Archives de catégorie : Geek

L’authentification par réseaux sociaux, une méthode simple mais pas sans inconvénients…

Dans la série « j’essaye de préserver les pauvres internautes du malin », j’ai déjà écrit deux articles : Evitez d’offrir vos informations perso sur le Net (phishing) ou comment détecter un petit rigolo qui veut vos codes d’accès, et J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez) ou pourquoi un anti-virus ne vaudra jamais un esprit éclairé.

Aujourd’hui, on va causer de l’authentification via les réseaux sociaux. Ne levez pas les yeux au ciel, c’est simple à piger et vous allez comprendre que s’identifier via votre compte Facebook, Twitter ou Google Plus sur une application tierce peut se révéler nuisible.

S’authentifier, une nécessité

Certains sites ont besoin que vous créiez un compte chez eux. C’est généralement légitime car un compte perso, ça permet de garantir votre identité sur un site marchand, de conserver vos préférences, d’envoyer les dernières bonnes affaires, etc. C’est pratique pour vous, c’est pratique pour eux.

Cependant, avec le succès des réseaux sociaux, Facebook, Twitter et consorts se sont dit que proposer d’utiliser leurs systèmes d’authentification pourraient être une bonne idée. Pas faux, utiliser un compte FB pour accéder à un site permet de :

  • n’avoir à retenir que l’identifiant du réseau social pour plusieurs sites (applications),
  • ne pas avoir à se connecter, la durée d’une session de réseau social étant très longue.
  • se connecter en une seconde.

Extrêmement pratique, non ? Oui, mais pas que, ça peut aussi devenir… embarrassant.

Les débordements

Prenons l’exemple d’un grand site streaming musical que nous appellerons Onzer. Si vous prenez la peine de créer un compte manuellement, c’est un poil plus fastidieux mais le site ne sait de vous que ce que vous lui donnerez (une adresse mail et un mot de passe au minimum). Si en revanche, vous vous authentifiez via votre compte Facebook, l’application va réclamer des droits que vous vous empresserez d’accepter car, rappelez-vous le plus grand mensonge du siècle :

J’ai lu et j’accepte les conditions générales de ce site.

Avouez, vous n’avez rien lu, vous servirez juste vos données sur un plateau.

Connexion via facebook

Dans les deux cas, vous pouvez commencer à jouir de votre musique. La nuance, c’est que lorsque vous vous êtes authentifié avec FB, vous avez donné le droit à Onzer d’accéder à vos informations Facebook. Et qu’est-ce que vous stockez sur FB ? Hein ? C’est bien ça, votre vie. Si l’application est un peu taquine, elle peut :

  • récupérer l’ensemble de vos amis,
  • leur envoyer des messages non sollicités,
  • publier vos écoutes sans votre consentement explicite sur votre mur,
  • collecter vos données personnelles,
  • regarder votre vie partir en cendres,
  • etc.

C’est de cela qu’il faut se méfier. FB a beau proposer des règles fines de gestion des droits, vous n’en avez généralement pas connaissance et ne les utiliserez pas. Évitez donc de céder aux sirènes de la facilité et prenez un peu de temps pour créer un compte spécialement pour chaque application.

Limiter les frais

Dés lors que vous avez un abonnement Facebook, vous êtes constamment authentifié et pisté sur les sites qui utilisent les boutons « J’aime ». C’est déjà amplement suffisant sans qu’en plus vous offriez nos données personnelles à des applications, tout en ne sachant rien de ce qu’ils vont en faire. Vous pouvez faire confiance à FB, mais allez savoir ce que Onzer fait de vos données. Fut un temps, ils publiaient systématiquement vos morceaux écoutés sur votre mur Facebook sans vous en informer, et perso je n’ai pas trop envie que tout le monde sache que j’écoute du Jul en cachette…

Testez la réalité virtuelle pour 2€

Google Cardboard est un projet de Google qui permet à tout possesseur de smartphone d’expérimenter la réalité virtuelle. J’ai testé le machin et bien que ce soit un « pauvre truc en carton », c’est extrêmement bien pensé. Ce carton est équipé de deux lentilles, d’un aimant faisant office de bouton (ingénieux), et d’un support pour votre téléphone. Le tout donne un casque de réalité virtuel d’une qualité relative mais qui vous permet d’expérimenter l’immersion dans des univers en relief, et surtout permet à Google de démocratiser la technologie pour le prix d’une botte de radis (pour les radis malins).

