Twitter, tu nous saoules !

J'ai reçu ce matin un mail de IFTTT (faudra que je vous parle d'IFTTT, c'est une idée et une réalisation bluffantes !

In recent weeks, Twitter has announced policy changes* that will affect how applications and users like yourself can interact with Twitter’s data. As a result of these changes, on September 27th we will be removing all Twitter Triggers, disabling your ability to push tweets to places like email, Evernoteand Facebook. All Personal and Shared Recipes using a Twitter Trigger will also be removed. Recipes using Twitter Actions and your ability to post new tweets via IFTTT will continue to work just fine. 
At IFTTT, first and foremost, we want to empower anyone to create connections between literally anything. We’ve still got a long way to go, and to get there we need to make sure that the types of connections that IFTTT enables are aligned with how the original creators want their tools and services to be used. We at IFTTT are big Twitter fans and, like yourself, we’ve gotten a lot of value out of the Recipes that use Twitter Triggers. We’re sad to see them go, but remain excited to build features that work within Twitter’s new policy. Thank you for your support and for understanding these upcoming changes. If you have any questions or concerns, please contact us at support@ifttt.com.Linden Tibbets IFTTT CEO 

En gros, Twitter s'applique à fermer les uns après les autres les partenaires de son ecosystème qui ne respectent pas les nouvelles règles d'affichage des contenus édictées récemment. L'ecosystème autour de Twitter est particulièrement riche et fait partie de ce qui rend Twitter attractif. La multitude d'applications qui permettent de publier ou de lire des contenus Twitter est phénoménale.

Twitter a d'abord fermé le lien automatique avec LinkedIn. Avant, un twitt pouvait être publié automatiquement sur LinkedIn. Instagram, Tumblr ont subi le même sort.

Depuis cette suppression, j'utilisais IFTTT pour arriver aux mêmes fins, en cross-postant ces articles et les tweets sur LinkedIn, Facebook, etc... J'utilisais IFTTT également pour sauvegarder mes twitts sur Gmail.

Bref M. Twitter, à force de couper un à un les liens qui te lient à ton ecosystème, tu te rends moins attractif et moins utile. Au point que je vais regarder Google+ de plus près...

PS: si tu coupes le lien avec Flipboard, je te quitte !

Tests A/B en direct sur Amazon.fr

Les utilisateurs d’Amazon sont familiers avec le site qui est en service depuis plusieurs années:

Surprise sur un de mes PCs, voici au même moment la nouvelle interface du site:

Belle illustration du concept de test A/B: certains utilisateurs se voient proposer une version alternative du site, ce qui permet de tester en réel les réactions des utilisateurs sans prendre le risque de tout basculer d’un coup.

Urgence mots de passe et sécurité de nos données !

Tout le monde sait que la protection de ses données repose principalement sur un bon mot de passe. Personne n'a envie qu'un malandrin vienne mettre son nez dans ses emails, ses photos ou bien ses comptes bancaires.

On connait les conseils qui prévalent classiquement dans ce domaine. Une rapide recherche sur Google fait remonter les conseils suivants:

• taille minimum: au moins 8 caractères
• ne pas utiliser de mots issus d'un dictionnaire
• mixer chiffres, lettres et symboles spéciaux
• etc.…

Ces conseils ne sont pas mauvais et restent valables. Mais la technologie et les techniques utilisées par les pirates n'ayant de cesse de se perfectionner, ils ne sont plus suffisants.

Qu'est ce qui est nouveau ?

Un article passionnant de Dan Goodin (“Why passwords have never been weaker—and crackers have never been stronger”) nous donne un éclairage “à jour” sur ces problèmes et le constat est pour le moins inquiétant. Comme le dit le titre de l’article, la sécurité liée aux mots de passe n’a jamais été aussi faible.

Trois facteurs se combinent:

• la multiplicité des comptes utilisateurs en ligne que nous devons gérer décuple les risques.
• dans les dernières années, plus de 100 millions de mots de passe réels ont été dévoilés à partir de piratage de sites importants.
• la puissance de calcul nécessaire à la casse de mots de passe est devenue incroyablement accessible et peu onéreuse.

Multiplicité des comptes utilisateurs

Gmail, Facebook, Twitter, Linkedin, Amazon, Fnac, orange, SFR, Edf, laposte, … nous pouvons tous lister au moins 20 sites sur lesquels nous avons créé des comptes utilisateur, parfois beaucoup plus. Au fil du temps, la pratique d’utiliser son adresse email comme identifiant s’est généralisée. Et l’humain étant ce qu’il est, il est fréquent d’utiliser le même mot de passe sur plusieurs, voire même tous les sites… Il est vrai que créer un mot de passe fort, unique, qu’on n’oubliera pas, alors qu’on est en train de finaliser une commande sur un nouveau site marchand relève parfois de la mission impossible. Alors on pare au plus pressé…Et on se retrouve ainsi avec de nombreux sites sur lesquels on a le même identifiant (son adresse email donc) et le même mot de passe.

