Armetiz.info

Si vous voulez voir le Transporteur 3, ou Gad Elmaleh… Pourquoi ne pas utiliser les serveurs de l’état ?

Aller voir tgi-bonneville.justice.fr et vous verrez que l’état c’est - encore et toujours - “Fait ce que je dis, et pas ce que je fais”.

Cette semaine, les liens importants sont :

• Comment choisir vos couleurs avec harmonie : Kuler est une application Flex très bien conçue, avec la possibilité d’ajouter vos propres compositions.
• 50 Générateurs de ressource 2.0
• Avec l’approche de noël, voici un cadeau pour geek, un micro-pc très faible consommation pouvant faire office de routeur, ou de serveur pour votre maison
• Pixenjoy : un blog sur l’art digital, contenant des conseils sur l’organisation visuel de vos éléments.
• HideLink : Pour transférer vos URL de manière sécurisé avec vos contacts, fonctionnement basé sur une clé partagée.

Cet article fait suite à un petit raz le bol envers les développeurs et les concepteurs peu soucieux de la gestion des mots de passe.
Nous allons voir pourquoi il ne faut pas stocker les mots de passe en clair, les risques que cela peut engendrer et les alternatives du stockage en clair.

Stocker les mots de passe en clair

Avez-vous déjà eu ces mails désagréables vous confirmant votre inscription, ces mails qui vous font un rappel de login et de mot de passe ?

Rappel pour votre prochaine connexion :

• login: armetiz
• password: biloute

Mais comment diable ce fait-il que le site connaisse mon mot de passe et l’affiche en clair dans un email ?

• Premièrement, le mail arrivera dans ma boite au lettre, il sera consulter sans condition de sécurité particulière, malheureusement quelqu’un qui regardait mon écran à vu cette information tellement confidentiel : mon mot de passe.
• Deuxièmement, comme 95% des mails non publicitaire ne sont pas supprimés, cela signifie que si l’on subit un phising réussi, on offre à notre attaquant une vue complète de notre anatomie.
• Troisièmement, le mot de passe en clair a de forte chance d’avoir été stocké en base de donnée. Comment l’utilisateur peut-être sur de la sécurité de l’entreprise ? Un développeur stagiaire qui a accès à la base de donnée peut récupérer tout ce qu’il désire pour les ré-utiliser autrement.

Dans la catégorie poids lourd, on peut nommer Amazon.fr qui stocke les numéros de carte bleu ainsi que le cryptogramme ! Une fois inscrit, on peut revenir et commander un article sans même avoir sa CB sous les yeux.

Les risques de l’individu

Nous allons commencer par les risques des individus.
D’après les exemples ci-dessus, il peut se produire pas mal de scénario catastrophiques. Voici l’exemple imaginé d’Anna.

Anna travaillant dans une grande PME, a suivie une formation interne sur les bases de la sécurité informatique, la chose qu’elle a retenue : des mots de passe diversifiés et complexes en fonction du type de site. Après cette formation, elle a modifiée son mot de passe, et utilise désormais trois mots de passe complexes pour trois types de site

• Commerciaux.
• Non commerciaux.
• Professionnel - Accès VPN, Connexion système de fichier, etc…

Malheureusement, Anna a subit une attaque de phising Hotmail qu’elle utilise comme messagerie principal.
Cette attaque ayant été correctement orchestré, elle n’y a vue que du feu et ne s’est même pas rendue compte que son mot de passe non commercial venait de lui être volé.

Ses attaquants ont parcouru ses emails, ils sont tombés sur une confirmation d’inscription à un site de vente en ligne pour de la lingerie, rien de bien méchant, sauf que cet email contient le login de connexion, ainsi que le mot de passe affecté.
Ils ont aussi vu qu’une commande sur Amazon avait été passée.

Pas de bol pour Anna, les attaquants ont été voir sur Amazon si un des deux mots de passe fonctionnait, et c’est le cas, car elle a bien respectée la règle qu’on lui a apprise en formation, le mot de passe commercial utilisé pour la vente de lingerie est le même que pour Amazon.
Les attaquants ont commandés une télévision à 1000€, et ce n’est pas Anna qui sera livrée… Sachant qu’ils ont accès à la boite email, ils ont supprimés le bon de commande et elle ne sera rien avant que son banquier ne l’appel ou qu’elle consulte l’état de son compte.