C’est toujours difficile de décrire la VR, alors si vous êtes curieux, faites l’expérience vous-même. Vous pouvez acheter la Cardboard chez Google (à partir de 14,99€) ou par exemple chez Ali Express (2,70€).

cardboard

J’ai testé l’oculus rift il y a deux ans, et c’était rigolo. J’avais juste regretté la définition trop faible de l’écran. Aujourd’hui, j’ai testé le bouzin avec mon téléphone qui a l’avantage d’avoir une définition de 2560 x 1440 (1920 × 1080 pour l’Oculus) et le rendu est très très acceptable. Bien sûr ne prenez pas ce jouet pour ce qu’il n’est pas : un vrai casque de VR que vous utiliserez tous les jours. Il est en carton, donc peu durable et peu confortable. C’est simplement une petite prouesse qui vous plongera dans des univers virtuels pour pas cher et ça, ça n’a pas de prix. 😉

Une fois votre Cardboard reçu, téléchargez l’application éponyme sur le store (allez ici si vous avez un iPhone car oui, même vous, vous avez le droit d’être moderne). Et nettoyez bien vos lentilles.

Vous aurez aussi besoin d’un petit coup de main pour le montage :

++, vous me donnerez votre ressenti si vous essayez.

 

 

Le vendredi, c’est short movie : Apartheid mécanique

L’informatique et l’électronique font des progrès remarquables. Puissance et miniaturisation permettront bientôt de matérialiser certains fantasmes de science-fiction comme l’IA, les membres artificiels ou la réalité virtuelle. En parallèle, naissent de nouvelles interrogations philosophiques et éthiques : comment intégrer tout ça à notre monde, comment allons-nous accueillir ces progrès ? Ces questions prennent un angle bien plus concret lorsque Square Enix, éditeur de jeu vidéo, se les pose avec le nouvel Opus de Deus Ex dans lequel les humains « augmentés » sont exclus de la société à la suite d’attentats dont ils ont été les pantins.

Voici une vidéo qui aurait eu un goût de pure SF il y a 10 ans, mais qui aujourd’hui vous fera peut-être vous interroger sur notre avenir. 🙂

Le court métrage de Deus Ex : Mankind Divided :

Et pour ceux qui sont intéressés par le jeu, une petite bande annonce en VO sous-titrée :

Ca vous fera peut-être revoir votre copie de philo : Le progrès scientifique et technique est-il toujours positif ? 😉

Merci à Rak pour la découverte. 😉

Le R6 du mardi soir en vidéo

Un article pour ceux qui aiment Rainbow Six Siege, les vidéos amateur et qui nous aiment nous. On s’amuse à faire des petits montages sans prétention de nos parties (comprenez bien : nos parties de R6, il n’y a rien de porno dans tout ça et on n’a pas les moyens d’investir dans des microscopes à balayage pour certains).

Ci-dessous, la playlist de notre chaîne YouTube. Les vidéos vont s’enchaîner et vous pouvez passer à la suivante si l’envie saugrenue vous prend.

Merci à Sebino, Jefflec, Bobo, Lovinetta, et les occasionnels pour les marades du mardi soir. Je continuerai à enrichir la playlist et si vous kiffez, abonnez-vous directement à la chaîne. 🙂

 

Le vendredi, c’est Short Movie : Code 8

Hello tout le monde. Ça fait longtemps que je ne vous avais pas mis un petit film du vendredi alors je vais me rattraper en vous faisant découvrir Code 8. Il s’agit d’un court-métrage futuriste mettant en scène un jeune homme doté de pouvoir (façon X-Men) devant faire face à une police militarisée.

Ce qui est d’autant plus enthousiasmant, c’est que ce short est un PoC qui débouchera sur un véritable film. C’est un fait acquis puisque la campagne de financement participatif a largement rempli son objectif. Et vu le résultat actuel, on est certains qu’ils ont les moyens de faire quelque chose de bon, de très bon. 🙂

La vidéo n’existe malheureusement pas en français, il faudra donc que vous mettiez les sous-titres manuellement.