Cette réutilisation d’identifiants est un risque très important car elle fait dépendre la sécurité de notre vie digitale du maillon le plus faible. En effet, imaginons que j’aie les mêmes identifiants sur Gmail et sur un site de commerce électronique lambda.com: si les informaticiens de lambda.com ne sont pas très consciencieux, que le site se fait pirater, mon mot de passe peut être découvert. Et voilà des hackers en possession de l’identifiant et du mot de passe de mon compte Gmail !

Un tel enchainement d’évènements, c’est à dire des hackers qui utilisent une information glanée sur un compte pour en pirater un autre, n’est pas du domaine du phantasme. Il suffit pour s’en convaincre de lire la mésaventure (la catastrophe même) qui est arrivée à Mat Honan (“How Apple and Amazon Security Flaws Led to My Epic Hacking”)

“Dans l’espace d’une heure, ma vie digitale entière a été détruite. Mon compte Google s’est fait pirater le premier, puis effacer. Ensuite, mon compte Twitter a été piraté et utilisé comme plateforme pour diffuser des messages racistes et homophobes. Enfin le pire, mon compte AppleID a été piraté et les hackers l’ont utilisé pour effacer à distance toutes les données de mon iPhone, mon iPad et mon MacBook.”

La diffusion de bases de données de mot de passes réels

Les techniques “classiques” utilisées pour casser des mots de passe ont beaucoup évolué. La technique de base, dite “force brute”, consiste à essayer toutes les combinaisons possibles de lettres, chiffres, symboles. Ainsi par exemple, l’ensemble des combinaisons de 9 caractères pris parmi les lettres majuscules, minuscules et chiffres, soit 62⁹, se dénombre à 13 537 086 546 263 552, soit pour faire court plus de 13 millions de milliards de combinaisons. Impressionnant non ? Oui, mais non.

Non, parce que la puissance de calcul disponible pour faire ces attaques de force brute est actuellement considérable et facilement accessible. Nous verrons cela en détail ci-dessous.

Non, parce que les hackers ont conçu des techniques sophistiquées pour éviter de tester toutes les combinaisons possibles et ainsi gagner du temps.

Partant du constat que les utilisateurs ont tendance à utiliser des mots de passe facile à retenir, une manière de gagner du temps pour un hacker est d’utiliser un dictionnaire de mots pour bâtir des mots de passe en les combinant entre eux ou avec des chiffres. Exemples: “soleil123”, “isabelle12”, … Cette technique a un bon taux de succès et c’est pourquoi on nous conseille de ne pas utiliser de mots issus d’un dictionnaire, ou bien de dénaturer le mot avec un symbole facile à retenir (comme par exemple “sol3il123”).

Mais il y a mieux, beaucoup mieux même… Tout commence en décembre 2009. Le site de jeux sociaux RockYou est victime d’un piratage de sa base de données de comptes utilisateurs. Rockyou n’applique aucune des mesures de sécurité de base et stocke notamment les mots de passe en clair sur ses serveurs, sans les crypter. Les pirates s’emparent d’une liste de … 32 millions d’identifiants et mots de passe !!

C’est une véritable mine d’or car cette liste permet de connaitre non seulement les mots de passe les plus utilisés mais également les formats les plus utilisés. Ainsi par exemple, cette liste révèle que les lettres majuscules viennent majoritairement en première position et que les utilisateurs ont une forte tendance à utiliser des prénoms suivis d’une année, comme “Marie1996”.

Le “phénomène RockYou” a fait boule de neige: à partir de cette première base de connaissance, d’autres sites ont pu être piratés et on estime qu’en 2011, plus de 100 millions de mots de passe ont été ainsi révélés. Plus cette base de mots de passe grandit, plus il est facile de les cracker et d’en découvrir d’autres.

Ces piratages ont aussi affecté des sites très significatifs comme LinkedIn il y a quelques mois, ou bien Twitter. Ce qui veut dire accessoirement que ce ne sont pas des problèmes uniquement de sites américains, mais qui affectent le monde entier…

90 secondes pour cracker un mot de passe de 9 caractères !

En tirant parti de cette connaissance des mots de passe et de la manière dont les utilisateurs les inventent, on peut réduire drastiquement les combinaisons à explorer: ainsi, si on suppose que les mots de passe sont composés d’une majuscule ou minuscule, suivie de 4 minuscules et 4 chiffres, le nombre de combinaisons n’est plus que de 52*26⁴*10⁴, soit 237 627 520 000, environ 237 milliards, au lieu des 13 millions de milliards de combinaisons au total. Et il se trouve que 237 milliards de combinaisons peuvent être testées de nos jours en… 90 secondes !

C’est qu’en dix ans, la puissance de calcul accessible à tout un chacun a fait des progrès spectaculaires. Les processeurs sont bien entendus beaucoup plus puissants mais ce sont les progrès dans les cartes graphiques qui intéressent les hackers. Pourquoi les cartes graphiques ? parce que ce sont des mini-ordinateurs spécialisés dans les calculs mathématiques et de plus massivement parallèles. Un PC équipé d’une carte graphique AMD Radeon HD7970 peut tester jusqu’à 8 milliards de mots de passe par seconde ! Il s’agit d’un équipement qui coute 400€… Autant dire que la casse industrielle de mots de passes est à la portée de tous alors qu’il y a 10 ans il fallait des moyens industriels (supercalculateurs) pour arriver aux mêmes résultats.

Faut-il avoir peur ?

Oui ! Le côté industriel de l’attaque de nos mots de passe doit nous inquiéter. Et nous inciter à changer nos habitudes drastiquement:

• ne pas utiliser le même mot de passe partout
• utiliser des mots de passes aléatoires et très longs
• utiliser des méthodes complémentaires d’authentification (“2-way auth”)
• ….

Tout cela fera l’objet d’un prochain billet où nous verrons concrètement comment améliorer la sécurité de sa vie digitale.

PS: Si vous tombez sur un site qui vous envoie dans un email votre mot de passe en clair, fuyez !! Cela veut dire que ce site ne crypte même pas les mots de passe que vous lui confiez. Si vous ne pouvez pas faire autrement que de l’utiliser, choisissez un mot de passe différent de tous les autres.

Nouveau gadget: la Mini Boombox

Dans ma quête sans fin de nouveaux joujoux, voici le Logitech Mini Boombox. A quoi ça sert ??

C’est une petite enceinte portative pour amplifier le son de ses autres iMachins (iPhone, iPad, voire d’autres marques, quoi il y a d’autres marques ?). Quand je dis petite, c’est vraiment petite ! Les commentaires sur Amazon m’avaient prévenu mais au déballage, cela a quand même été la surprise. C’est vraiment petit ce machin.

A l’usage, le résultat est vraiment étonnant. Le petit son riquiqui issu du haut parleur de l’iPhone ou de l’iPad a disparu, on a du gros son, parfait pour écouter un peu de musique, regarder un film, etc.… Bien entendu, ce n’est pas de la hifi (ne pas prétendre écouter sérieusement une symphonie de Beethoven), et ça ne permet pas de sonoriser une soirée. Mais c’est très bon. Rien à voir non plus avec les haut parleurs de PC par exemple.

Techniquement, cela fonctionne en Bluetooth, après quelques manips simples pour associer l’objet et son téléphone par ex. Sur le dessus de la Mini Boombox, on trouve une interface tactile qui permet directement depuis l’appareil de changer le volume, passer au morceau suivant, etc.… Top. Petit bémol toutefois: la diffusion en Bluetooth a une fâcheuse tendance à vider la batterie de votre portable rapidement. L’appareil lui même se charge par une prise USB classique et Logitech nous promet des jours d’autonomie, c’est cool pour un device nomade par nature (au moins dans la maison).

Alors pourquoi s’enthousiasmer pour ce gadget, vous demandez-vous ? A quel usage répond-t’il, quel vide vient-il combler ?

Les réponses sont à chercher dans la manière dont nous “consommons” les contenus de nos jours.

• musique: autrefois, j’utilisais des CD. Avec la dématérialisation de la musique, c’est devenu totalement obsolète et en tous cas cela fait plusieurs années que je n’ai pas glissé un CD dans une chaine. Ma musique, je l’écoute le plus souvent au casque depuis ma bibliothèque chargée sur mon iPhone. Mais parfois, une écoute sans casque est sympathique. La Boombox est ici idéale.
• films, séries, télévision: même phénomène de dématérialisation bien entendu, mais l’élément nouveau ici, c’est l’iPad, qui est devenu le téléviseur universel, qu’on trimbale partout et qui permet d’accéder à tout. Le cas d’usage type de la Boombox, c’est la soirée “série américaine” avec l’iPad posé dans le lit entre madame et monsieur L’ennui c’est que le son de l’iPad est anémique, rendant l’audition difficile. Avec la Boombox, fini ! Et comme elle est ultra-portative, elle trouve sa place partout.
• radio: là-aussi, nouvelle manière de consommer. On peut bien entendu écouter les radios en direct par leurs applications de streaming, mais bon, avouons-le, le classique “transistor” fait aussi bien (ceci dit, en déplacement, dans une chambre d’hôtel par ex, ça a du sens). Mais il y a surtout maintenant les programmes à la carte, la “radio choisie”, c’est-à-dire les podcasts. Je suis abonné à mes émissions préférées qui se téléchargent automatiquement (enfin) sur mon iPhone, que j’écoute notamment dans la voiture matin et soir. Mais j’ai toujours eu envie d’écouter mes podcasts dans la salle de bains et sous la douche, chose à laquelle il faut renoncer car le son de l’iPhone est beaucoup trop faible. Et voici la Boombox à la rescousse: toute petite, facile de la loger à un endroit sec et un son d’enfer !

Cerise sur le gâteau: elle est équipée d’un micro et permet donc de téléphoner en mode mains libres. Sous la douche pourquoi pas, ou bien plus sérieusement en alternative à un système mains libres en voiture ou comme mini système d’audio conférence ?