui recherchaient la chaîne Windows 9 dans le nom de l'OS pour détecter Windows 95 et 98 ?
Eh bah surprise (non) : Firefox et Chrome vont bientôt arriver à la version 100.0… et ça va casser des sites qui vont se croire sur Firefox/Chrome 10.0 ! 🙃
L'authentification en deux étapes est devenue un incontournable aujourd'hui, et c'est tant mieux. Mais cela crée de nouvelles problématiques en terme d'UX, qu'il est bon de garder en tête.
Il se trouve qu'à l'aide d'une simple balise HTML <input />, sans la moindre ligne de JavaScript, il est possible de rendre cette étape (pas forcément plaisante pour l'utilisateur, bien que nécessaire) un peu moins désagréable, en particulier sur les appareils mobiles.
Je découvre ce site de la Fondation Mozilla, une sorte de catalogue de la confidentialité des objets connectés. Clairement un indispensable pour bien choisir un produit sans sacrifier sa vie privée !
Et ce genre de dark pattern sur le consentement du profilage continuera de pulluler tant que rien ne sera fait par la CNIL pour les sanctionner.
Les noms de domaine en .xyz, popularisés par Google lors de la création de leur holding Alphabet en 2015, semblent avoir acquis une réputation suffisamment mauvaise pour que le simple fait d'envoyer un e-mail à partir d'un tel nom de domaine suffit à le voir partir immédiatement en spam. Pire, il semblerait que le fait d'envoyer un lien avec un nom de domaine en .xyz par SMS provoque un échec d'envoi sans notification de l'émetteur. Dit autrement, le destinataire de votre SMS a de bonnes chances de ne jamais le recevoir.
Cette situation me fait beaucoup penser aux domaines gratuits en .tk qui ont reçu une mauvaise réputation après avoir été massivement utilisés pour réaliser des campagnes de phishing…
Il y a à peu près deux mois, j'ai publié un coup de gueule concernant l'annonce de Windows 11, et notamment le fait qu'il rendait obsolètes de nombreux ordinateurs. Après quelques recherches récentes, il semble que j'aie parlé un peu vite et que le TPM 2.0 (qui est celui imposé par la prochaine version de Windows) permet de se passer de la fameuse puce. En effet, cette version permet aux constructeurs d'inclure ce standard dans d'autres éléments de configuration matérielle de l'ordinateur, et ils ne s'en privent pas, puisque AMD et Intel fournissent, chacun de leur côté, leur propre implémentation, directement dans leurs processeurs. Il suffit alors de l'activer dans sa configuration UEFI.
Ainsi, de mon côté, après activation, l'outil de Microsoft m'indique enfin le précieux message.
Reste à savoir pourquoi cette fonctionnalité n'est pas activée de base...
J’ai remarqué récemment que Carglass s’est mis à insister un poil lourdement dans ses publicités à la télé et à la radio pour que ses prospects tapent bien le nom de domaine carglass.fr plutôt que de taper simplement le nom de l’enseigne sur leur moteur de recherche préféré.
J’ai pensé tout d’abord à un nom de domaine qui aurait été squatté par des personnes malintentionnées (et j’ai remarqué au passage que carglass.com mène au site de la maison mère, ce qui est déjà en soi pas hyper propre en terme d’UX), mais en fait la raison est un peu plus insidieuse que ça…
C'est une info que j'avais complètement loupée, mais apparemment Audacity (un logiciel de montage audio très populaire) a été récemment racheté par Muse Group (la société derrière MuseScore, un logiciel de composition musicale), qui a apparemment publié une nouvelle politique de confidentialité très inquiétante stipulant que le logiciel peut désormais collecter des informations très sensibles comme l'adresse IP ou des « données pouvant servir pour des procédures légales, des litiges ou des requêtes d'autorités » (???).
De plus, la nouvelle politique indique clairement que les données personnelles collectées peuvent être partagées auprès de publicitaires ou encore d'« acheteurs potentiels ». Dit autrement, l'acquéreur d'Audacity se donne littéralement le droit de revendre vos données personnelles, sans qu'il soit totalement clair desquelles il s'agit.
Le document en profite pour décourager fortement les personnes en dessous de l'âge de 13 ans d'utiliser Audacity, ce qui, en plus d'être très étrange pour un logiciel de ce type, est totalement contraire à la licence GNU GPL qui stipule que le logiciel doit être disponible à toutes et à tous sans aucune restriction.
La communauté a évidemment immédiatement levé les boucliers, et un fork est apparu rapidement et est à la recherche de contributeur⋅rice⋅s pour reprendre le projet en main (il y a notamment des discussions sur le nom du fork). En attendant qu'il se pérennise, dans la mesure du possible, il est recommandé de désinstaller totalement Audacity et de se tourner vers une des alternatives existante.
