diff --git a/content/posts/005-bonnetEnfant.md b/content/posts/005-bonnetEnfant.md index ef47c63..2092af6 100644 --- a/content/posts/005-bonnetEnfant.md +++ b/content/posts/005-bonnetEnfant.md @@ -1,9 +1,10 @@ --- date: 2020-01-04T15:40:32+01:00 title: "Bonnet enfant entrelacé" -description: "" +description: "Voici un petit tutoriel pour un bonnet entrelacé, en taille enfant." tags: ["Tricot", "DIY", "Bonnet"] categories: ["Tricot"] +images: ["/images/005-BonnetEnfant04.jpg"] series: [] --- @@ -20,6 +21,8 @@ J'utilise une aiguille plus grosse pour avoir un maximum d'élasticité, l'entrelacé faisant un point assez large par la suite, la taille n'est pas trop importante, si vous avez du 5 mm ou du 6 mm, cela fera très bien l'affaire. +Une fois les mailles montées, je les passes sur mes aiguilles doubles +pour pouvoir tricoter de manière circulaire. La première partie consiste à faire une ligne de triangles, je documenterai tout ça dans un billet spécial sur l'entrelacé. diff --git a/content/posts/007-MotsDePasse_Migros.md b/content/posts/007-MotsDePasse_Migros.md new file mode 100644 index 0000000..b14e463 --- /dev/null +++ b/content/posts/007-MotsDePasse_Migros.md @@ -0,0 +1,203 @@ +--- +draft: false +date: 2020-01-22T07:30:55+01:00 +title: "École-Club Migros et mots de passes" +description: "Vous avez un compte sur la plateforme de l'École-Club Migros? +Alors la sécurité de votre mot de passe est compromise." +images: ["images/007-ECM_lock.png"] +tags: ["Informatique", "Sécurité", "Mots de passes"] +categories: ["Informatique"] +externalLink: "" +series: [] +--- + +# Le stockage des mots de passes sur internet + +Pour stocker les mots de passes, on utilise en général une +base de données[^bdd], +mais il existe de multitudes de manières de stocker un mot de passe +sur une plateforme web, certaines bonnes, d'autres désastreuses. + +## Le stockage en clair +La solution la plus simple est de stocker les mots de passes +comme n'importe quel autre donnée, en général en associant +un mot de passe à un nom d'utilisateur. + +| Username | Password | +|---|---| +| Alice | monsuperpassword | + +Si un site vous envoie votre mot de passe par e-mail, +il y a de fortes chances qu'il utilise cette méthode de stockage. + +Le problème de cette méthode est que n'importe qui ayant accès +à la base de donnée (un technicien, le type qui passait à la cafétéria +pendant que l'ordinateur du technicien était ouvert, ...) +a donc accès à tous les mots de passes des utilisateurs. + +## Chiffrer les mots de passes +Une solution pour éviter d'avoir les mots de passes écrits en clair +dans une base de donnée est de les chiffrer. +Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer +à notre mot de passe, +par exemple nous pourrions remplacer chaque lettre par sa position dans +l'alphabet et séparer par un point[^algo1]. + +| Username | Password | +|---|---| +| Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 | + +Cette solution peut sembler résoudre un problème de sécurité, +mais en fait toutes les personnes ayant connaissance de l'algorithme +ont accès aux mots de passes. +On peut éliminer le type qui passait à la cafétéria, +si l'algorithme choisi n'est pas trop mauvais, +mais tous les techniciens ont toujours les pleins pouvoirs. + +## Hacher le mot de passe +Bien évidemment, nous n'utiliserons pas d'outils tranchants ici. +Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible. +Il est impossible de retrouver le mot de passe en connaissant +sa valeur hachée. +Une fonction de hachage simple pourrait être d'additionner la position +de tous les caractères du mot de passe : +13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236. + + +| Username | Password | +|---|---| +| Alice | 236 | + +Lorsque l'utilisateur va entrer son mot de passe, +le système va le hacher et le comparer à la valeur enregistrée dans la +base de donnée. +Si les deux valeurs correspondent, alors le système va autoriser l'accès +à l'utilisateur, sinon il rejettera la tentative de connexion. + +Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup +de mots de passes qui pourraient donner la même valeur, +on parle de collisions. +Nous utilisons donc des meilleures fonctions en réalité, +mais le fonctionnement est identique. + +Avec cette solution, le technicien va pouvoir vérifier que le mot de passe +entré correspond bien au mot de passe enregistré en base, mais sans +jamais connaître le mot de passe[^secu]. + +C'est la bonne manière de faire. +Évidemment c'est un poil plus compliqué en réalité mais le but +de ce petit billet n'est pas d'apprendre à stocker des mots de passes, +pour cela il y a suffisamment de ressources disponibles sur internet. +Je voulais juste faire un petit point sur les bonnes méthodes utilisées +par vos sites préférés. + +# Et l'École-Club Migros dans tout ça +Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible +réponse de la structure je me vois obligé d'en parler quelque part, car +j'estime que c'est très grave et que tous les clients de leur plateforme +sont exposés à une **énorme faille de sécurité**. + +## Le contexte +Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros. +Avant le début de la formation, tous les participant·e·s ont reçu un +mail nous confirmant l'accès à la plateforme et en nous rappelant nos +accès, avec mon mot de passe écrit en clair. + +Comme vous venez de lire les différentes manières de stocker un mot de passe, +vous savez donc que la plateforme ne stocke pas les mots de passes +hachés, mais soit en clair soit chiffrés, ce qui est problématique dans +les deux cas. + +## Le risque +Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà +suffisamment grave, énormément de personnes utilisent le même +mot de passe sur plusieurs (toutes) autres plateformes. +Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme +de l'École-Club Migros, ce mot de passe est compromis. + +Qu'est-ce que cela veut dire? +Premièrement, pour peu que votre nom d'utilisateur soit le même partout +également (ce qui tend à être le cas avec l'utilisation des mails comme +nom d'utilisateur), les techniciens ayant accès à la base de données +ont connaissance de vos logins et peuvent donc se connecter sur toutes +les plateformes que vous utilisez (gmail, facebook,[^off] etc.). +Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez +qu'il est assez aisé de le deviner. +Secondement, s'il y a eu une fuite de données, +alors en plus des techniciens, +il y a potentiellement des centaines (des milliers ?) de personnes +mal intentionnées qui ont accès à ces informations. + +## La réponse de l'École-Club +Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier, +le jour de réception du mail, +il y a dix jours maintenant, j'attendais de leur part un mail à **toutes** +les personnes ayant un compte sur leur plateforme, +expliquant le problème et les encourageant à changer leurs mots de passes +partout ou il serait utilisé[^prob]. +Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception +de la part de la responsable de la formation, très certainement motivé +par mon mécontentement exprimé en personne le vendredi 18 janvier. + +# Conclusion +Je le répète, le but ici n'est pas de faire du *public shaming* envers +l'École-Club Migros (ou de la plateforme MOODLE). +Je suis en revanche très surpris du manque de réaction de la part d'une +aussi grosse structure. +Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet, +je me permets donc de prendre la parole. +Je répète ce que vous avez à faire. + +* Si vous avez un compte sur la plateforme de l'École-Club Migros +* Si vous utilisez ce mot de passe ailleurs + +Alors, vous devez **absolument** modifier le mot de passe sur **toutes +les autres plateformes concernées**. + +* Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros + +Il faut **absolument** les avertir, ils sont potentiellement concernés par +ce problème. + +Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est +très grave, il est important d'y répondre le plus rapidement possible. + +Dans tous les cas, j'espère que tous les inscrits sur la plateforme +recevront rapidement (peut-être que ce billet accélérera les choses...) +des informations à ce sujet et seront encouragés à changer le mot +de passe utilisé. +Tant qu'il n'y a aucun retour de la part des techniciens, il est +très peu utile de modifier le mot de passe d'accès à la plateforme, +ce nouveau serait immédiatement compromis. +Prenez soin de vous et utilisez un gestionnaire de mots de passes. + + + +[^bdd]: À l'exception des sites statiques, tous les sites internet utilisent + des bases de données pour stocker des informations + (les données des utilisateurs, les articles écrits, + les statistiques de visite...). + +[^algo]: Un algorithme est une méthode générale pour résoudre un + type de problèmes. (Wikipedia) + +[^algo1]: Cet exemple d'algorithme est volontairement simpliste. + Le but ici est de comprendre le fonctionnement, évidemment nous + pouvons utiliser un meilleur algorithme. + +[^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de + mauvaises intentions. Étant maître du système, il peut enregistrer le + mot de passe ailleurs, mais n'envisageons pas le pire. + +[^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement + si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis + alors il faudra le changer partout. + +[^off]: J'avais indiqué le site des impôts. + Après vérification, le portail e-démarches (du canton de Genève en tout + cas) force l'authentification deux facteurs, par sms ou autre. + Cet accès est donc protégé, mais avec la fuite dont je parle dans + l'article la première sécurité est quand même compromise et je + recommande donc à tous les inscrits sur la plateforme de l'école-club + de modifier leurs mot de passe. + diff --git a/static/images/007-ECM_lock.png b/static/images/007-ECM_lock.png new file mode 100644 index 0000000..7e6c5b5 Binary files /dev/null and b/static/images/007-ECM_lock.png differ