Exotech.biz

Web, Technology & life by Bastien Labelle

Aller au contenu | Aller au menu | Aller à la recherche

Keyword - Sécurité

Fil des billets Fil des commentaires

Le Cloud est-il fiable?

C'est un fait, du moins pour moi, j'ai tendance à décentraliser pas mal de stockage. SugarSync, Google Docs, Flickr, Delicious et bien d'autres services possèdent des données m'appartenant, et très souvent, j'ai tendance à ne laisser ces données que dans le cloud. J'ai une confiance presque absolue dans le Cloud, c'est la raison pour laquelle mes photos Flickr sont stockées uniquement sur le service, et nulle part ailleurs.

Clouds

Pourtant, une note d'Om Malik vient de m'interpeler. Ma.gnolia, un service de bookmark social vient de perdre ses données, et le CEO ne sait même pas si elles seront récupérables en totalité. Par chance, je n'utilise pas ce service, mais je dois avouer que c'est un peu effrayant de voir qu'en une nuit, un site web pas des moins connus peut perdre la totalité de ses données.

As I evaluate recovery options, I can't provide a certain timeline or prognosis as to to when or to what degree Ma.gnolia or your bookmarks will return; only that this process will take days, not hours.

Ce genre d'évènement peut arriver à tout moment, et surtout à n'importe qui. N'importe qui, oui, car cela concerne pas les sites webs mais aussi les disques durs de nos propres ordinateurs, internes ou externes.

Alors, après cet exemple, peut-on dire que le Cloud est fiable? La réponse est non. Car aucun système n'est fiable à 100%. Mais au fond, est-ce que le taux de défaillance d'un disque dur est plus élevé que le taux de défaillance d'un système décentralisé et répliqué? Pas si sûr. Pour moi, stocker des données dans le Cloud, sur divers services web, est beaucoup plus sûr que de les stocker sur un disque dur interne ou externe. Ce qui est arrivé à Magnolia peut arriver à d'autres. Mais c'est bien trop rare pour oser dire qu'il est plus sûr de stocker ses données chez soi.

Crédit photo: Hans Speijer

La polémique Twitterank, ou pourquoi OAuth va devenir indispensable.

Amusant, ce Twitterank, qui reprend le principe du PageRank de Google. Ici, l'idée est de calculer l'influence d'un membre de Twitter, par le biais d'un algorithme secret, tout comme son grand frère le PageRank (celui par lequel jurent tous les blogueurs pseudo-influents), puis de publier cette fameuse métrique, symbole de votre influence.

Cependant, Twitterank a été sujet à polémique, notamment suite à la découverte d'un tweet de Tantek Celik (Microformats) qui faisait croire que cette application n'était créée que pour faire du phishing et voler les mots de passe des utilisateurs de Twitter:

RT @brianoberkirch Twitterank is a vast conspiracy I created to steal all of ur passwords + shame Twitter into OAuthing. + make u look vain.

Bien évidemment, ceci est totalement faux, et le créateur de Twitterank a publié un "démenti". Mais le tweet de Brian Oberkirch a tout de même du sens. La sécurité devient de plus en plus primordiale, et un protocole comme OAuth devient de plus en plus indispensable au niveau des API.

Amitié et confidentialité sur le web social

Après avoir remarqué il y a quelques temps de celà la terminologie pour le moins originale des réseaux sociaux, je pense qu'il est bon de s'attacher à cette notion d'amitié liée aux réseaux sociaux. Vous aurez sans doute remarqué qu'il est possible de faire des listes sur Facebook, des sets sur Pownce, ou d'avoir des trusted friends sur BrightKite. Ces groupes, appelons-les comme ça, permettent de définir une politique de confidentialité au sein des données que vous publiez.

A moins que vous ne soyez comme Robert Scoble ou encore Loïc Le Meur et que vous ayiez une notion de l'amitié bien particulière et que tout le monde soit votre ami (je n'ai aucune objection à cela, mais disons que je n'ai pas la même vision des choses), on voit bien que ces fonctionnalités de confidentialité répondent à un besoin essentiel: le besoin d'intimité, le besoin d'avoir de la vie privée.

Au delà de ces besoins, j'observe deux choses:

  • Le web social permet de se connecter de plus en plus avec n'importe qui, n'importe où et n'importe quand.
  • Les données que nous manipulons sont de plus en plus personnelles, et donc de plus en plus sensibles, d'où la notion de listes d'accès ou de trusted friends.

Le virtuel se rapproche qu'on le veuille ou non, dangereusement, ou pas selon les points de vue, du réel. Nous manipulons des données qui sans en avoir l'air sont très sensible: sur Facebook, il est possible d'indiquer sa religion, son numéro de téléphone, son adresse, sur d'autres services sa géolocalisation exacte. Et ce n'est pas l'internaute lambda que je vise. Car non, l'internaute lambda, lui, a plutôt peur de laisser toutes ces données "sur l'internet". Je m'adresse donc plutôt à quelqu'un un peu plus early adopter. Faites attention à vos données.

