Le rendez-vous Tech #94 - Gloubiboulga Tech
Au sommaire de cet épisode
Dans cet épisode, Jeff Clavier et Patrick Beja vous parlent de :
- Le verdict Apple vs Samsung.
- La faiblesse des mots de passe.
- Les changements d’API de Twitter.
- La chute de l’action Facebook.
Et le reste…
Liens de l’émission :
- Passwords Under Assault
- La chute de l’action Facebook
- Le reddit du Rendez-vous Tech.
Générique de l’émission:
- Comme pour tous les podcast de Patrick, le générique est composée par son frère Daniel.
Où nous retrouver
- Jeff Clavier est sur SoftTechVC, et c'est @jeff sur Twitter.
- Patrick Beja anime Le Rdv Tech, AppLoad, et son blog. Il est aussi sur Google+, Twitter et Facebook.
35 Commentaires
Pas de lien pour le télécharger ?
Désolé, c’est corrigé !
Est ce que vous savez que jeff clavier a un ton totalement inaudible
Il a effectivement eu des soucis de connexion, et le son est de très mauvaise qualité (mais pas non plus totalement inaudible!
, sincèrement désolé.
C’est aussi sa voix. J’écoute votre podcast pour apprendre la langue française. (Je suis un anglophone qui habite en Australie.) Votre voix, Patrick, est très claire. Il est un plaisir de vous écouter. Mais celle de Jeff, c’est vraiment difficile pour moi à comprendre. Le problème à mon avis (à part ma faiblesse en français bien sûr) est qu’il utilise trop de “vocal fry”. Il l’utilise constamment ! Veuillez regarder cette vidéo pour une explication de vocal fry : https://www.youtube.com/watch?v=UsE5mysfZsY
Tout à fait d’accord avec toi. Cela fait plus de 3 ans que j’écoute ce podcast, et à chaque épisode où intervient Jeff, j’écoute le podcast en plusieurs parties parce-que comme dit dans la vidéo “It’s completely irritating!”. Pire encore, ça donne une migraine de fou.
Donc, un petit effort de la part de Jeff serait le bienvenu car ce qu’il dit est très intéressant et pertinent (sauf que sa fanboy-mania le prend :p).
P.S. Je suis sûr qu’il a dû entendre ça des milliers de fois.
Petite intervention en cours d’écoute (trajet de 30mn ^_^) sur le sujet du procès des brevets.
Au delà des remarques très intéressantes sur l’innovation qui devra découler des concurrents d’Apple suite à ce précédent, ma crainte est que la course à l’innovation ne se verrouille de plus en plus sur toutes ces petits brevets logiciels (pinch to zoom, slide to unlock, ou les trucs du genre 1-click to buy de chez Amazon), si bien qu’on les compétiteurs se retrouvent limités dès le départs sur ce qu’ils peuvent ou ne peuvent pas utiliser dans leurs interfaces.
La protection industrielle, ok, je peux concevoir, mais les brevets logiciels, c’est vraiment une sacrée plaie.
mieux vaut regarder les innovations qui viennent d’Indes, de Chine ou encore SEA et Afrique.
Pas de brevet, une innovation beaucoup plus interessante.
(en particulier dans le secteur du payment)
Sur le thème des mots de passe, c’est un poil dommage de ne pas aborder la responsabilité des services qui stockent nos infos de connexion.
Ces derniers mois, on a eu pas mal d’exemple de fuite importante de base de donnée (PSN, LinkedIn, Blizzard, League of Legends, etc…), et le problème le plus inquiétant (sans parler du leak en lui-même) est que quasi à chaque fois les passwords étaient stockés de manière très peu fiable.
On a vu des bases non-saltées (ce qui est très grave et vraiment scandaleux en 2012), des bases qui utilisaient des algo de hash tel que MD5 ou SHA (ce qu’il ne faut absolument jamais faire, ces algos ne sont pas fait pour ça) ou encore des bases avec très peu d’itérations (la fonction de hash doit être appliquée des milliers de fois).
Les procédures qui permettent de stocker correctement les mots de passe existent, elles sont facilement trouvable sur Internet et sont très facile à mettre en place.
Il existe des librairies dans tous les langages de programmation pour le faire très facilement sans être un pro de la cryptographie.
Il faut utiliser un salt, unique par mot de passe, pour empêcher la création de rainbow tables.
MD5 et SHA* sont des algos optimisés pour être rapides à calculer, c’est intéressant dans leurs utilisations légitimes, mais pour de la crypto, il faut utiliser des algo spécifiques, crées pour être lents, de fait un algo 5 fois plus lent multiplie par 5 le temps qui met le cracker pour tester un mot de masse.
La fonction de hash doit être appliquée plusieurs milliers de fois, de fait si on l’applique 12345 fois, le calcul d’un mot de passe est 12345 fois plus long.
Ces simples mesures augmentent considérablement le temps que prend l’attaque d’une base et ce même si le pirate connait tous les détails.
Partant du principe qu’en général ces vols de base se font sans accès au code source, attaquer une base sans connaître précisément la fonction de hash utilisée, ni le nombre précis d’itérations, devient complètement rédhibitoire.
Ces mesures simples existent justement pour compenser l’évolution de la puissance de calcul de nos machines.
Bref, conseiller aux gens de mettre de longs mots de passe, c’est bien, faut le faire.
Mais la vraie première bonne étape serait que les services Internet appliquent les bases de la sécurité et communiquent la dessus.
Même si certains services ont effectivement une sécurité sérieuse et réelle, pour d’autres ça n’est pas le cas, et nous parlons très souvent de cet aspect du problème (nous l’avons d’ailleurs évoqué dans notre épisode précédent, ou nous parlions plus précisément de la sécurité). Mais ici ça n’était pas le sujet : la question était de détailler les raisons pour lesquels les mots de passe s’étaient vraiment “affaiblis” en moyenne ces dernières années. On ne peut pas couvrir tout le panorama à chaque épisode ; sur les deux derniers épisodes ont a du totaliser plus d’une heure sur la sécurité, je pense qu’on aura tout de même du mal à trouver une autre émission où on détaille autant les choses.
Rhhhhaaaa j’ai entamé la suite…
Chiffré!!!! et non pas crypté.
Mnémotechique : on applique un algo de chiffrement sur un mot de passe, on ne le met pas dans une crypte.
Aaarg ! Désolé ! J’espère que ce moyen mnémotechnique me permettra de ne plus faire l’erreur.
Heu !!!
De mémoire, dans le Gloubiboulga il y a de la banane. Non ?
Sinon cela fait plusieurs fois que tu mets en avant Lastpass.
Je n’utiliserai qu’un seul PC cela serait top mais entre le PC perso, le mac, le PC pro, l’iPhone, la tablette Android, le PC des amis, de la famille. Au final, je me connecte depuis une multitude de plateforme.
Lastpass gère-t-il cela ? Et comment ?
Merci
Lastpass synchronise tes données dans le cloud (avec accès sécurisé bien sur), tu peux donc y accéder depuis tout les pc que tu souhaite (si possible des pc avec un minimum de sécurité).
Pour les appareils mobile il faut par contre être “lastpass premium” ce qui coûte 12$/an.
Pour la synchronisation, soit ce sont vraiment tes pc et dans ce cas tu peux installer l’extensions sur tes différents navigateur de tes différentes machines, soit tu es invités quelque part et c’est pas vraiment ton pc (pc de tes amis) et dans ce cas tu te connecte sur le site web de lastpass pour avoir accès a ton compte sans laisser de trace sur le pc visité (un peu comme dropbox par exemple).
Si je comprends bien, il faut que j’installe le plugin pour chacun des navigateur de chacune des plateformes perso.
C’est lourd comme méthode.
Merci à toi, je vais regarder de plus près.
Si tu utilise chrome les extensions sont synchro en même temps que tes favoris et le reste.
Sinon je crois qu’il y a d’autre moyen (lastpass propose beaucoup de solution), par exemple je crois que tu peux faire une clé usb que tu peux lancé depuis n’importe quel pc avec un client lastpass portable.
Je ne comprend pas comment on peur associer “sécurité” et “Lastpass” (ou un autre gestionnaire de mot de passe).
Si je comprend bien, ce logiciel permet de stocker tous ses mots de passe et n’en avoir qu’un seul.
C’est pas du tout sécurisé alors! Il suffit d’en découvrir un seul pour avoir accès à tous les autres.
Il faut qu’on m’explique cet engouement pour les gestionnaires de mots de passe.
A moins de réussir à créer un mot de passe entièrement sécurisé par service que tu utilises et à te souvenir de chacun d’entre eux sans les notés quelque part, un password manager solidement crypté qui te crée des mots de passes aléatoires à la volée et dont tu retiens UN mot de passe vraiment solide (et que tu protèges par authentification double facteur pour faire bonne mesure) sera largement plus sécurisé que tous les systèmes du monde…
L’intérêt également c’est que Lastpass sécurise mieux tes mots de passes que les sites lambda…
Avec le chiffrement, la double authentification …
Je voudrais rebondir là dessus aussi. Tu disais toi même Patrick dans cette émission ou la dernière qu’aucun système n’était infaillible. Je n’oserais croire ce qui pourrait se passer si la BDD de LastPass venait a se faire pirater. J’ai du mal a voir l’avantage de tout stocker ses mots de passe dans le cloud finalement
Très juste, une solution offline comme Keepass est peut-être plus adaptée (genre si on la réplique sur un stockage réseau local pour chaque device du foyer / entreprise)
Pour la sécurité, je voudrait revenir à un moment ou patrick dit “il faut que les hacker ce soit introduit sur le site et prit des fichiers pour qu’ils puissent commence leur attaques en force brut, car les sites ne permettent pas trop de requête successive”.
C’est en partie faux et surtout sur les sites français.
justement je suis en ce moment en train de changer les mots de passes sur les sites où je suis inscrits et bien, beaucoup de site français notamment soit ne permettent pas le changement de mot de passe, soit applique des conditions ultra restrictive (on croirait rêver !) du genre “mot de passe entre 4 et 11 caractères sans caractères spéciaux”.
Le pire étant free ! Je cite :” Votre nouveau mot de passe doit comporter de six (6) à huit (8) caractères.”
entre 6 et 8 caractères ! ET le site de free permet autant de tentative de connexion que l’on veut ET l’identifiant d’une ligne est le numero de cette ligne.
Autrement dit, il suffit de trouver un numéro de téléphone chez free, puis de tester toutes les possibilités de mot de passe entre 6 et 8 caractères ce qui est très simple comme le disait Patrick pendant l’épisode.
Je parle pas non plus des autres sites comme ma fac qui ne permettent pas le changement de mot de passes…
Pour le procès Samsung vs Apple, cette décision est vraiment triste :
1) les fanboys Apple vont être plus déchaîné que jamais.
2) Ca va forcer Samsung a retirer certaines fonctions de leur téléphones (slide to unlock ou recherche universel par exemple) ce qui va pénaliser les utilisateurs finaux.
Je l’avais dis dans un autre article mais c’est vraiment dommage que depuis quelques années Apple ne soit plus capable d’innover et soit forcer d’interdire la concurrence pour ralentir sa perte de part de marché :/
Oulala… Ok, alors commençons par le début.
1) Je n’ai pas vu une seule personne avoir cette réaction ; tout ceux que j’ai entendu prennent cette décision avec beaucoup de recul et de circonspection, essayant d’analyser et de comprendre cette affaire compliquée. Les seuls qui annoncent les cris de joie des “fanboys Apple” sont… les “haters Apple”.
2) Les brevets en questions sont très précisément définis ; il n’est pas très difficile de faire un petit raccourci pour éviter de les enfreindre. D’ailleurs, Google a déjà intégré ces changements à ses dernières versions d’Android sans que les utilisateurs n’y voient une grande différence. Pour Samsung, le S3 a lui aussi beaucoup évolué depuis les S / S2, et tout le monde s’attend à ce que la requête d’Apple d’inclure le S3 dans le jugement soit rejeté par la juge.
Et enfin, excuse moi cher DDReaper, mais une phrase du genre “Apple n’est plus capable d’innover” est une ânerie énervée et rien d’autre. Que tu le veuilles ou non, l’industrie de l’informatique toute entière s’évertue à suivre Apple depuis la sortie de l’iPhone, de l’iPad et du Macbook Air (en les rattrapant souvent d’ailleurs, ce qui n’enlève pas le fait que c’est souvent Apple qui a montré cette direction nouvelle dans laquelle ils foncent). De plus, on peut innover ET faire des procès pour défendre ses droits en même temps, surtout quand le résultat du procès tend à dire que les accusés ont effectivement copié les brevets en question.
Et a noter que si on trouve que les brevets en question n’auraient pas du être attribués, c’est une toute autre question. Une question tout aussi valide, je l’entends bien, mais qui n’a plus rien à voir avec le processus légal dont on parle ici.
C’est de ce genre de commentaire hâtif dont je parlais au début de l’épisode, cher DD : la réaction viscérale et superficielle à une histoire très complexe qu’on ne maîtrise pas…
J’espère que tu ne m’en voudras pas de ce commentaire un peu brut, mais j’essaye de répondre honnêtement !
Je ne veux pas pas commencer un interminable débat mais je veux juste préciser ce que je pense, car malgré ma phrase un peu méchante envers Apple je ne suis pas qu’un gros troll.
*Concernant les fanboys, comme le disait Cédric, si ils sont déchaîné et sur les sites tech (theverge, clubic…) à la moindre news concernant samsung, le débat repart pour savoir qui a copier qui etc. Mais c’est pas grave la n’est pas vraiment la question.
*Débat plus intéressant, concernant les fonctionnalités, oui Samsung est ciblé en premier mais il y a certaines fonctionnalités ciblé par Apple (recherche Universel) qui cible Android beaucoup plus directement ce qui a obligé Google a retirer la fonction des Galaxy Nexus par exemple (dont le logiciel est 100% Google). Ça montre bien que les utilisateurs sont réellement entrain de perdre des fonctions puisqu’ils ont acheté un smartphone avec recherche universel et une mise à jour vient retirer cette fonctionnalité.
*Concernant le manque d’innovation d’Apple, je faisait référence à un autre commentaire que j’avais fais il y a peu. Je pense bien sur qu’Apple a innover avec l’iphone, l’ipod et l’ipad et je suis certain qu’il innovera avec leur TV. Pour les nouvel ligne de produits ils sont bon, mais ca fait quelques années qu’ils n’ont plus innové :
-iOS est clairement en retard sur les autre OS, il ne propose plus qu’une grille d’application avec un faux multitâche, en 2012 ! Oui iOS est en avance au niveau des applications, surtout les applications pour tablette, mais les applications ne font pas tout (et les développeur sont limité) il est temps qu’apple intègre un système de widget/donnée dynamique par exemple.
-L’iphone que ce soit en terme de design ou en terme de spécificité est clairement en retard, l’équivalent par exemple dans le monde Android de l’iphone 4S s’appel le galaxy Ace 2 en terme d’écran, il sera vendu 200€ a peu près… Et c’est pas un écran 4″ qui va le faire innover et quand voit les nouveautés de windows phone 8 on peu même dire qu’Apple a un métro de retard (:D).
*Je ne pense pas que ce soit réellement la faute d’apple, je pense qu’ils sont majoritaire sur leur marché et donc il ce repose sur leur lauriers en attendant qu’on les dépasse. On verra si Samsung fera mieux…
Merci de tes précisions !
Un numéro particulièrement appréciable! Merci!
Finalement j’ai pensé à un truc, avec Apple qui n’innove plus vraiment, Google qui se fait “attaquer” par l’intermédiaire de Samsung via Apple, n’est ce pas Microsoft qui ressort grand gagnant?
Ils innovent vraiment et pour peu que le grand public s’y intéresse, y’a moyen de bousculer Apple pour de vrai cette fois non?
Microsoft a clairement choisi une voie très différente de celle des deux autres pour ce qui est de l’interface, et Android a sur ce point clairement choisi de suivre le modèle iOS. De là à savoir si ça profitera à Microsoft au final… Je crois qu’il faudrait une boule de cristal pour le savoir !
Nous sommes quelques uns à penser que l’arrivée de Windows 8 profitera à l’ensemble de l’écosystème de MS, nous aurons cette réponse dans l’année à venir je pense.
Mais à coté de ça, il y a beaucoup de gens qui estime qu’Apple est “en retard” sur l’OS. Si je suis d’accord sur certains détails comme les icones “actives” dont parle DDReaper un peu plus haut, je pense qu’il y a aussi beaucoup de choix de simplicité qui ne sont pas des “retards”, mais de vraies décisions de design qui ont aussi leurs avantages et qui plaisent vraiment au grand public… Il serait facile pour Apple d’ajouter des widgets et du multitâche universel et ce genre de chose, faut pas croire qu’ils ne le font pas parce qu’ils en sont incapables. Mais d’une part ça ne serait pas de l’innovation mais de la simple copie, comme ça a été le cas pour les notifications par exemple (beaucoup de gens disent “regardez, Apple n’innove plus, ils ont même pas le multitâche”, ce qui est inepte), et d’autre part il y a une part très importante du design qui consiste à dire “non” à certaines fonctionnalités pour garder la simplicité du produit… Si on ajoutait toutes les fonctions d’Android à iOS, et bien iOS deviendrait Android bis, et je pense que personne n’en a besoin ; si on veut Android, ont achète un Android, et on est content. Si on veut un produit Apple c’est aussi pour avoir une simplicité déconcertante (qui est d’ailleurs un peu rognée par les évolutions des deux dernières versions ; je doute qu’ils ne veuillent aller beaucoup plus loin s’ils ne trouvent pas de solution simplifiée).
Bref, je répond un peu à coté, mais je me suis laissé aller.
Je suis d’accord mais par exemple windows phone 8 va apporter du vrai multitache différent de celui d’android et ils gardent la simplicité de leur OS.
.
Pareil pour les “icones active”.
Quand je dis qu’Apple n’arrive plus a innover sur l’os, bien sur je suis conscient qu’ils pourraient copier ce que fait Android mais je trouve comme toi Patrick que ca ne servirait pas a grand chose.
En faite je m’attendais à ce qu’Apple trouve une façon différente de faire les choses (ce que l’on reproche à Samsung par exemple, copier une fonction sans essayer de faire différemment).
Je pense qu’en terme de design et d’os ils ne peuvent pas continuer éternellement avec ce qu’ils ont actuellement et j’ai hâte de voir ce qu’ils sont capable de faire pour réinventer leur propre système
Autre sujet : Patrick tu as des nouvelles des live que vous allez faire ? notamment allez vous faire un live pour Windows phone 8 ?? En plus ils présenteront les nouveaux téléphones Nokia ça risque d’être assez intéressant.
Pas encore de nouvelles des lives ; tout dépend du calendrier de Cédric…
A propos de Twitter, je fais partie d’une entreprise (relativement importante et très connue dans le monde du Web Analytic) qui édite un outil de social monitoring, et nous sommes directement touchés par les limitations de Twitter.
A t’entendre Patrick, il suffirait de les contacter pour ré-ouvrir les vannes. Le problème c’est que ce n’est pas si simple. Il est quasi-impossible de les contacter et lorsqu’on y arrive enfin on s’aperçoit que c’est soit une réponse automatique soit une réponse ouverte arrivant 1 mois après..
Bref.. Ce n’est vraiment pas si simple et l’impression qu’on a est qu’ils n’en ont vraiment rien à f…aire. Comme le dit Jeff, ce n’est pas super correct vis à vis des tiers qui ont indirectement contribués à leur notoriété.
Quelle est la solution ? Se retourner vers GNIP ? Ok, mais franchement ça ressemble à de la prise d’otages.
Et si on en croit cet article du monde, ça va s’accélérer : http://www.lemonde.fr/technologies/article/2012/09/06/twitter-accelere-sa-fermeture-aux-developpeurs_1756694_651865.html#xtor=AL-32280270
Et voici l’info officielle de Twitter :
https://dev.twitter.com/docs/api/1.1/overview#New_Twitter_client_policies
https://dev.twitter.com/blog/current-status-api-v1.1
Ça ne sent vraiment pas bon pour nous autres développeurs de solutions tiers..
Très bonne emission comme d’habitude, en comité restreint mais toujours aussi riche en informations : le nombre de tests de mots de passe par seconde m’a vraiment surpris c’était passionant mais malgré tout patrick a fait son meilleur podcast a l’ADC haha
Loin de moi à vouloir polémiquer une fois de plus sur le procès Apple Samsung, je suis un vieux geek fan de techno PAS d’une marque; cependant je me pose la question suivante : que va faire Apple face à la déferlante de copies chinoises qui envahissent le marché, sur le net, ou ailleurs? on trouve des smartphones sous Androïd de toutes qualités (pas que de mauvaises qualités) Apple va-t’il oser faire un procès à une marque chinoise protégée par son gouvernement? Au vu des nouveautés sorties à l’IFA cela ressemble à un combat d’arrière garde perdu d’avance. Pire même, de plus en plus de monde n’accepte plus l’arrogance d’Apple et n’est plus prête à foncer tête baissée…
Encore une fois, attention à ne pas comprendre le procès de manière trop superficielle et à extrapoler ou réagir de manière trop viscérale… Apple a cherché à protéger certains brevets très précis auquel contrevenait Samsung avec certains modèles (la question de savoir si ces brevets auraient dû ou pas du être attribués est toute autre); ils n’ont pas attaqué “tout Android”. Ils le feront peut-être à un moment, mais ça ne semble pas être au programme (et ça sera sans doute beaucoup moins “facile”.
Et de toute façon, il est difficile d’imaginer qu’Apple (ou qui que ce soit) s’attaque aux copieurs chinois.