Changer un disque sur DS210J de Synology (ou « oups, j’ai perdu mon DSM »)

En 2010 j’ai fait l’acquisition d’un petit NAS Synology DS 210j. Evidemment, tout satisfait de mon achat que j’étais, je vous en ai fait l’apologie mais par fainéantise, je n’ai pas testé le remplacement de disque et sa reconstruction en RAID 1. Et bien après 6 ans d’utilisation, alors qu’un premier disque me lâche (j’ai 2 disques WD Caviar Green de 1 To en sata), je peux vous faire un petit retour d’expérience.

Tout d’abord merci à Jeff, mon généreux donateur (je suis contractuellement obligé de le remercier publiquement) de m’avoir filé son Caviar Green perso. Pour mon montage, ça m’a permis de disposer d’un disque de remplacement tout à fait similaire (et non-formaté, je publierai donc ses photos de nus plus tard dans un sujet sur l’atrophie des corps caverneux). 🙂

Alors pour commencer, sachez qu’il semble que l’OS du NAS (le fameux DSM) soit écrit sur les disques. Du coup, il est possible que lorsqu’un disque foire, vous perdiez également le DSM et sa configuration. C’est le point pas glop, mais ça ne doit pas être la règle car le manuel ne mentionne pas cette éventualité. Avec Jeff on se demandait si ce n’était pas parce que le disque qu’il m’a filé n’était pas formaté (si vous testez avec un disque formaté, je suis intéressé par votre expérience). Je n’ai pas tenté de le formater car la méthode qui suit me convenait (un reset de l’OS). Elle m’a permis de remettre en route le NAS avec un OS vierge (une bonne chose car ça faisait cher le presse-papier).

Allez, je vous propose la petite méthode de restauration du disque avec réinstallation du DSM au passage (je sais que certains s’arrachaient les cheveux sur le Net avec un problème similaire) : Continuer la lecture de Changer un disque sur DS210J de Synology (ou « oups, j’ai perdu mon DSM »)

Evitez d’offrir vos informations perso sur le Net (phishing).

Après le précédent article sur la sécurité sur le Net, je me suis dit que ce serait bien de mettre des exemples concrets de piratage afin que vous puissiez les voir venir. Je vais donc faire un bref retour sur le phishing qui est sans doute le mode de piratage le plus efficace pour avoir accès à votre pognon. Car n’oublions pas, le maillon le plus faible d’une chaîne de sécurité informatique, c’est l’Homme, c’est vous.

Le poison pas frais :

Contraction de fishing (pèche) et phreaking (piratage téléphonique), le phishing est une tentative de vous dérober des informations en se faisant passer pour une source de confiance. On l’appelle aussi hameçonnage à l’académie française.

Prenons l’exemple de la situation la plus courante : un coquin tente de se faire passer pour votre banque et vous incite à lui confier vos identifiants de compte sans que vous n’y preniez garde. Pour cela, il vous envoie simplement un mail bien présenté, formaté comme le ferait l’organisme qu’il copie. Ce dernier contient un lien vers un faux site web qu’il aura construit de ses mains (généralement, il ne copie que la page d’accueil). Là vous saisissez vos identifiants et il est trop tard, vous êtes dans sa toile. Au mieux, vous réalisez ce que vous avez fait et vous appelez votre banque, au pire, vous constaterez quelques virements inopportuns et il va falloir justifier à madame cet achat exorbitant sur grostetons.com.

C’est une méthode courante et les mails que l’on reçoit sont de plus en plus crédibles, une bonne raison pour apprendre à les détecter. Allez hop, cas pratiques ! Et râlez pas, y’en a pour deux minutes.

Dans les exemples ci-dessous, un canaillou se fait passer pour le Crédit Agricole.

  • Première puce à l’oreille : je ne suis pas au Crédit Agricole. Mais admettons une minute que j’y sois : voici des mails bien légitimes et qui semblent parfaitement innocents : il faut juste aller vérifier un truc sur mon compte (un mot de passe, une info, un message…).
  • Deuxième puce : les liens.
    • Dans le premier exemple, le contenu du mail est une image. Si je la survole, je vois bien que le domaine (lire le premier article pour comprendre comment vérifier les domaines) n’a rien à voir avec celui de la BNP (thembears.com).
    • Idem dans le deuxième exemple dont le lien pointe vers http://www.mby.be/ (lien invalide depuis).