Les vrais problèmes d'OpenID

Vous avez très certainement lu que Yahoo venait de mettre en place le standard OpenID pour tous ses utilisateurs. Pour ceux qui ne savent pas ce qu'est OpenID, il s'agit en fait d'une technologie ayant pour but de garder un seul couple login et mot de passe pour l'ensemble des sites que vous utilisez, permettant ainsi une authentification centralisée. Cette image trouvée sur Webilus résume assez bien la situation.

OpenID

J'ai pu remarquer que de nombreux blogs et sites tels que TechCrunch ou encore ZDNet se réjouissaient de l'adoption d'OpenID par Yahoo. Yahoo rejoint donc Orange, Plaxo, AOL ou encore Ziki a moindre échelle. Je salue l'initiative et avoue sans hésiter que c'est un grand pas pour OpenID. Ceci dit, il reste de nombreux problèmes.

D'abord, le chiffre est un gros mensonge. OpenID pourra revendiquer 370 millions d'utilisateurs quand Yahoo aura lancé son service OpenID le 30 janvier. ceci étant dit, il sera nécessaire d'activer l'option OpenID, tout comme chez Orange. Si vous n'avez pas activé OpenID pour votre compte ou si tout simplement vous en ignorez l'existence, vous pourrez donc vous en passer. En réalité, OpenID aura 370 millions d'utilisateurs potentiels. Etant donné qu'aucun ne communique réellement là-dessus en home page, je me demande quel est le pourcentage de gens qui justement ignorent qu'ils peuvent désormais s'authentifier sur différents sites en gardant les mêmes identifiants.

Toujours à propos de chiffres, Yahoo annonce qu'OpenID permet de se connecter à plus de 9000 sites. En se rendant sur OpenID Directory, on se rend compte qu'environ 450 sites seulement sont référencés, pour la majorité des sites au caractère très geeky, et ne touchant pas vraiment un public extrêmement large. Alors, oui, bien sûr, peut-être que l'adoption de Yahoo va sensibiliser les sites à utiliser OpenID, et servir de propulseur à son adoption, mais de là à annoncer 9000 sites utilisant OpenID, vous me permettrez de douter!

On pourrait aussi parler de la polémique sur la vie privée suscitée par OpenID et des bugs de ce dernier, mais ce n'est pas le but de cette note. OpenID est une idée formidable, une magnifique technologie qui permettrait de vraiment simplifier la vie de bien des gens, mais il y a selon moi un gros problème de communication autour d'OpenID, qui apparait trop souvent comme une technologie auxiliaire aux systèmes d'authentification "normaux". Je pense qu'il serait plus que bon que certains sites mettent en avant OpenID, le simple fait de proposer OpenID comme système d'authentification principal pourrait peut-être booster son adoption, même si je suis conscient que celà pourrait cependant rebuter pas mal de personnes.

En vrac: Données personnelles, Identité numérique, Widgets du FBI, etc.

De quoi lire en cette fin de weekend...

Un widget alerte enlèvement: qui s'y colle?

Alerte Enlèvement

Le plan alerte enlèvement a prouvé son efficacité

Dixit Rachida Dati, notre garde des Sceaux, sur le Fig.

Delphine part d'un constat: Pourquoi le plan "Alerte Enlèvement" se base-t-il uniquement sur des médias dits traditionnels, alors que ce plan pourrait aussi bénéficier du potentiel de diffusion exceptionnel qu'est celui d'Internet?

Ainsi, elle propose une idée fort intéressante, celle de créer un widget spécial alerte enlèvement.

Un widget "Alerte-Enlèvement" permettrait d'afficher immédiatement et automatiquement l'alerte dès qu'elle est donnée et de la supprimer dès que l'enfant est retrouvé. Vu le nombre de blogs qui existent, ce serait un relais énorme, instantané, permanent (contrairement aux diffusions espacées à la télé ou la radio) et qui comblerait le manque pour ceux qui n'ont pas accès à la télé ou à la radio. Bref, ce serait du tout bon.

Une initiative plutôt intéressante. Celà pourrait peut-être même faire partie du package par défaut de certains blogs (je pense par exemple à Dotclear, étant donné que le gros de sa communauté est en France). Ou encore, pour les francophones, un Widget Netvibes qui apparaitrait obligatoirement (bon, là j'y vais un peu fort quand même, ça va un peu à l'encontre de l'esprit du site et des visions de Tariq...). Et pourquoi pas un Widget sous Mac OS X, ou un Gadget sous Vista?

L'appel est lancé, Delphine a écrit une lettre au ministère de la justice.

