Mon essai routier… de la Tesla model 3

Et voilà c’est fait ! Je l’ai essayé pour vrai ! Un rendez-vous avec le concessionnaire de Québec et hop! J’ai fait un beau tour de ville pour découvrir ce véhicule qui va bientôt arpenter les routes du Québec par milliers.

Première impression : Wow ! Oui je vous averti, je suis tombé sous le charme.

Évidemment vous allez dire, c’était prévisible…

tesla model 3a

Une Tesla quand même ! Mais vraiment, de l’extérieur c’est un véhicule qui semble normal…

La photo ne lui rend pas hommage, elle est vraiment très belle et raffinée.

Encore une fois, les poignées surprennent, chaque modèle a des poignées différentes. Celles-ci deviennent de genres de leviers très facile à utiliser tout en demeurant à l’intérieur de la portière alors elle ne dépassent pas.

Mais à l’intérieur… c’est une toute autre planète !

Tesla-Model-3-interior-edmunds

Pas de boutons, ou presque ! Pas de cadrans, aucun ! Juste un gigantesque écran tactile au centre de la voiture et un volant qui ne comporte que deux boutons qui ressemblent à ceux d’une manette de XBOX. Sièges en cuir, ajustements électriques et très confortables. Ce qui attire l’attention c’est la visibilité, c’est géant. Les fenêtres sont larges sans obstructions et l’absence de tableau de bord libère le champs de vision. J’adore !

L’écran tactile est vraiment efficace, les contrôles assez grands pour mes doigts et les informations assez visibles. Le positionnement est parfait, on ne cherche pas d’information et on n’a pas besoin de quitter la route des yeux pour savoir à quelle vitesse on roule. Du moins pas plus qu’avec un cadran habituel.

Le pilote automatique… un régulateur de vitesse moderne, sur les stéroides!

On entre sur l’autoroute Robert-Bourassa et je me positionne sur la voie centrale. J’active le pilote automatique avec le bras de vitesse (deux petits coups vers le bas) et hop ! Un indicateur allume sur l’écran et on sens la prise de contrôle du volant et des pédales. Non seulement il va garder la vitesse et s’ajuster selon le véhicule qui est devant mais il va tourner et suivre la voie correctement. Au moment où je veux changer de voie, un simple coup sur le bras de l’indicateur vers la gauche et voila! La voiture attends quelques temps, valide qu’aucun véhicule ou obstacle n’est présent et il change de voie. C’est magique ! Plus loin sur cet autoroute, on arrive à un feux de circulation. Je ne freine pas, le pilote automatique s’en occupe. Il suit le véhicule devant et il ralenti adéquatement jusqu’à l’arrêt complet. AU feu vert, le véhicule repars en suivant celui qui me précède. Rien de spécial vous direz ? et bien après le feux de circulation la limite de vitesse change pour 50 km/h, alors malgré que j’ai enclenché le régulateur à 90 avec une règle de distance de 3 véhicules, il laisse celui qui me précède aller plus vite et limite sa vitesse à 60 km/h puisqu’un réglage de la voiture indique de ne pas dépasser 10 au dessus de la limite. Ok, il ne pourra pas arrêter au Stop ni à la lumière rouge si aucun véhicule n’est devant moi et il ne m’empêchera pas de rouler trop vite ou de brûler une rouge mais c’est quand même pas mal HOT.

Le vrai pilote automatique n’est pas encore légal au Canada alors je n’ai pas pu l’expérimenter. Mais l’autopilote amélioré est déjà un grand pas en avant.

Finalement

Quoi dire de plus, le véhicule est silencieux, la tenue de route est de très haut de gamme (oui je l’ai testé et c’est extra!) et l’espace dans l’habitacle est pas mal bien pour une petite berline. Si je compare avec mon Élantra Sport 2017 je dirais que c’est similaire en terme d’espace intérieur.