Si vous avez ne serait-ce qu’un doute (tout le temps ?), n’utilisez pas les liens des mails et rendez-vous directement sur votre site. Si on vous a indiqué qu’un message vous y attend, vous l’y verrez.

Exemple n°1 :

Lorsque je survole l’image, le lien apparaît. Au pire je l’aurais vu après avoir cliqué dessus dans la barre d’adresse de mon navigateur et avant de saisir mon identifiant.

Exemple n°2 :

Ici, il s’agit d’un texte. Lorsque vous survolez le lien, son adresse s’affiche en bas à gauche de votre navigateur. Allez-y, vérifiez que le lien pointe sur un nom de domaine chelou. 🙂

Bonjour,

Un nouveau Message est disponible sur votre messagerie Crédit agricole  .

Pour le consulter, Veuiller Cliquez sur le lien ce-dessous:

Accèdez à voslcomptes

Nous vous remercions de votre confiance.

Crédit agricole: Banque et Assurances

 

Ce courriel vous a été envoyé par un système automatique d’émission de messages.
L’adresse d’émission n’est pas une adresse de courriel classique.
Si vous écrivez à cette adresse, votre message ne sera pas pris en compte

Déjà, les « Veuiller Cliquez » et « voslcomptes » sentaient le pâté…

Petit résumé des bonnes pratiques :

  • Vérifier les adresses des liens dans les mails en les survolant.
  • Dans le doute, ne pas cliquer sur ces liens.
  • Ne pas paniquer, joignez votre banque par téléphone en cas de doute. Car bien sûr, ces mails peuvent être assez pressants : « vite, t’es à découvert, vient régulariser !!! ».
  • Signalez le à la banque par mail (dans le premier c’était par Twitter).

Des escroqueries par mail mais aussi sur le web :

Ces méthodes sont aussi utilisées sur le web via des publicités mensongères qui vont vous inciter à installer des applications. Par exemple :

Attention, un virus a été détecté sur votre ordinateur, téléchargez l’application « Tueur de virus 360 » pour l’éliminer. Si vous ne le faites pas, toutes vos données personnelles s’effaceront et la tête de votre premier né explosera comme du popcorn.

Alors, sachez que : que vous soyez sur téléphone ou PC, aucun site web n’a accès au contenu de votre machine. Il ne peut donc pas le scanner et vous afficher d’information sur l’état de santé du PC. D’une manière générale, retenez que si on vous propose d’installer un logiciel que vous n’avez pas demandé, il y a anguille sous roche (voire baleine sous cailloux comme aurait dit un collègue).

Crédit illustration : betacontinua

J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez)

Lorsque l’on bosse dans l’informatique, on nous demande fatalement un paquet de fois quel est le meilleur antivirus pour surfer en toute sécurité. Mais ce que l’on nous demande encore plus souvent, c’est de déverminer le PC qui s’est éteint dans un râle d’agonie après avoir affiché un pénis en plein écran, traumatisant au passage Jean-Rudy qui jouait tranquillement à LoL

Des solutions pour se préserver

Ici, vous auriez pu vous éviter de coûteuses séances de rééducation de votre rejeton en étant pro-actifs. Vous aviez en effet au moins deux choix :

  • Installer un bon antivirus bien gras qui cumule les fonctions de firewall, détecteur de malware, sauvegarde, anonymiseur, désenvoûtement, chiffrement des données, anti-spam, alarme incendie, etc. Ce dernier vous rappelant chaque année de cracher au bassinet, généralement après une période d’essai gratuite dont vous n’aviez même pas connaissance.
    Vous serez ravis d’apprendre que ce type de logiciel est généralement pré-installé sur toute nouvelle machine de marque. L’effet attendu par l’éditeur est que, pris de panique à la fin de l’évaluation, vous préférerez payer plutôt que de chercher une alternative.
  • Installer un antivirus gratos light et recourir à « ma » méthode qui est bien plus efficace que Kaspersky, Norton, McAfee et consort.

Là vous me voyez arriver comme un arracheur de dent avec des gros sabots. Mais non, je ne vais pas vous vendre un élixir magique hors de prix. Je vais simplement vous parler de bon sens…

Continuer la lecture de J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez)