Sur le sujet de Keepass, je vous renvoie au billet que j'avais écrit sur le sujet Keepass au quotidien c'est possible dans lequel j'expliquais le pourquoi et le comment de Keepass.

Remarque : dans le présent billet, je ferai un abus de langage en parlant de fichier Keepass voir "mon Keepass" pour désigner le fichier utilisé par Keepass pour y stocker mes données personnelles (mes mots de passe), ce fichier étant une sorte de base de données.

Remarque 2 : pour les personnes ayant suivies l'une de mes conférences sur l'hygiène numérique, Keepass est le logiciel Coffre-fort de mot de passe.

Utiliser Keepass, c'est bien

Depuis que j'ai fait un très gros travail de réinitialisation de tous les mots de passes de mes différents comptes en ligne (et j'en ai sûrement oublié, pour des comptes que je n'ai que peu ou jamais utilisé), j'utilise Keepass au quotidien. Je ne vois pas ça comme une contrainte, même si s'en est une, mais comme un gain en sécurité.

Avoir plus de sécurité, c'est bien. Avoir un gestionnaire de mot de passe comme Keepass c'est très bien. Mais bien penser à sauvegarder son fichier Keepass, c'est encore mieux. Car le jour où on le perd, on est un peu embêté, un peu étant un doux euphémisme. On est alors obligé de se reconstituer sa base de données complète de mots de passe et de refaire un travail long et fastidieux de constitution d'une base de données de mot de passe unique (un pour chaque site). Et pour l'avoir fait, je peux vous dire que c'est long et si je peux m'éviter d'avoir à le refaire, je fais tout pour.

Alors comment sauvegarder son Keepass ?

Une base de données Keepass étant un simple fichier, on appliquera les bonnes pratiques liées aux sauvegardes comme Sauvegarde la règle des 3-2-1.

Un fichier Keepass est chiffré et par conséquence la sécurité est présente par défaut et dépendra de la qualité de la phrase de passe que l'on aura choisie / que l'on utilise pour déverrouiller son Keepass.

Pour faire une sauvegarde de Keepass donc, c'est le fichier que Keepass ouvre que l'on sauvegardera, comme on sauvegarde n'importe quel autre fichier, à quelques précautions près tout de même.

Ce fichier, on pourra le stocker sur un cloud de confiance - de préférence - (comme un Nextcloud que l'on maîtrise ou géré par des personnes de confiance) ce qui permettra d'avoir à disposition un fichier synchronisé entre les différentes machines sur lesquelles on aura besoin de le consulter. Parler de mettre ce fichier sur un cloud peut sembler une hérésie. Mais il faut garder à l'esprit que la résistance de ce coffre-fort de mot de passe sera lié à la qualité et la longueur de la phrase de passe qu'on aura définie pour gérer l'ouverture de Keepass (idéalement, on peut renforcer la sécurité en ajoutant la nécessité d'un fichier, en plus de la phrase de passe par exemple). Et qu'il faut définir son modèle de menace, savoir si la fonctionnalité de synchronisation apportée par cette mise sur le cloud de ce fichier est acceptable ou non. ment).

La démultiplication du fichier de Keepass permet d'en avoir plusieurs exemplaires et donc autant de sauvegarde d'une certaine façon, mais nécessite une certaine rigueur dans les synchronisations, pour ne pas perdre des mots de passe nouvellement créés ou mis à jour. Car à chaque synchronisation, c'est le fichier en entier qui est synchronisé - écrasé. De plus, la démultiplication d'un nombre de fichiers Keepass, ce sont autant de fichiers qu'il est possible d'attaquer / de récupérer pour quelqu'un qui voudrait récupérer l'ensemble de nos mots de passe. Il faut donc être certain de la sécurité de chacune des machines sur lesquelles on peut retrouver ce fichier.

Un exemple : il est possible d'avoir un client Nextcloud et Keepass sur son téléphone et donc d'utiliser ces mots de passe sur son téléphone. Mais si je perds ou si on me vole mon téléphone, je perds aussi mon Keepass. Je ne le perds pas vraiment car j'en ai fait des sauvegardes, j'ai d'autres exemplaires du fichier. Mais je ne sais pas ce qu'il adviendra du fichier...