Pour le prix, c’est 64 100$ de base, pour le modèle à propulsion avec la batterie longue durée et les options de haut de gamme. Pour le moment c’est le modèle le moins cher. La petite batterie sera disponible en 2019 et on n’a pas d’indication sur son prix. La « grosse batterie » offre une autonomie de 500Km, une accélération 0 à 100 en 5,4 secondes et une vitesse de pointe de 225km/h. Aussi pour 20 000$ de plus, il y a le modèle haute performance avec 2 moteurs (4 roues motrices) et une accélération en 3,7 secondes. Tesla ne fait pas dans la négociation et ne rachète pas votre véhicule. Les conseillers ne sont pas des vendeurs, ce qui change aussi la dynamique. L’option d’autopilote amélioré coûte 6 600$ et le pilote automatique complet un 4000$ de plus (malgré qu’il ne sera pas activé puisque pas encore permis au Canada). On ajoute 1300$ de frais de livraison et de documentation et un taux de financement 96 mois à 4,6%.

Verdict

Alors, est-ce que je paierais plus de 800$ par mois pour ce véhicule ? Oui si j’en avais le moyen et si j’étais en magasinage pour un nouveau char. Mais non, simplement parce que « économiquement » je ne peux pas me le justifier. Toutefois, si quelqu’un veux m’acheter mon Élantra Sport avec Tech package au prix extraordinaire de 25 000$… Je vais immédiatement passez ma commande pour un Modèle 3.

Mon cœur de Geek ne pourra pas résister bien longtemps…

Protégez vos routeurs résidentiels

…voir mise à jour en bas de l’article…

En mai 2018, un logiciel malveillant a réussi à prendre le contrôle de millions de routeurs résidentiels. Bien que la faiblesse exploitée touche également des routeurs en entreprise, ceux-ci ont habituellement des équipes spécialisées qui prendront en mai la situation.

Il s’appelle VPNFilter et permet à un réseau de « botnets » mais surtout de collecter une multitude de renseignements sur les transactions qui y transitent. Toutefois, ce qui est le plus inquiétant est sa capacité de carrément « détruire » un routeur en effaçant complètement sa mémoire flash. La seule option si jamais cela arrive est de le remplacer.

Mais à la maison, que doit-on faire ?

Première étape, redémarrer vos routeurs. Et oui, si le logiciel malveillant est en opération, un simple redémarrage va l’arrêter. Mais il est fort possible que l’infection soit assez avancée qu’il sera ré-infecté presque immédiatement.

« Le FBI recommande à tout propriétaire de routeurs de bureau et domestique de redémarrer les appareils pour perturber temporairement le malware et faciliter l’identification potentielle des appareils infectés » écrit le FBI dans un communiqué.

La liste des manufacturiers affectés est longue : ASUS, D-Link, Huawei, Linksys, Microtik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel, et ZTE.

Deuxième étape, mettre à jour le micrologiciel du routeur (on l’appelle plus souvent « firmware »). Normalement, c’est une opération simple qui se fait par la console d’administration de votre routeur. Vous pourrez télécharger la nouvelle version sur le site web du manufacturier de votre routeur. Ceci nécessitera un autre redémarrage et normalement la faille de sécurité sera corrigée.

Bonus : pendant que vous êtes dans la console d’administration, changez son mot de passe… Surtout si vous ne l’avez jamais changé.

Vous attendez quoi ? Faites-le immédiatement… ou ce soir à la maison.

…votre geek, Christian

—————————–  MISE À JOUR ——————————————

Les recherches ont démontré que la menace continue de croitre… et oui, la liste des appareils à risque continue à croitre… Aussi, la liste des appareils membre du « botnet » continue à croitre.

Le redémarrage du routeur ne fait pas grand chose en fait, alors le seul remède est finalement des mise à jour de firmware par les manufacturiers…

La grande nouveauté est que le module « stage 3 » permet au virus de s’effacer mais en passant il cause la destruction de l’appareil.