Le calvaire de la pauvre Anna ne s’est pas arrêtée à un téléviseur, car quand on est acteur - pseudo - influant sur Internet, les choses vont vite. Et les attaquants se sont amusés avec l’identité numérique, les blogs qu’elle animait l’ont bannis, et la réputation qu’elle avait construit avec cœur s’est détériorées très rapidement.

Si l’on regarde l’expérience d’Anna, on se rend compte que le phising qu’elle a subit est sous sa responsabilité, car c’est son manque d’attention qui a mené à bien l’attaque.
Par contre, le fait que le mot de passe soit affiché en clair dans l’email est sous l’entière responsabilité du site web où s’est inscrit Anna.
Et si amazon avait ne serai-ce que demandé le cryptogramme de 3 chiffres avant de passer la commande, les 1000€ serai toujours sur son compte bancaire.

Les risques des hébergeurs / administrateur

“Moins on en sait, moins on cours de risque“. Si l’on part de ce principe, ceux qui conservent les mots de passe en clairs se heurtent à d’énormes risques légaux.

Nous allons continuer avec l’exemple d’Anna qui a été porté plainte, sachant que le débiteur des 1 000€ est Amazon, la banque se retournera contre cette enseigne qui devait s’assurer que la demande de la vente provenait bien d’Anna.
Comme nous ne pouvons pas être sur à 100% de l’identité de la personne connectée, ils ne doivent pas conserver les codes de carte bleu.

Anna qui n’a vraiment pas de chance, s’est fait usurpée son identité par un stagiaire de la boutique de vente de lingerie qui s’est amusé à récupérer les mots de passe et à tester l’accès à des forums en fonction de l’email et du mot de passe.
Le stagiaire est itinérant, mais pas la boutique, elle peut être accuser d’avoir utiliser des données confidentiels et d’une haute importance, car ces données peuvent ouvrir l’accès à d’autres données personnelles. Comment la boutique pourra justifier qu’elle n’a pas utiliser à des fins “personnels” le mot de passe d’Anna ?

Les alternatives du stockage en claire

Pour empêcher que d’autres personnes ne subissent l’expérience de la pauvre Anna, qui rappelons le, a usée de méthode d’utilisateur conscient de la sécurité informatique. Il existe des méthodes très simple à mettre en place.
Mais pour cela, il faut que les concepteurs, développeurs et même administrateur soit au courant de ces pratiques.

Lorsque l’on s’inscrit sur un site, on ne conserve qu’un Hash du mot de passe, et si un utilisateur redemande le mot de passe, on le ré-initialise avec un tout autre mot, libre à la personne de le changer par la suite.

Amazon a vraiment fait quelque chose de pas “secure”. A l’heure où l’on se bat pour que messieurs tout le monde ai droit à une sécurité informatique, si de grandes enseignes ne respectent pas les règles élémentaires, c’est mission impossible.

Car il faut le rappeler, la sécurité informatique tient du respect des règles par l’ensemble des acteurs de l’informatique.
Si les utilisateurs se forcent à utiliser des mots de passe complexe, et que les sites ne font rien pour en assurer leurs sécurités… Nous ne seront jamais tranquille.

PS : Si une loi obligeait tout les développeurs à avoir connaissance des règles de sécurité pour pouvoir exercer… Nous vivrions dans un monde sans pirate :p

Pour aller plus loin, voici une liste de livre traitant de la sécurité informatique, disponible sur Amazon bien sur

Premier article d’une nouvelle - et longue - série : “Les liens de la semaine”.

Plutôt que de faire un article à chaque découverte ou mettre un lien discret en haut à droite, faire un article qui reprend les liens importants de la semaine est à mon avis plus sympa.

• Des interviews vidéos à orientations technologiques : Tv4IT
• Saviez-vous que google répond à la question de la vie, de l’univers et de tout ce qui existe ?
• Un livre blanc sur les enjeux du SaaS et un autre sur les fondamentaux du XRM
• Framework CSS : Blueprint

Les Antilles ont récemment vus leurs accès aux services Google impossible, il y avait en effet un problème de DNS qui empêchait la résolution de nom.

Cette incident à du faire ouvrir les yeux des utilisateurs utilisant Gmail, Gdocs, Google, GMaps à outrance et qui se sont vu dépourvus de leurs informations.
Voici une des raisons de ne pas mettre tout ces œufs dans le même panier… Qui nous amène au 10 raisons de boycotter de Google.

Toujours est-il, l’article de Zorgloob m’a fait connaitre un service que je ne connaissais pas : OpenDNS.

Présentation de OpenDNS

Alors que le nom ressemble à OpenVPN, il ne s’agit pas d’un “logiciel”, mais d’un service mit à disposition du tout Internet pour accéder à des serveurs DNS autres que ceux de vos FAI utilisés dans 90% des cas.

Quel est l’intérêt d’utiliser d’autres serveurs DNS que ceux de vos FAI lorsque l’on est un particulier ? A vrai dire, peu d’intérêt si ce n’est une petite geekerie en soit. Monter son propre serveur DNS étant la vrai geekerie

Voici les services proposés par OpenDNS - en plus de vous fournir les bonnes adresses IP - sont :

• Rapidité d’exécution
• Filtre : Anti-phising
• Statistique

Concernant la rapidité d’exécution, c’est en cours d’évaluation à la maison… Mais, entre 5ms et 3ms, l’écart ne semble pas important.

Par contre, les filtres mis à disposition peuvent s’avérer très intéressant, vous pouvez en effet interdire la résolution de nom lorsqu’il s’agit de site “pornographique, de jeu, de drogue ou d’alcool…”. Le seul hic, c’est qu’une fois le filtre mis en place, il s’applique à l’ensemble du foyer familiale, fini les sites pornos lorsque votre douce est couchée… :p

La partie statistique m’est pour l’instant inaccessible, nous en serons donc plus un peu plus tard.

Vous pouvez aussi utiliser des raccourcis, et faire correspondre “information” avec “armetiz.info”, mais cette astuce est un peu inutile avec la gestion des bookmark des nouveaux navigateurs.
Par contre, cela aurai pu être intéressant de pouvoir ajouter des entrées pour faire correspondre un nom avec un IP local, mais il n’est possible de faire des liens uniquement avec des adresses du type “http://”.

Pour conclure

OpenDNS est un service qu’il est intéressant de connaitre : si vous êtes une petite entreprise qui ne veux pas s’embêter avec la configuration d’un serveur en interne tout en empêchant l’accès à certains sites; ou alors si les serveurs DNS de vos FAI sont défaillant… Chose assez rare, mais possible - cf les Antillais…

Dans ce cas, il peut être bon de mettre en IP principal le serveur DNS numéro un de votre FAI, et en deuxième adresse celle de OpenDNS, cela permet de faire un croisement de service.

Voici les deux IP :

• 208.67.222.222
• 208.67.220.220

Accessible sans inscription si vous ne souhaitez pas disposer des services ci-dessus.

Lumière sur… Non, on ne va pas reprendre les slogans de M6

Voici donc un petit article pour vous informer de la mise en place d’un plugin Wordpress, visible dans la barre de droite : “Liens express“.

Ce plugin est directement relié à mon compte del.icio.us et affiche mes derniers liens.
Il sert principalement à vous montrer les sites qui m’ont tapés dans l’œil, sans pour autant faire un article qui serai un peu Too much.

Voici le flux RSS des liens.

Et pour télécharger le plugin, il faut vous rendre sur Jinlabs.com qui d’ailleurs propose d’autres plugins sociaux.

Pourquoi a t-on un site où l’on s’investit ? Il existe autant de raison que de webmestre, mais tout le monde à la même pré-occupation : être visible, et se démarquer.

Ici, nous ne ferons aucune analyse technique, nous verrons par contre quels sont les points qu’il ne faut pas négliger et ceux que vous pouvez approfondir pour aller un peu plus loin.
Malgré une volonté de généricité, Wordpress sera le support de cet article, mais les conseils restent de mises pour tout type de CMS. De même que Google servira de référence.

Les balises meta : title, keyword, description

Elles sont souvent mises de coté, et beaucoup de professionnels ne les considèrent pas comme “importante”.
Il faut en fait savoir deux choses avant de dire qu’elles ne sont pas nécessaire.

