[EDIT] Ajout description et image bonnet enfant

content/posts/005-bonnetEnfant.md

@@ -1,9 +1,10 @@
 ---
 date: 2020-01-04T15:40:32+01:00
 title: "Bonnet enfant entrelacé"
-description: ""
+description: "Voici un petit tutoriel pour un bonnet entrelacé, en taille enfant."
 tags: ["Tricot", "DIY", "Bonnet"]
 categories: ["Tricot"]
+images: ["/images/005-BonnetEnfant04.jpg"]
 series: []
 ---
 
@@ -20,6 +21,8 @@ J'utilise une aiguille plus grosse pour avoir un maximum d'élasticité,
 l'entrelacé faisant un point assez large par la suite, la taille n'est
 pas trop importante, si vous avez du 5 mm ou du 6 mm, cela fera
 très bien l'affaire.
+Une fois les mailles montées, je les passes sur mes aiguilles doubles
+pour pouvoir tricoter de manière circulaire.
 
 La première partie consiste à faire une ligne de triangles, je documenterai
 tout ça dans un billet spécial sur l'entrelacé.

content/posts/007-MotsDePasse_Migros.md

@@ -0,0 +1,203 @@
+---
+draft: false
+date: 2020-01-22T07:30:55+01:00
+title: "École-Club Migros et mots de passes"
+description: "Vous avez un compte sur la plateforme de l'École-Club Migros?
+Alors la sécurité de votre mot de passe est compromise."
+images: ["images/007-ECM_lock.png"]
+tags: ["Informatique", "Sécurité", "Mots de passes"]
+categories: ["Informatique"]
+externalLink: ""
+series: []
+---
+
+# Le stockage des mots de passes sur internet
+
+Pour stocker les mots de passes, on utilise en général une
+base de données[^bdd],
+mais il existe de multitudes de manières de stocker un mot de passe
+sur une plateforme web, certaines bonnes, d'autres désastreuses.
+
+## Le stockage en clair
+La solution la plus simple est de stocker les mots de passes
+comme n'importe quel autre donnée, en général en associant
+un mot de passe à un nom d'utilisateur.
+
+| Username | Password |
+|---|---|
+| Alice | monsuperpassword |
+
+Si un site vous envoie votre mot de passe par e-mail,
+il y a de fortes chances qu'il utilise cette méthode de stockage.
+
+Le problème de cette méthode est que n'importe qui ayant accès
+à la base de donnée (un technicien, le type qui passait à la cafétéria
+pendant que l'ordinateur du technicien était ouvert, ...)
+a donc accès à tous les mots de passes des utilisateurs.
+
+## Chiffrer les mots de passes
+Une solution pour éviter d'avoir les mots de passes écrits en clair
+dans une base de donnée est de les chiffrer.
+Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer
+à notre mot de passe,
+par exemple nous pourrions remplacer chaque lettre par sa position dans
+l'alphabet et séparer par un point[^algo1].
+
+| Username | Password |
+|---|---|
+| Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 |
+
+Cette solution peut sembler résoudre un problème de sécurité,
+mais en fait toutes les personnes ayant connaissance de l'algorithme
+ont accès aux mots de passes.
+On peut éliminer le type qui passait à la cafétéria,
+si l'algorithme choisi n'est pas trop mauvais,
+mais tous les techniciens ont toujours les pleins pouvoirs.
+
+## Hacher le mot de passe
+Bien évidemment, nous n'utiliserons pas d'outils tranchants ici.  
+Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible.
+Il est impossible de retrouver le mot de passe en connaissant
+sa valeur hachée.
+Une fonction de hachage simple pourrait être d'additionner la position
+de tous les caractères du mot de passe :  
+13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236.
+
+
+| Username | Password |
+|---|---|
+| Alice | 236 |
+
+Lorsque l'utilisateur va entrer son mot de passe,
+le système va le hacher et le comparer à la valeur enregistrée dans la
+base de donnée.
+Si les deux valeurs correspondent, alors le système va autoriser l'accès
+à l'utilisateur, sinon il rejettera la tentative de connexion.
+
+Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup
+de mots de passes qui pourraient donner la même valeur,
+on parle de collisions.
+Nous utilisons donc des meilleures fonctions en réalité,
+mais le fonctionnement est identique.
+
+Avec cette solution, le technicien va pouvoir vérifier que le mot de passe
+entré correspond bien au mot de passe enregistré en base, mais sans
+jamais connaître le mot de passe[^secu].
+
+C'est la bonne manière de faire.
+Évidemment c'est un poil plus compliqué en réalité mais le but
+de ce petit billet n'est pas d'apprendre à stocker des mots de passes,
+pour cela il y a suffisamment de ressources disponibles sur internet.
+Je voulais juste faire un petit point sur les bonnes méthodes utilisées
+par vos sites préférés.
+
+# Et l'École-Club Migros dans tout ça
+Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible
+réponse de la structure je me vois obligé d'en parler quelque part, car
+j'estime que c'est très grave et que tous les clients de leur plateforme