Je copie ici la liste provenant du site de TalosIntelligence  (https://blog.talosintelligence.com/2018/06/vpnfilter-update.html) qui est la firme qui a détecté et documenté la faille.

ASUS DEVICES:

RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-LINK DEVICES:

DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

HUAWEI DEVICES:

HG8245 (new)

LINKSYS DEVICES:

E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

MIKROTIK DEVICES:

CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

NETGEAR DEVICES:

DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP DEVICES:

TS251
TS439 Pro
Other QNAP NAS devices running QTS software

TP-LINK DEVICES:

R600VPN
TL-WR741ND (new)
TL-WR841N (new)

UBIQUITI DEVICES:

NSM2 (new)
PBE M5 (new)

UPVEL DEVICES:

Unknown Models* (new)

ZTE DEVICES:

ZXHN H108N (new)

Facebook Workplace : un réseau social pour l’entreprise : POURQUOI ?

Je vous entends déjà demander : « Mais à quoi cela peut bien servir ? » Facebook est déjà utilisé dans plusieurs entreprises dans sa forme actuelle, avec des groupes privés alors en quoi une version dédiée à l’entreprise peut-elle être plus appropriée ?

Il y a plusieurs aspects de Workplace qui peuvent séduire : plusieurs souhaitent garder une séparation entre leur vie privée et leur vie professionnelle. Ainsi, c’est une toute autre identité qui est créée dans Workplace, un autre compte (avec votre adresse professionnelle) et un nouveau mot de passe (voir autre article : les mots de passe… quel cauchemar!). Aussi lorsqu’un employé quitte l’entreprise ses accès peuvent être révoqués.

Ce que Facebook souhaite accomplir ici c’est d’attaquer le marché des « intranets« , des sites internes de communications pour les employés. On y dépose des documents corporatifs et entretient des sections selon les besoins de nos employés. Son plus grand rival serait donc SharePoint, mais les outils sont tellement différents qu’il est encore difficile d’y voir clair. De nos jours la tendance est orientée vers une communication plus active que les sites traditionnellement statiques. Les outils de Facebook que sont les Groupes, les pages personnelles, les pages spécialisées et les conversation par « chat » ou les appels audio et vidéos sont très attrayant pour certaines organisations.

Ils ne sont pas les premiers à attaquer ce marché, des outils comme Slack ou HipChat (Atlassian) ou même Chatter (SalesForce) permettent d’améliorer la communication entre collègues. J’ajouterais aussi des outils comme PureCloud de Interactive Intelligence dans la liste des compétiteurs, puisque ce sont toutes des bonnes idées pour aider les entreprises à mieux contrôler les outils de collaboration et de communication.

Le plus grand avantage de Workplace, c’est FaceBook. Tout le monde connait FaceBook et sait l’utiliser, ce sera donc moins intimidant de passer à Workplace. Mais c’est aussi son plus grand rival, comment donner confiance aux employeurs que ce ne deviendra pas un lieu d’échanges non-professionnels et une perte de temps?

Environ 95% des fonctions de FaceBook se retrouvent dans Workplace incluant les groupes, les événements le chat et les videos (Messenger). L’outil fonctionne dans un navigateur comme FaceBook mais aussi dans son application mobile similaire à celle traditionnelle. J’imagine donc très bien une entreprise utiliser cet outil pour diffuser ses messages internes comme les nouvelles embauches par exemple. La section événements permet d’améliorer (ou simplifier) la gestion des inscriptions pour les activités comme des rencontres corporatives ou des formations. La création de pages dédiées aux fonctions comme les RH ou à des projets permet clairement de remplacer des SharePoint. La fonction de messagerie instantanée est aussi fort intéressante pour éviter d’investir dans les outils comme Slack ou Skype for Business. 

Côté tarification, le modèle est intéressant. Le prix de départ est à 3$ par employé actif par mois et il baisse selon la taille de l’entreprise. Et le mot actif est important, vous ne payez que pour les employés qui se sont connectés au moins 1 fois dans le système dans le mois. Si on le compare à Sharepoint, cette offre est très attrayante, une installation de Sharepoint avec les licences coûtera plusieurs dizaines de milliers de dollars, ici on trouve donc un outil de grande entreprise à un tarif abordable. 

Pour terminer, l’offre actuelle donne 90 jours d’essai gratuit, alors si vous êtes prêts àˋvous doter d’un Intranet, essayez-le maintenant. Je vous suggère de même si vous devez remplacer ou rénover votre intranet actuel. Mais comme pour pour tout projet, calculez et essayez avant d’investir. Facebook Workplace n’est pas un gadget, c’est un outil sérieux qui va transformer la communication dans votre entreprise.

au plaisir, 

Votre Geek, Christian Boulet 
…live long and prosper…

 

Pourquoi utiliser les conversations secrètes dans Facebook Messenger ?

Si vous ne savez pas de quoi je parle ne vous inquiétez pas je vais l’expliquer.

Facebook a lancé cette semaine une nouvelle fonction de son outil de clavardage mobile (Facebook Mesenger) qui permet de rendre « vraiment secrètes » nos conversations.

Mais sommes-nous en train de dire que nos conversation de clavardage ne sont pas privées sans cette fonction ? Peut-être que oui et probablement que non… Rappelez-vous le scandale iCloud dans lequel des célébrités ont vu des photos « privées » se faire voler et rendre publiques, c’est un peu le même scénario qui se poursuit.

Je vais vous dresser ici un portrait globale de la situation:

  1. Facebook est gratuit: il ne faut pas oublier que Facebook est une entreprise, et elle doit faire des profits. Comment font-ils pour payer les programmeurs derrières toutes ces beaux outils? Et bien ils vendent des publicités. Celles-ci sont très ciblées en fonction de ce que Facebook connait de vous.
  2. Les gouvernements n’aiment pas l’encryption: tous les états sont entrain de légiférer pour tenter de forcer les entreprises à leur livrer des contenus si ils jugent que la « sécurité nationale » est en danger. Facebook comme Google et Microsoft se battent becs et ongles contre ceci, si les clients perdent confiance en leur protection ils n’utiliseront plus leurs outils.
  3. La vie privée sur le Net est une illusion: nous sommes tous victimes de cette illusion, nous utilisons des services et des logiciels en pensant que nos informations n’ont pas de valeur et qu’elles sont protégées. Mais c’est faut, tout ce que vous faites sur le Net a une valeur. Les secondes que vous passez à lire ce billet ont une valeur pour moi, pour Google et pour Facebook. Elles nous parlent de vos intérêt mais elle nous dit aussi quel navigateur vous utilisez ( Chrome, Firefox, Internet Explorer ou Edge?), elles nous disent quelle version de Windows vous exécutez et si vous utilisez votre téléphone, tablette ou ordinateur pour le faire. Mais en plus de tout cela nous savons quelles sont les autres pages que vous avez lues, si vous le faites de la maison, sur la route ou du travail ? Ce ne sont pas des humains qui analysent ces données mais des machines. Les serveurs derrières les outils que vous utilisez tous les jours stockent des milliards de données et ils les analysent. Mais pourquoi ? Pour vous connaitre, pour vous afficher les bonne publicités entre autres. Et on tourne en rond… Tout ce que vous faites n’est pas nécessairement public mais pas privé non plus. Quand vous avez une conversation dans votre salon elle est privée, mais sur un banc de parc elle l’est moins, le banc de parc c’est Facebook.
  4. Le danger est vraiment présent: la tendance des dernière années est vraiment aux fraudes par « social engineering » et par « phishing ». Le seul vrai moyen de se protéger est de bien le comprendre et de demeurer vigilant. En fait personne n’est vraiment à l’abri des tentatives de fraudes, et plus on utilise d’outils sophistiqués pour protéger notre identité moins nous sommes vulnérables. Les mécanismes d’encodage (encryption) sont essentiels, vous utilisez fréquemment HTTPS sans le savoir, et c’est important.