Et la seule solution que je pourrais recommander est alors de modifier l'ensemble des mots de passe contenu dans son Keepass.

Quelques réflexions sur les mots de passe et smartphone

La plupart des comptes dont je suis susceptible d'avoir besoin sur mon téléphone sont liés à des applications dans lesquelles je me connecte une fois pour toute. Donc la solution peut être de ne pas avoir de Keepass sur le téléphone (et donc on évite un soucis d'un Keepass sur un appareil que l'on peut perdre etc.), d'ouvrir Keepass sur son PC, d'avoir son smartphone en main et de se connecter dans les différents comptes... A noter que les mots de passe générés par Keepass sont des mots de passe long et fastidieux à taper sur un téléphone : il faut jongler entre chiffres, lettres en majuscules et minuscules et surtout les caractères spéciaux...

Ce qui me fait penser qu'il faudrait que je teste ce qui se passe en cas de changement du mot de passe. Je change mon mot de passe pour le compte : est-ce que l'application est verrouillée et me demande de nouveau le mot de passe, laisse des données accessible par défaut... Hop, todo-liste.

Mais si on a vraiment besoin d'un accès à son Keepass sur son smartphone, quelles solutions ?

Dans ce cas, je conseillerai d'avoir plusieurs fichiers Keepass, contenant différents types de mots de passe avec des niveaux de criticités et de confidentialité différents, les plus sensibles ne se trouvant que sur des disques locaux eux-mêmes chiffrés (support de sauvegarde également). Le Keepass que l'on a alors sur le téléphone ne contiendra que quelques mots de passe pour les comptes que l'on utilisera depuis le téléphone, au sein des applications ou via le navigateur par exemple.

Billet dédicacé à Yanux56 Merci à lui pour l'astuce

J'ai découvert une fonctionnalité intéressante de F-Droid celle de pouvoir partager une application déjà installé depuis F-Droid sur son smartphone tournant sur Android ou version dérivée, avec un autre smartphone, le tout par connexion Bluetooth.

Pour cela, il suffit de connecter les deux appareils en Bluetooth, d'aller sur le premier téléphone dans F-Droid, de filtrer pour sélectionner l'application que l'on souhaite partager. Dans les options il y en a une de partage par Bluetooth. Et sur le deuxième téléphone, on accepte la réception du paquet apk de l'application (un simple fichier) et suite à la réception de l'application, on installe celle-ci.

C'est certes moins rapide que de télécharger l'application depuis F-Droid en connexion via Internet (la bande passante du Bluetooth est plus faible), mais cela permet l'installation d'une application sans avoir à être connecté, à ne pas avoir à utiliser sa connexion de données... Cette fonctionnalité a le mérite d'exister et peut s'avérer utile.

Il existe apparemment d'autres façons de faire du même type, que je n'ai personnellement pas encore testé. Celles-ci sont décrites, en anglais, sur le forum de F-Droid ici turn your device into an app store !, avec comme du partage via NFC ou Wifi par exemple.

Comme l'année dernière (voir mon compte-rendu à ce sujet Compte-rendu de ma journée à l'IUT de Vannes) ce mercredi 22 mars je suis intervenu dans le cadre du Printemps de l'entreprise https://www.printemps-entreprise.com/.

Un beau succès en amphi

A 10h30, je me suis présenté rapidement et j'ai présenté mes conférences, pour donner envie aux étudiants et personnes présentes (quelques professionnels) de venir à mes conférences. Passant juste après une présentation du choix de Google Education, après quelques twitts personnels assez représentatif de mon point de vue sur le sujet, j'ai montré en quelques mots qu'il existait des alternatives tant pour les professionnels que pour les particuliers et le monde associatif, vu que j'étais venu pour représenter mon entreprise, ainsi qu'une association dont je suis membre. Et ça a beaucoup plus, vu les applaudissement enthousiastes à ma prestation.

Présentation professionnelle et sérieuse

De 11h15 à 12h20, j'ai donc présenté l'entreprise dont je fais maintenant partie dans une salle de TD qui était pleine, il manquait même des chaises pour s'asseoir (des étudiants sont restés debout dans le fond), soit environ 50 personnes et un succès pour ma conférence.

