3 changed files with 1 additions and 207 deletions
--- a/content/posts/005-bonnetEnfant.md
+++ b/content/posts/005-bonnetEnfant.md
@ -1,10 +1,9 @@
 ---
 date: 2020-01-04T15:40:32+01:00
 title: "Bonnet enfant entrelacé"
-description: "Voici un petit tutoriel pour un bonnet entrelacé, en taille enfant."
+description: ""
 tags: ["Tricot", "DIY", "Bonnet"]
 categories: ["Tricot"]
 images: ["/images/005-BonnetEnfant04.jpg"]
 series: []
 ---
@ -21,8 +20,6 @@ J'utilise une aiguille plus grosse pour avoir un maximum d'élasticité,
 l'entrelacé faisant un point assez large par la suite, la taille n'est
 pas trop importante, si vous avez du 5&#8239;mm ou du 6&#8239;mm, cela fera
 très bien l'affaire.
 Une fois les mailles montées, je les passes sur mes aiguilles doubles
 pour pouvoir tricoter de manière circulaire.
 La première partie consiste à faire une ligne de triangles, je documenterai
 tout ça dans un billet spécial sur l'entrelacé.
--- a/content/posts/007-MotsDePasse_Migros.md
+++ b/content/posts/007-MotsDePasse_Migros.md
@ -1,203 +0,0 @@
 ---
 draft: false
 date: 2020-01-22T07:30:55+01:00
 title: "École-Club Migros et mots de passes"
 description: "Vous avez un compte sur la plateforme de l'École-Club Migros?
 Alors la sécurité de votre mot de passe est compromise."
 images: ["images/007-ECM_lock.png"]
 tags: ["Informatique", "Sécurité", "Mots de passes"]
 categories: ["Informatique"]
 externalLink: ""
 series: []
 ---
 # Le stockage des mots de passes sur internet
 Pour stocker les mots de passes, on utilise en général une
 base de données[^bdd],
 mais il existe de multitudes de manières de stocker un mot de passe
 sur une plateforme web, certaines bonnes, d'autres désastreuses.
 ## Le stockage en clair
 La solution la plus simple est de stocker les mots de passes
 comme n'importe quel autre donnée, en général en associant
 un mot de passe à un nom d'utilisateur.
 | Username | Password |
 |---|---|
 | Alice | monsuperpassword |
 Si un site vous envoie votre mot de passe par e-mail,
 il y a de fortes chances qu'il utilise cette méthode de stockage.
 Le problème de cette méthode est que n'importe qui ayant accès
 à la base de donnée (un technicien, le type qui passait à la cafétéria
 pendant que l'ordinateur du technicien était ouvert, ...)
 a donc accès à tous les mots de passes des utilisateurs.
 ## Chiffrer les mots de passes
 Une solution pour éviter d'avoir les mots de passes écrits en clair
 dans une base de donnée est de les chiffrer.
 Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer
 à notre mot de passe,
 par exemple nous pourrions remplacer chaque lettre par sa position dans
 l'alphabet et séparer par un point[^algo1].
 | Username | Password |
 |---|---|
 | Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 |
 Cette solution peut sembler résoudre un problème de sécurité,
 mais en fait toutes les personnes ayant connaissance de l'algorithme
 ont accès aux mots de passes.
 On peut éliminer le type qui passait à la cafétéria,
 si l'algorithme choisi n'est pas trop mauvais,
 mais tous les techniciens ont toujours les pleins pouvoirs.
 ## Hacher le mot de passe
 Bien évidemment, nous n'utiliserons pas d'outils tranchants ici.  
 Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible.
 Il est impossible de retrouver le mot de passe en connaissant
 sa valeur hachée.
 Une fonction de hachage simple pourrait être d'additionner la position
 de tous les caractères du mot de passe&#8239;:  
 13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236.
 | Username | Password |
 |---|---|
 | Alice | 236 |
 Lorsque l'utilisateur va entrer son mot de passe,
 le système va le hacher et le comparer à la valeur enregistrée dans la
 base de donnée.
 Si les deux valeurs correspondent, alors le système va autoriser l'accès
 à l'utilisateur, sinon il rejettera la tentative de connexion.
 Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup
 de mots de passes qui pourraient donner la même valeur,
 on parle de collisions.
 Nous utilisons donc des meilleures fonctions en réalité,
 mais le fonctionnement est identique.
 Avec cette solution, le technicien va pouvoir vérifier que le mot de passe
 entré correspond bien au mot de passe enregistré en base, mais sans
 jamais connaître le mot de passe[^secu].
 C'est la bonne manière de faire.
 Évidemment c'est un poil plus compliqué en réalité mais le but
 de ce petit billet n'est pas d'apprendre à stocker des mots de passes,
 pour cela il y a suffisamment de ressources disponibles sur internet.