+sont exposés à une **énorme faille de sécurité**.
+
+## Le contexte
+Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros.
+Avant le début de la formation, tous les participant·e·s ont reçu un
+mail nous confirmant l'accès à la plateforme et en nous rappelant nos
+accès, avec mon mot de passe écrit en clair.
+
+Comme vous venez de lire les différentes manières de stocker un mot de passe,
+vous savez donc que la plateforme ne stocke pas les mots de passes
+hachés, mais soit en clair soit chiffrés, ce qui est problématique dans
+les deux cas.
+
+## Le risque
+Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà
+suffisamment grave, énormément de personnes utilisent le même
+mot de passe sur plusieurs (toutes) autres plateformes.
+Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme
+de l'École-Club Migros, ce mot de passe est compromis.
+
+Qu'est-ce que cela veut dire?  
+Premièrement, pour peu que votre nom d'utilisateur soit le même partout
+également (ce qui tend à être le cas avec l'utilisation des mails comme
+nom d'utilisateur), les techniciens ayant accès à la base de données
+ont connaissance de vos logins et peuvent donc se connecter sur toutes
+les plateformes que vous utilisez (gmail, facebook,[^off] etc.).
+Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez
+qu'il est assez aisé de le deviner.  
+Secondement, s'il y a eu une fuite de données,
+alors en plus des techniciens,
+il y a potentiellement des centaines (des milliers ?) de personnes
+mal intentionnées qui ont accès à ces informations.
+
+## La réponse de l'École-Club
+Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier,
+le jour de réception du mail,
+il y a dix jours maintenant, j'attendais de leur part un mail à **toutes**
+les personnes ayant un compte sur leur plateforme,
+expliquant le problème et les encourageant à changer leurs mots de passes
+partout ou il serait utilisé[^prob].  
+Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception
+de la part de la responsable de la formation, très certainement motivé
+par mon mécontentement exprimé en personne le vendredi 18 janvier.
+
+# Conclusion
+Je le répète, le but ici n'est pas de faire du *public shaming* envers
+l'École-Club Migros (ou de la plateforme MOODLE).
+Je suis en revanche très surpris du manque de réaction de la part d'une
+aussi grosse structure.
+Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet,
+je me permets donc de prendre la parole.
+Je répète ce que vous avez à faire.
+
+* Si vous avez un compte sur la plateforme de l'École-Club Migros
+* Si vous utilisez ce mot de passe ailleurs
+
+Alors, vous devez **absolument** modifier le mot de passe sur **toutes
+les autres plateformes concernées**.
+
+* Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros
+
+Il faut **absolument** les avertir, ils sont potentiellement concernés par
+ce problème.
+
+Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est
+très grave, il est important d'y répondre le plus rapidement possible.
+
+Dans tous les cas, j'espère que tous les inscrits sur la plateforme
+recevront rapidement (peut-être que ce billet accélérera les choses...)
+des informations à ce sujet et seront encouragés à changer le mot
+de passe utilisé.
+Tant qu'il n'y a aucun retour de la part des techniciens, il est
+très peu utile de modifier le mot de passe d'accès à la plateforme,
+ce nouveau serait immédiatement compromis.  
+Prenez soin de vous et utilisez un gestionnaire de mots de passes.
+
+
+
+[^bdd]: À l'exception des sites statiques, tous les sites internet utilisent
+	des bases de données pour stocker des informations
+	(les données des utilisateurs, les articles écrits,
+	les statistiques de visite...).
+
+[^algo]: Un algorithme est une méthode générale pour résoudre un
+	type de problèmes. (Wikipedia)
+
+[^algo1]: Cet exemple d'algorithme est volontairement simpliste.
+	Le but ici est de comprendre le fonctionnement, évidemment nous
+	pouvons utiliser un meilleur algorithme.
+
+[^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de
+	mauvaises intentions. Étant maître du système, il peut enregistrer le
+	mot de passe ailleurs, mais n'envisageons pas le pire.
+
+[^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement
+	si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis
+	alors il faudra le changer partout.
+
+[^off]: J'avais indiqué le site des impôts.
+	Après vérification, le portail e-démarches (du canton de Genève en tout
+	cas) force l'authentification deux facteurs, par sms ou autre.
+	Cet accès est donc protégé, mais avec la fuite dont je parle dans
+	l'article la première sécurité est quand même compromise et je
+	recommande donc à tous les inscrits sur la plateforme de l'école-club
+	de modifier leurs mot de passe.
+