Il faut croire que j'ai su sucité la curiosité et l'intérêt avec mon intervention assez dynamique et joyeuse lors de ma courte intervention de présentation !

J'ai répondu aux questions de quelques étudiants et d'un professionnel dans la salle, aidant à comprendre un peu plus ce que l'on fait (un étudiant était même motivé pour s'installer un des logiciels libres dévéloppés pour ses besoins persos). Les discussions que j'ai pu avoir m'ont conforté dans mon idée que notre présence permet de nous faire connaître comme solution d'offres de services auprès des étudiants et donc de futurs employés d'entreprises du monde de l'informatique ou utilisant de l'informatique et ayant donc des problématiques et besoins auxquels l'entreprise dans laquelle je suis peut répondre (utilisation de Logiciels open-source ou des offres logiciels que nous développons).

J'ai pu partagé un peu avec les étudiants sur ce que je faisais au quotidien, témoignant à nouveau de ce que j'évoque dans mon billet Je suis chef d'équipe ou encore celui-ci Première semaine dans ma nouvelle vie.

Framasoft - présentation bénévole

L'après-midi, salle un peu moins remplie, pour une présentation de Framasoft et du projet Degooglisons que j'avais déjà faite l'année dernière et que je refais régulièrement à différentes occasions. Quelques questions pertinentes des geeks libristes de l'IUT, ça fait toujours plaisir :)

Conclusion rapide

L'événement existe plusieurs années et montre la volonté du corps enseignant de l'IUT d'ouvrir ses portes à l'entreprise.

Personnellement, j'ai été très content de venir cette année, en plus de ma conférence bénévole, comme intervenant professionnel, annoncé sous mon pseudonyme, (à aucun moment mon identité civile n'a été abordée), et dans le cadre de mon travail (j'ai été pour cela affecté temporairement à la partie communication de mon entreprise, à laquelle je souhaite également participé). J'ai donc confirmé une fois de plus le fait que j'avais réussi à concilier mon passage du pseudonymat au pseudonyme, mon entreprise actuel connaissant mes activités personnelles et les utilisant / valorisant ces compétences et connaissances acquises par ce biais.

Sur les réseaux sociaux et les hashtags dédiés à cette journée, les étudiants qui avaient organisés ma venue ont bien communiqués et les comptes de l'IUT ont relayés / ou relaieront. L'année prochaine, les enseignants à l'origine de événement envisagent de faire une journée de rencontre spéciale entreprise pour se faire rencontrer des professionnels (Cela pourrait potentiellement amener de la communication et des clients du côté Grand Ouest du coup) et une journée comme aujourd'hui, plus tournée vers la présentation d'entreprise aux étudiants (là c'était un mode un peu hybride). Je reste en contact avec eux et il est probable qu'il me sollicite à nouveau pour l'édition 2018. Nous verrons bien.

En lisant un article sur le fait qu'il est désormais possible de faire l'installation de Docker sur Raspberry pi je vois que l'installation passer par la commande

Tout d'abord que fait cette commande ?

La commande curl va lancer le programme Curl qui va se connecter au site get.docker.com, récupérer un script d'installation et le passer (le symbole |) en argument au shell (la commande sh). On est face à une commande shell assez classique (enchainement de deux programmes).

En quoi est-ce une mauvaise pratique ?

La commande s'exécute avec les droits de l'utilisateur courant. Par droits, il y a la possibilité de modifier ou supprimer tout un ensemble de fichiers par exemple. On n'a aucun moment le contenu du script qui est récupéré sur le site Internet de Docker et qui est lancé. Si ce script contient une commande du type

parmi tous les lignes du script, cette commande sera executée et va supprimer de façon recursive les fichiers. Il faudrait donc pouvoir avoir le contenu du script pour pouvoir le vérifier...

Déléguer et avoir confiance

Par solution de facilité, on exécute une commande simple pour installer un programme. Mais on n'a aucune garantie sur son contenu. Certes c'est le cas pour beaucoup de choses, on délègue la confiance sur les développeurs de sa distribution Linux favorite (Debian, Ubuntu...), sur les auteurs de logiciels libres ou ceux qui y contribuent et qui vont relire et corriger le code source (d'où la nécessité d'un code ouvert et libre)... On accorde sa confiance tous les jours et plusieurs fois par jour.

Mais ce n'est pas une raison pour faire trop confiance (et pour ne pas apprendre, ne pas chercher à comprendre quelques bases.

Une analogie ?

Si vous lisez sur un forum que le fait de supprimer les freins de votre voiture lui permettra de consommer moins d'essence, car il y aura moins de frottement et donc moins de ralentissement, vous le faîtes ? Non. Et ce, même si l'explication scientifique associée vous semble tout à fait plausible, vous mettrez en doute cette affirmation et la démonstration associée. Pourquoi ? Parce que vous avez un minimum de connaissances, vous cherchez à comprendre et à apprendre (en passant le permis). Et si vous avez un doute, vous demandez au spécialiste qu'est le garagiste. Si vous faites la modification vous même, vous le faîtes en connaissance de cause (en tout cas je l'espère).

En informatique, c'est pareil. Toute demande de mot de passe pour faire une tâche d'administration implique devrait impliquer qu'on est compris et que l'on sait ce que l'on fait. Ou bien que l'on ait demandé à quelqu'un qui s'y connait et en qui on est confiance (on en revient à la confiance), le garagiste de l'informatique. Voici un exemple de la nécessité de comprendre mais surtout d'apprendre un minimum l'informatique (et plus particulièrement l'hygiène numérique). On ne doit pas devenir un garagiste (pour reprendre l'analogie avec la voiture) sauf si c'est quelque chose dont on a envie, la nécessité ou le temps mais comprendre qu'il y a des choses à apprendre, des bases, que rien n'est magique, c'est essentiel de mon point de vue.

Dans ce court billet, je voudrais vous donner une petite sélection assez courte et très personnelle de chaînes que je suis de temps en temps sur Youtube sur le thème du Japon. Même si je n'ai pas le temps de passer des heures et de heures par jour devant Youtube, comme il y a des tas d'autres chaînes tout aussi ou plus intéressante, je suis preneur de recommandation et je vous invite donc à mettre les noms et liens vers ces chaînes dans les commentaires. Merci.

Youtubeuse japonaise

Je recommanderai deux youtubeuses japonaises qui partagent leurs quotidiens via des vlogs, qui font des vidéos thématiques pour présenter leurs cultures, aider à décrypter les habitudes, us et coutumes de la société japonaise. Le tout en français, les deux étant avant tout des francophiles (elles aiment la France et la culture Française), francophone (avec des hésitations, des fautes mais leur passion et leur enthousiasme fait qu'on leur pardonne). Ces vidéos sont souvent drôles, très sympathique d'une façon générale.

Vidéo après vidéo, on appréciera leurs vidéos pour qui elles sont et non pour ce qu'elles représentent, même s'il est vrai que Julie et Peneloppe ont toutes deux des attitudes, la gestuelle et que je qualifierai de typiquement japonaise (et conduisent donc au préjugé et stéréotype que l'on peut associer). Voir ces vidéos, apprendre à connaître ces deux personnes permettra justement d'en apprendre un peu plus sur une culture très riche.

Julie
Natsumi Peneloppe

Dans une de leurs dernières vidéos, Peneloppe et Julie ont fait un duo en deux vidéos. J'ai beaucoup aimé la complicité qu'il y a entre ces deux copines et j'espère voir d'autres vidéos de ce duo dans les semaines à venir.

Expatriés au Japon

Il y a également tout un tas de chaîne et de vidéos de type vlog ou autre d'expatriés francophones au Japon. Parmi tout ceux là, je suis personnellement les vidéos de Osakurabana Vivre au Japon. Française d'origine mais ayant vécu dans différent coin de l'Europe, en couple mixte (avec un homme japonais, donc), Osakurabana nous partage son quotidien et sa vie au Japon. A voir pour avoir un regard d'une occidentale sur le quotidien au Japon, le regard que peuvent avoir les japonais sur les Gaijin et autres....