Commencez-vous un peu à comprendre pourquoi Facebook lance cette option ? Je tiens à préciser qu’ils ne sont pas les premiers à le faire, il y en a déjà plusieurs autres dans ce marché, Google a annoncé « Allo » en juin dernier et ils viennent de le lancer au Canada (2 semaines avant Facebook) mais ce sont pour la plupart des produits autonomes qui n’ont pas beaucoup de clientèle. Facebook a cette grande avance sur les autres: les utilisateurs en millions.

Alors quoi faire avec cet outil ? C’est dans une conversation secrète que vous échangerez un mot de passe, un numéro de carte de crédit ou des blagues que vous ne souhaitez pas laisser traîner dans le parc. En plus de vraiment encoder la conversation de manière à ce que personne d’autre que vous et votre interlocuteur puisse la voir, vous pouvez aussi rendre le message temporel avec un délai « d’auto-destruction »: 10 secondes après l’avoir vu, il disparaît.

Alors il ne reste qu’à l’essayer et à se rappeler qu’elle existe le jour où une situation s’y prêtera.

Vous trouverez cette option dans Facebook Messenger sur votre appareil Android ou iOs, une fois une conversation ouverte, cliquez sur le « i » d’information pour activer l’option « conversation secrète ».

Je pense que ceci pourrait devenir intéressant pour des entreprises qui voudraient avoir une conversation avec vous et échanger des renseignements confidentiels par exemple.

C’est à suivre !

 

Comment relancer mon blog?

Je veux relancer mon blog mais j’hésites encore. Au fil des années ce Blog a pris plusieurs formes, à chaque itération j’étais motivé et j’ai publié quelques billets qui ont eu pas mal de succès. Mais à chaque fois, je suis incapable de suivre le ryhtme. Je finis par abandonner pour plusieurs raisons, et elles sont toujours les mêmes…

  • Manque de temps
  • Attendre l’article parfait
  • Incapable de choisir les sujets
  • Motivation en baisse

Je veux donc trouver un moyen de ne pas répéter les mêmes erreurs. Pour ce faire j’ai besoin d’un audience qui s’engage. J’ai besoin de « conversations » au lieu de simplement m’exprimer je veux discuter avec vous. Soyez sans craintes nos conversations n’ont pas toutes à être publiques, certaines le seront si vous le faites directement sur ce blog. Si vous m’écrivez en privé je respecterai votre souhait.

Alors pour commencer je vous demande : de quoi voulez vous que je parles la semaine prochaine ?  Vous le savez tous les sujets technos m’intéressent, que ce soit de Windows 10, de sécurité, de voitures électriques, d’imprimantes 3d, de domotique et même de films ou séries télévisées parce que je suis un vrai Geek et je l’assume pleinement.

Allez ! influencez-moi !!

Le surface pro 4, est-il recommandé ?

D’entrée de jeu, je dois vous le dire, j’écris ce billet avec un surface pro 3. Le modèle de 2014 est toujours excellent, j’ai fait la mise à jour vers Windows 10 et il demeure toujours le portable le plus « trippant » que j’ai eu.

La version 2015 (le surface pro 4) est encore plus intéressante, l’écran est un peu plus grand même si le boîtier ne l’est pas (maintenant 12,3pouces, avant 12,0po). C’est donc que l’espace noir autour de l’écran est plus mince. Cet écran est aussi plus précis avec une résolution impressionnante de 2,736 x 1,824 pixels (ma pro 3 n’a que 2160 x 1440 pixels). En bonus elle est aussi un peu plus légère, 1,69 livres.

Côté puissance, on reprochait à la pro 3 l’utilisation de la 4e génération des processeurs Intel, ici on fait le saut dans le présent avec la 6e génération. Les impacts sont très visibles sur la vitesse mais aussi sur l’économie d’énergie. On ne peut toutefois tirer de conclusion trop hâtive puisque la Pro 3 promettait un 9 heures d’autonomie mais après un an je ne peux faire plus que 4.