• Les balises Title et Description seront les représentant de votre site lorsque les utilisateurs utiliseront un moteur de recherche. A noter aussi, que si la description n’est pas définit explicitement, Google prendra un extrait de la page qu’il analyse. A vous de faire des introductions pertinentes
• Concernant keyword, personne n’est en mesure de dire si elle est encore utilisée, en effet les algorithmes qui analysent vos pages sont de plus en plus évolués et permettent de ressortir les idées importantes.

Deux constats, un point important :
Premièrement, Title et Description sont des balises très importantes pour l’accroche du visiteur à partir des moteurs de recherche.
Le titre d’une page est aussi utilisé pour connaitre le contenu d’une page, penser donc à y mettre des mots “clés” et à faire ressortir une idée. Sur annuaire-info vous trouverez une page plus exhaustive contenant des conseils d’utilisation.

Deuxièmement, même si l’on est pas sur de l’intérêt de title, description et keyword sur le positionnement de votre page par rapport à vos concurrents: dans le doute… Il vaux mieux les remplir avec qualité.

Sous Wordpress, les titres sont formatés par défaut : “Nom du blog > Date > Titre”. Si vous pensez que le nom de votre site, et la date sont importants pour votre référencement, passer directement à la partie suivante…
Pour modifier cette aspect, vous pouvez modifier le fichier header.php de votre theme, ou mieux, utiliser un plugin : SEO Title Tag

Le plan du site : sitemap.xml ?

Le sitemap est utilisé par une grande partie des moteurs de recherche.
Son utilité est simple, permettre de donner des informations relatives à une page: date de modification, importance par rapport aux autres pages.
La priorité permet de “forcer” un peu la main à Google concernant la pertinence d’une page par rapport à une autre.

Ce fichier est généré automatiquement grâce à des plugins si vous utilisez un CMS. Mais par défaut, il n’est pas installé sur le plupart de ces systèmes.
Vous trouverez le plugin pour Wordpress ici.

Un autre meta / attribut : nofollow

Dans un précédent article, j’expliquais - succinctement - le nofollow.
Cette balise peut-être utilisée dans le header de votre page, ou en simple attribut pour un lien spécifique.
Il est utilisé pour empêcher les moteurs de recherche de suivre vos liens.
C’est un point important à vérifier lorsque vous venez de terminer l’installation de votre site.

Sous Wordpress, le nofollow est activé par défaut pour l’ensemble de votre site. Ce qui est dommage car cela signifie que le moteur de recherche s’arrêtera à votre page d’accueil.
Pour autoriser le parcours de votre site : Aller dans la partie d’administration -> Réglage -> Vie privée, et cocher : “Je souhaite que mon blog soit visible pour tous…”

URL de votre page

Étroitement lié à votre titre de page, l’URL permet aux moteurs de recherche d’en savoir un peu plus sur le contenu de votre page.
Comme pour le titre et la description, il faut donc le traiter avec soin.
Personnellement, j’essaie de reprendre les mots constituants mon titre de page en supprimant les articles indéfinis et autre conjonction.
Si vous avez construit un titre pertinent, votre URL contiendra des mots qui définissent de très près votre page.

Sous Wordpress, lorsque vous tapez votre titre, l’url se construit dynamiquement lorsque vous changez de case. Vous pouvez le modifier très facilement grâce à un lien se situant juste en dessous.
D’ailleurs, lorsque vous travaillez avec des brouillons, si vous changez le titre, il faudra modifier l’URL à la main. Sinon, vous pouvez vous retrouver avec un titre “Toto à la plage” et une url “mes_vacances_sur_un_bateau”.
Penser aussi à utiliser des liens simplifiés, en série sur la majorité des CMS, sous Wordpress, vous trouverez la configuration dans l’administration -> réglage -> permaliens.
J’utilise en structure personnalisé

/%category%/%postname%/

Edit 21/11/08 :
Modification de la structure personnalisée.

/%postname%/

Afficher la catégorie de l’article alors que les titres intègrent des titres explicites me semble un peu inutile vis-à-vis du référencement.
Par contre, il va y avoir un impact sur l’ensemble de mes backlinks… Mais comme il y a une page 404 de la mort, il n’y a aucune d’avoir peur des répercutions :p

Les outils à votre disposition

Voici une liste qui est loin - très loin - d’être exhaustive des outils que vous pouvez - devez ? - utiliser.

• Google Analytics
• Yahoo! Analytics : Inscription longue, mais gratuite
• Google Webmater Tools

De même, inscrivez-vous sur un maximum d’annuaire, et penser à enregistrer vos flux RSS.