L'idée à mon sens serait d'avoir une API fournie par le gouvernement et son site dédié à l'alerte enlèvement, que nos Widgets exploiteraient. Bien entendu, leur coopération n'est pas nécessaire, il est aussi possible de diffuser indépendamment du gouvernement des alertes enlèvements si l'on crée nous-même une API sur des serveurs indépendants, mais celà reste tout de même une petite porte ouverte aux déviances, c'est pour celà que je serais plus partisan de la participation de l'Etat dans cette opération.

Merci à Koz pour l'info!

Note: Le widget alerte enlèvement dispose d'un Wiki, suite à la demande de centralisation de Koz.

Le Wifi, Gmail, MySpace et Facebook sont tous vulnérables

C'est le titre (à quelque chose près) de l'article chez The Inquirer. Tout ce beau titre bien vendeur (qui j'espère fera augmenter mon PR) pour nous expliquer que Robert Graham, CEO de Errata Security a "surpris le public" (et ce n'est pas moi qui le dit, c'est bel et bien écrit) en s'emparant d'un cookie de session sur un hotspot Wifi ouvert. Moi je dis: Chapeau l'artiste!

Vous l'aurez bien compris, tout ceci est bien ironique. Ce qui me fait bien rire c'est le fait que cette news fasse la une de nombreux sites, qu'elle soit massivement digguée (1743 Diggs tout de même) alors que Robert Graham n'a seulement fait que se servir d'un bien pauvre Sniffer dans un système sans aucune sécurité. Alors autant l'an dernier Blue Pill était assez révolutionnaire en son genre, mais là on frise le ridicule!!!

Pour les malheureux qui surferaient sur ce genre de hotspot ouvert, la solution est simple: se connecter à gmail en HTTPS (même s'il reste encore une petite chance d'avoir des attaques de type man-in-the-middle au niveau proxy).

Note: Je viens de voir que Grouik de chez Mac4Ever était pas content non plus avec son coup de gueule "Les pirates découvrent l'informatique". J'adore sa conclusion: "Demain, à la Black Hat, nous verrons comment voler les données de votre voisin en branchant son disque dur sur votre Mac !"

Safari déjà mis à jour

Safari sous Windows et Mac OS X

C'est le gros buzz de ces derniers jours: Il y a ceux qui pensent, à l'image de Tristan Nitot (Mozilla Europe), que l'arrivée de Safari sur Windows est une aubaine pour les utilisateurs de navigateurs alternatifs, et ceux qui, comme Nonepse d'Alpha Geek qui pensent que Safari est une grosse... Non, je ne dirai pas le mot!

L'éditeur californien n'aura pas mis beaucoup de temps à réagir... Uniquement en ce qui concerne les problèmes liés à la sécurité sous Windows. Voici donc déjà une nouvelle version de Safari, la 3.0.1. Mais quid des problèmes concernant la compatibilité? Nous sommes donc encore nombreux à attendre des modifications de la part d'Apple de ce côté là. Mais a rapidité de cette mise à jour liée à la sécurité me laisse penser que chez Apple, ça doit bosser dur sur les problèmes de compatibilité qui ont mis la blogogeekosphère dans tous ses états!

Yoggie Pico: Solution de sécurité sur clé USB

Yoggie Pico - Solution de sécurité sur clé USB

La société Yoggie, partant du fait que les outils de sécurité sont la cause de nombreux ralentissements d'ordinateurs portables, vient de lancer une solution de sécurité matérielle, qui tient dans une clé USB! Le processeur est un Intel PXA270 520 MHz, avec 128 Mo de RAM, et le tout tourne sur un OS Linux. De nombreuses applications sont livrées avec:

  • Anti Virus
  • Anti Spam
  • Anti Phishing
  • Détection d'intrusions
  • Prévention d'intrusions
  • Firewall (Stateful Inspection)
  • Filtrage Web
  • Contrôle parental
  • VPN
  • Adaptive Security Policy™ (Définition de politiques de sécurité adaptives)
  • Multi-Layer Security Agent™ (Agent de sécurité multicouche)
  • Layer-8 Security Engine (Moteur de sécurité)

En réalité, un driver de très bas niveau reroute les paquets réseau avant leur entrée dans la pile TCP/IP, puis les analyse. Une fois analysé, le contenu sécurisé est renvoyé dans le niveau haut de la pile TCP/IP. Si vous souhaitez en savoir plus sur les couches logicielles et matérielles du Pico, n'hésitez pas à aller voir la page "How it works" du site officiel

Tout ceci paraît relativement intéressant. Le prix: 179$ (Yoggie Pico) pour les particuliers, et 199$ (Yoggie Gatekeeper) pour les entreprises. De plus, les mises à jour seront payantes dès la 2è année, pour la somme de 30$ par an.

Pour plus d'informations, vous pouvez télécharger les Data Sheets du Pico et du GateKeeper