Les accessoires ont aussi eu une bonne mise à jour, le clavier est très différent, les touches sont maintenant espacées et le pavé tactile plus précis (il est maintant fait de verre avec 1024 points sensibles à la pressions) qui permet de tirer profit des « gestures » sous Windows 10 en plus du capteur d’empruntes digitales pour utiliser Windows Hello (connexion par emprunte). Le crayon est plus précis et inclus maintenant une « efface » et des embouts interchangeables pour peindre ou pour écrire.

La bonne nouvelle pour les usagers de la Pro 3 qui voudraient passer à la 4, tous les accessoires sont encore compatibles, même la station de base (docking station). Mais attention, il n’est pas toujours simple de rapidement déterminer si l’accessoire est celui de la version 3 ou 4.

Petit conseil, si vous en avez les moyens, évitez les éditions avec seulement 4 GB de RAM. Ce n’est pas majeur mais je remarque que c’est souvent un peu difficile si vous utilisez plusieurs applications en simultané, Windows 10 fonctionne vraiment mieux avec 8GB.

Voici donc mon opinion, la SurfacePro est une ligne de produit extraordinaire qui réussi à inventer un nouveau format d’appareil. C’est la tablette professionnelle avec la puissance du portable. C’est une portable ultra-transportable avec le comportement tactile d’une tablette. Les iPads et les tablettes Android ne sont pas de taille pour les usages professionnels. Aucune des autres tablettes ne peut offrir ce niveau d’intégration. Évidemment c’est plus cher qu’un iPad, mais très souvent le gestionnaire qui s’achète une tablette devra conserver son portable pour ses tâches vraiment plus complexes comme accéder à son système comptable, monter un tableau croisé dynamique dans Excel ou simplement pour être efficace avec une souris.

Pour conclure, n’hésitez pas si ce produit est dans la gamme de prix que vous êtes disposés à payer pour un portable, entre 1300$ et 2200$. Le clavier est un accessoire essentiel à prévoir tandis que le crayon est inclut.

Les mots de passe… quel cauchemar !

—  Cet article a originalement été publié sur le site « www.multiforce.com » —

Si vous suivez un temps soit peu les nouvelles de l’informatique, vous entendez parler de sécurité presque chaque jour, des failles majeures, des sites piratés, des entreprises en danger, des nouvelles méthodes pour piéger des innocents, et même des antivirus complètement inutiles selon certains. Votre entreprise n’est pas de la taille des Target, Sony ou Chase Morgan, mais vous pouvez quand même vous poser des questions.

Que faire ? Comment nous protéger ?

Et surtout pourquoi nous protéger ? En fait plusieurs me demandent « de quoi » me protéger ?

La première étape, selon moi,  est de comprendre pourquoi les mots de passe sont si importants. Dans le passé, les dossiers importants étaient « classés » dans un « classeur » avec verrou. Ce classeur était aussi dans une pièce barrée, dans les locaux de l’entreprise qui étaient aussi verrouillés. On se protégeait des voleurs mais aussi des employés malveillants. Parfois, on ajoutait des agents de sécurité et une surveillance par caméra pour intimider ceux qui auraient de mauvaises intentions.  Sont arrivés ensuite de multiples moyens de protection électroniques tous de plus en plus complexes. Enfin sont apparus les dossiers numériques et toutes ces méthodes devenaient caduques. On veut donc s’assurer que seulement les personnes autorisées aient accès à nos dossiers. Pour ce faite on utilise une identité numérique : le code utilisateur. Mais seule cette information ne protège pas contre les accès interdits, il faut valider que la personne qui utilise ce code d’accès est bel et bien la bonne, d’où le fameux mot de passe. Il a la particularité d’être un secret que seul l’utilisateur peut connaitre, normalement du moins. Dans un bon système, même le serveur ne connait pas le mot de passe, il connait l’emprunte du mot de passe et il la comparera à celle du mot de passe produit par celui qui demande accès. C’est une excellente protection, mais elle peut être insuffisante. Dans certains cas, on demande aussi un deuxième facteur d’authentification, un mot de passe à usage unique (comme les fameux securID de RSA ou le code du Google Authenticator), ou une question secrète par exemple.  Ce deuxième facteur permet de garantir une meilleure protection advenant le cas où le mot de passe serait compromis. Présentement tous les sites vraiment sérieux imposent ce type de sécurité, il faut prendre au sérieux ces méthodes, elles peuvent sauver votre identité.

Au cours des dernières années, plusieurs entreprises et organismes gouvernementaux de partout sur la planète ont été piratés, souvent la liste complète des code d’utilisateurs et des mots de passe a été volée. Systématiquement, ces entreprises incitent leurs utilisateurs à remplacer leurs mots de passe rapidement. Votre réflexe devrait aussi être de remplacer ce mot de passe partout où il a été utilisé. Un bon pirate saura créer un programme capable de tester votre code et mot de passe sur tous les sites web connus, comme facebook, gmail, twitter, Netflix et même tou.tv… Son objectif est de rassembler toute l’information nécessaire pour voler votre identité et ensuite commettre d’autres larcins en votre nom ou pire encore faire des transactions en votre nom.

Maintenant que nous connaissons le pourquoi, analysons comment se protéger:

Sur le plan personnel

Vous devez protéger à tout prix votre identité, et vos renseignements financiers…

Il y a bien sûr les « virus traditionnels », ceux qui tentent de briser vos équipements, ou qui le font par erreur… Mais ils sont devenus marginaux, il s’agit d’installer un antivirus et de le maintenir à jour et vous êtes protégés. Ce qui n’est pas le cas pour le vol d’identité. Pour cela vous avez besoin d’être vigilant, allumé, prudent et surtout de comprendre pourquoi et comment.

La première règle que je vous propose est de « Ne faire confiance à personne » à priori, ou TNO (Trust no one) tel qu’enseigné par M. Steeve Gibson de Gibson Research (responsable du podcast Security Now). Ce principe signifie que vous devez prendre les moyens de vous protéger en tout temps parce que personne n’a encore gagné votre confiance, et que rares seront ceux qui la gagneront.

On commence habituellement par vos mots de passe. Plusieurs techniques ou règles peuvent être utilisés, je vous expose deux profils, qui pourront vous inspirer.

Le prudent: Il se choisi un nombre limité de mots de passe, par exemple 3 qui seront utilisé selon le degré de protection souhaité pour les sites. Le nombre limité de mots de passe lui simplifie la tâche et les règles sur leur utilisation limite les dégâts. Il utilisera le premier mot de passe pour tous les sites qui ne contiennent pas de renseignements personnels (ou vraiment très peu) comme Twittter ou Pinterest. Il en utilisera un autre pour les sites moyennement à risque comme Facebook et Gmail. Et le troisième sera utilisé pour son institution financière, je recommande même d’en utiliser un distinct pour chaque banque ou service de paiement comme Paypal. Plus un site a besoin d’être sécurisé, plus le mot de passe sera complexe et plus sera limité son nombre d’utilisation. Cette méthode a l’avantage de réduire les risques, si un des sites peu fiable devait être piraté il ne serait pas inquiet que le criminel puisse utiliser le même mot de passe pour entrer sur son site bancaire. En ne faisant pas confiance à la majorité des sites, vous protégez en même temps vos renseignements importants.

Le paranoïaque: Il n’utilisera jamais deux fois un même mot de passe… Deux techniques peuvent être utilisées, concevoir un mot de passe comprenant une base et les 4 derniers caractères du site web (par exemple « orce » pour le site de Multiforce.com et « b0uBou » comme base). L’autre technique implique l’utilisation d’un outil de gestion des mots de passe comme Lastpass.com, qui offre une voûte sécuritaire pour stocker les mots de passe et un petit outil pour générer les mots de passe sécurisés, mais surtout pour les retrouver lorsqu’un site connu est visité. C’est cette dernière que j’utilise.

Quoi faire avec les sites qui nous demandent de nous identifier en utilisant un service externe comme Trello qui me permet de m’authentifier en utilisant Google. Je vous recommande de le faire, à condition que le site en question (Google ou Facebook habituellement) soit protégé par un excellent mot de passe, et si vous êtes un peu paranoïaque, utilisez l’authentification à deux facteurs. Vous aurez l’esprit tranquille.


Sur le plan professionnel

Pour ce point, je devrai couvrir deux cas de figure, celui de l’employé et celui de l’employeur…Simplement parce qu’ils sont parfois en conflits… Le principe du TNO s’applique encore plus, parce que les renseignements à protéger sont aussi corporatifs. Et toutes les règles personnelles s’appliquent aussi ici.

L’employé : Il a la responsabilité de protéger les renseignement important dont il a la charge mais aussi de s’assurer de ne pas, par inadvertance ou imprudence, laisser passer des informations qui devraient demeurer privées. Je prends souvent en exemple, les dossiers de santé. Une employée qui a la charge de transporter et de classer les dossiers de santé des usagers ne doit pas laisser traîner une pile de dossiers sur le coin du bureau, surtout s’il est accessible par les passants. Ce sont des renseignements personnels importants à protéger. Les mêmes règles doivent s’appliquer dans le monde numérique. Il est clairement dangereux de partager le mot de passe d’un classeur protégé entre plusieurs individus, encore pire de laisser une « post it » sur l’écran avec le mot de passe clairement rédigé…Vous le savez déjà mais plusieurs le font encore. Chaque employé a la responsabilité de protéger des renseignements, vous ne voulez pas que, par vos actions (ou inactions), les renseignements sur votre salaire se retrouvent sur « les Internets »… Il faut dont demeurer vigilant, respecter les règles de remplacement de mot de passe, respecter les politique de l’entreprise pour le classement des dossiers et finalement : lorsque vous utilisez Internet à votre lieu de travail, ne prenez pas de risques, ne visitez pas de sites à haut risque et ne faites confiance à personne.

L’employeur : Il doit protéger les informations personnelles de ses employé, c’est une responsabilité importante. Et il doit aussi protéger certaines informations d’affaires, comme des listes de clients, des dessins techniques, des contrats et des documents importants. On souhaite les protéger contre le vol mais aussi contre la destruction ou la modification. Plusieurs ouvrages traitent déjà de diverses méthodes de protection à appliquer selon les scénarios. La haute direction doit être au fait des risques et doit exiger que les méthodes nécessaires soient appliquées et documentées. La première étape consiste souvent à identifier les catégories d’actifs à risques. Par « actif », on parle de biens, qui peuvent être matériels et numériques. Le classeur physique des dossiers des clients est un actif à risque, le système comptable dans lequel est entré les informations de salaires de nos employés est aussi un actif à risque. Une fois les risques identifiés, les mesures de protection viennent souvent d’elles-même. Il s’agit de les mettre en place et de valider régulièrement qu’elles sont toujours respectées et appropriées. Il faut aussi responsabiliser nos employés, leur faire comprendre les risques et leur donner les moyens de mettre en place les protections adéquates.


En conclusion

Je le répéterai toujours, soyez vigilants ! Les criminels utilisent depuis toujours des moyens de plus en plus complexes pour rassembler des informations les aidant à commettre leurs crimes. Le « social engineering » est une méthode très connue qui permet à quelqu’un de jouer la comédie pour obtenir des informations importantes. Je vous suggère fortement de lire « The art of deception » par Kevin D. Mitnick, un livre très intéressant sur cette technique…

Et maintenant, quelle sera votre méthode de protection de vos mots de passe ??

Christian Boulet, Votre directeur TI