Archives par étiquette : sécurité

Une fausse impression de sécurité des données

Aujourd’hui je vais vous raconter une petite anecdote qui m’est arrivée et qui doit arriver à beaucoup d’entre nous régulièrement. C’est le genre de petites histoires qui nous amènent à réfléchir à deux fois avant de choisir le mot de passe que l’on utilise sur un site / service.

La scène se déroule sur le portail d’une régie d’affiliation dont je tairais le nom mais que j’utilise sur l’un de mes sites pour fournir un lien vers un client de newsgroup (ouais je sais j’aurai pu dire directement de qui il s’agit…).

Pour constater mes gains – mon absence de gains en l’occurrence d’ailleurs – je me connecte à mon compte sur ledit portail. Je remarque un superbe (et inutile) https dans l’url qui me conduit logiquement à penser que mes informations de connexion sont transmises de façon cryptée au serveur. Je vous rassure tout de suite : c’est le cas !

Sauf qu’à force d’essais je suis incapable de me souvenir du mot de passe que j’avais utilisé sur ce site. Il faut dire que comme tout bon geek j’en ai plus d’une dizaine différents et que ceux-ci sont parfois tellement bien pensés que je les retrouve jamais…

Dans ce cas là, et comme souvent, je me résous à utiliser le lien « Mot de passe oublié » présent sous le formulaire de connexion pensant avoir à suivre une procédure longue et fastidieuse de réinitialisation du mot de passe. « Vos identifiants vous ont été envoyés par email ».

Et effectivement, en consultant ma boite mail j’ai la joie de retrouver mon couple login / mot de passe (p*tain je l’avais oublié celui là de mot de passe !) en clair.

Ce qui veut dire que, non contents de stocker le mot de passe en clair dans la base de données, ce qui en soit est à la fois grave et stupide, ils envoient ce même mot de passe en clair par mail !

En conclusion la même société qui est prête à investir dans un certificat SSL 128 bits Thawte (à partir de 150€ / an) n’est pas capable de crypter les mots de passes et de mettre en place un système de réinitialisation de celui-ci qui soit digne de confiance. C’est beau l’impression de sécurité, et ce n’est pas que sur TF1 !

Créer une safebox sur Facebook

Facebook est devenu un outil tellement utilisé que parfois on en oublie que la plupart du contenu que l’on y publie peut-être vu par à peu près n’importe qui. De même, ce contenu est si riche qu’il peut attirer les convoitises et pousser certaines personnes à créer de faux comptes pour vous ajouter en tant qu’ami et se balader sur votre profil.

Etant de nature un peu parano (non sans déconner ?!) j’ai mis en place une solution pour éviter ce genre de désagrément que je vais partager avec vous aujourd’hui : une espèce de sas de protection entre les nouveaux arrivants et vous.

Encore une bête histoire de liste

Je travaille beaucoup avec les listes sur Facebook pour décider de qui a le droit de voir quelles informations ou quel contenu. Actuellement je disposais de trois listes : Perso, Pro et bloqués (dont je vous ai déjà explique l’intérêt ici).

Pour l’occasion, et parce qu’une personne que je ne connais pas vraiment m’a ajouté sur Facebook (bonjour @Fealings en passant) j’ai donc créé une nouvelle liste : Safebox. Le nom n’a pas de réel importance, j’ai choisi celui-ci parce qu’il me fait penser à la Sandbox de Google.

Ensuite il faut paramétrer cette liste. Et pour ce faire, rien de plus simple : dans l’onglet Compte>Paramètres de confidentialité>Informations du profil vous allez devoir changer chaque élément un par un pour sélectionner le mode « Personnaliser » .

Il suffit ensuite de sélectionner « Ne pas montrer ce contenu à » et de commencer à rentrer le nom de votre liste toute fraichement créée.

Répétez l’action pour tous les contenus que vous ne souhaitez pas partager avec un « inconnu » et vous pourrez ensuite prévisualiser votre profil tel que ledit inconnu le verra en choisissant l’option « Afficher un aperçu de mon profil » et en saisissant le nom d’une personne accueillie dans ladite liste.

Une fois que vous êtes sûr de l’identité du nouveau venu vous pouvez au choix le supprimer ou le rajouter dans une liste plus permissive (Perso ou Pro pour moi par exemple).