 Je voulais juste faire un petit point sur les bonnes méthodes utilisées
 par vos sites préférés.
 # Et l'École-Club Migros dans tout ça
 Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible
 réponse de la structure je me vois obligé d'en parler quelque part, car
 j'estime que c'est très grave et que tous les clients de leur plateforme
 sont exposés à une **énorme faille de sécurité**.
 ## Le contexte
 Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros.
 Avant le début de la formation, tous les participant·e·s ont reçu un
 mail nous confirmant l'accès à la plateforme et en nous rappelant nos
 accès, avec mon mot de passe écrit en clair.
 Comme vous venez de lire les différentes manières de stocker un mot de passe,
 vous savez donc que la plateforme ne stocke pas les mots de passes
 hachés, mais soit en clair soit chiffrés, ce qui est problématique dans
 les deux cas.
 ## Le risque
 Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà
 suffisamment grave, énormément de personnes utilisent le même
 mot de passe sur plusieurs (toutes) autres plateformes.
 Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme
 de l'École-Club Migros, ce mot de passe est compromis.
 Qu'est-ce que cela veut dire?  
 Premièrement, pour peu que votre nom d'utilisateur soit le même partout
 également (ce qui tend à être le cas avec l'utilisation des mails comme
 nom d'utilisateur), les techniciens ayant accès à la base de données
 ont connaissance de vos logins et peuvent donc se connecter sur toutes
 les plateformes que vous utilisez (gmail, facebook,[^off] etc.).
 Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez
 qu'il est assez aisé de le deviner.  
 Secondement, s'il y a eu une fuite de données,
 alors en plus des techniciens,
 il y a potentiellement des centaines (des milliers&#8239;?) de personnes
 mal intentionnées qui ont accès à ces informations.
 ## La réponse de l'École-Club
 Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier,
 le jour de réception du mail,
 il y a dix jours maintenant, j'attendais de leur part un mail à **toutes**
 les personnes ayant un compte sur leur plateforme,
 expliquant le problème et les encourageant à changer leurs mots de passes
 partout ou il serait utilisé[^prob].  
 Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception
 de la part de la responsable de la formation, très certainement motivé
 par mon mécontentement exprimé en personne le vendredi 18 janvier.
 # Conclusion
 Je le répète, le but ici n'est pas de faire du *public shaming* envers
 l'École-Club Migros (ou de la plateforme MOODLE).
 Je suis en revanche très surpris du manque de réaction de la part d'une
 aussi grosse structure.
 Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet,
 je me permets donc de prendre la parole.
 Je répète ce que vous avez à faire.
 * Si vous avez un compte sur la plateforme de l'École-Club Migros
 * Si vous utilisez ce mot de passe ailleurs
 Alors, vous devez **absolument** modifier le mot de passe sur **toutes
 les autres plateformes concernées**.
 * Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros
 Il faut **absolument** les avertir, ils sont potentiellement concernés par
 ce problème.
 Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est
 très grave, il est important d'y répondre le plus rapidement possible.
 Dans tous les cas, j'espère que tous les inscrits sur la plateforme
 recevront rapidement (peut-être que ce billet accélérera les choses...)
 des informations à ce sujet et seront encouragés à changer le mot
 de passe utilisé.
 Tant qu'il n'y a aucun retour de la part des techniciens, il est
 très peu utile de modifier le mot de passe d'accès à la plateforme,
 ce nouveau serait immédiatement compromis.  
 Prenez soin de vous et utilisez un gestionnaire de mots de passes.
 [^bdd]: À l'exception des sites statiques, tous les sites internet utilisent
 	des bases de données pour stocker des informations
 	(les données des utilisateurs, les articles écrits,
 	les statistiques de visite...).
 [^algo]: Un algorithme est une méthode générale pour résoudre un
 	type de problèmes. (Wikipedia)
 [^algo1]: Cet exemple d'algorithme est volontairement simpliste.
 	Le but ici est de comprendre le fonctionnement, évidemment nous
 	pouvons utiliser un meilleur algorithme.
 [^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de
 	mauvaises intentions. Étant maître du système, il peut enregistrer le
 	mot de passe ailleurs, mais n'envisageons pas le pire.
 [^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement
 	si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis
 	alors il faudra le changer partout.
 [^off]: J'avais indiqué le site des impôts.
 	Après vérification, le portail e-démarches (du canton de Genève en tout
 	cas) force l'authentification deux facteurs, par sms ou autre.
 	Cet accès est donc protégé, mais avec la fuite dont je parle dans
 	l'article la première sécurité est quand même compromise et je
 	recommande donc à tous les inscrits sur la plateforme de l'école-club
 	de modifier leurs mot de passe.
--- a/static/images/007-ECM_lock.png
+++ b/static/images/007-ECM_lock.png