Pour aller plus loin

Nous avons vu les principes de bases à mettre en place pour l’optimisation de votre référencement.
Ensuite, c’est à vous de faire un travail de fond, par exemple, n’hésiter pas à réagir sur d’autres sites, et même à intervenir pour la création d’article.
Penser à faire des échanges de lien, car si un visiteur se plait sur un site qui correspond au votre, il aimera surement découvrir vos articles.

Noter que nous n’avons nullement parler du PageRank et d’autres données inutiles. En effet, si vous arrivez à plaire à vos visiteurs, vous n’aurez pas besoin d’avoir un PR de 5 pour qu’ils reviennent, car ils le feront d’eux même; alors que l’inverse n’est pas vrai.

Vous trouverez énormément d’information sur le net concernant l’écritures d’un article et le maintient d’un blog qui feront de vos visiteurs des gens heureux.

Mais rendre la visite plaisante n’est pas le sujet de l’article, juste une suite logique que vous devez avoir aborder.

PS : Cette article est trop long, manque d’image et de pause. Heureusement qu’il n’est pas la pour rendre accro :p

Pour ceux qui ne sont pas au courant de la loi en débat : Hadopi.
Voici une parodie qui résume assez bien un - hypothétique - futur :

Salut c’est Dédé. Dédé, de Ca-va-couper.fr !

J’ai l’immense plaisir de t’annoncer qu’il y a 72 heures, tu t’es fait flasher à 9072 kbit/s en train de télécharger, illégalement, de la musique sur Internet.

Du coup, j’ai la joie et l’honneur de procéder à la coupure de ta connexion Internet. Quoi ? T’es pas content ?

Vous pouvez retrouver 4 autres épisodes sur Ca va couper.

Pour les nostalgiques des événements parus sur Internet, Internet Memes avec l’outil Dipity a repris plusieurs vidéos et images marquantes de l’ère du Web.

L’idée de Dipity c’est avant tout de présenté sous forme chronologique des évènements marqués d’une date.
Plutôt que de faire une page Web où chaque ligne représente une date, Dipity a repris les fresques chronologiques que l’on faisait à l’école en offrant la possibilité d’insérer du contenu multimédia - dont les videos

L’exemple de Internet Memes est pour la partie fun, mais d’autres utilisateurs plus sérieux l’utilisent à des fins d’actualité : Le Twitter de TechCrunch repris sur Dipity.

Au final,
Tout cette article pour revoir la vidéo qui suit… C’est donner cher de sa peau

Découvert sur SeoBook.com, SeoForFirefox est un plugin Firefox qui permet une analyse des sites que l’on fréquente, par la même occasion il enrichit les résultats Google.

L’article n’a pas pour but de vous faire installer un nouveau plugin, mais de faire une remarque - surement discuté ailleurs - concernant l’attribut rel et son option nofollow.
En effet, avec les options par défaut du plugin, les liens qui ont l’attribut rel égale à nofollow sont surlignés en rouge.

Cela m’a permis de constater que les liens vers les sites web renseigner dans les commentaires d’Armetiz sont justement en nofollow.
Et d’après mon analyse - très pertinente - cela s’applique à une grande partie des thèmes de nos blogs favoris.

Qu’est-ce que le nofollow :

L’attribut nofollow (de l’anglais no follow, ne pas suivre) sert à spécifier que le lien en question ne doit pas être pris en compte par un programme lisant la page, ceci afin de ne pas augmenter le PageRank

Personnellement, cette option a de suite été retirée, car elle est activée pour des raisons qui ne me concerne pas :

Éviter aux moteurs de recherche, de suivre les spams qui sont placés dans les commentaires des blogs sous administrés.

Sous Wordpress, le plugin Akismet protège efficacement des spams.

Alors pourquoi priver les visiteurs d’obtenir un backlink ? Pour en savoir plus sur le nofollow, vous avez le site dofollow.fr qui a été créer il y a quelque temps par Alexandre Villeneuve suite à des pulsions révolutionnaires

Et vous, follow ou nofollow ?

PS : Croisons les doigts, les spams sur ce blog ont disparus depuis 2 mois suite à l’installation d’Akismet.

PS2 : Le plugin SeoForFirefox n’est pas si mal que cela.