Souvenez-vous, il y a quelques années, vous n’aviez que quelques mots de passe à retenir et même parfois vous mettiez le même partout. Mais maintenant c’est fini, le monde est devenu dangereux, surtout le monde “cyber”.

Mais que s’est-il passé ? Je me souviens qu’on disais juste de ne pas mettre les mots de passe ridicule du genre 12345, motdepasse, ou sa date de naissance ou son prénom. Mais on faisait confiance au chiffrement des transactions. On faisait confiance à la sécurité des serveurs. Tout juste se méfiait-on de ne pas mettre les numéros de carte bancaire chez n’importe qui. On a eu des moyens de paiement sécurisés évitant cela mais toujours les même comptes client. Les boutiques se sont multipliées tout comme les réseaux et autres services. Bientôt la facilité à été de mettre le même mot de passe partout et donc d’ouvrir une grosse faille. Le web est devenu réellement mondial et grand public. Quand les bonnes pratiques de sécurité étaient connues des initiés, elles ne l’étaient pas de ces nouveaux arrivants qui se firent arnaquer de toute part. De là de nombreuses protections dans tous les sens. Et puis les robots se sont généralisés pour scanner les failles, chercher des données. Les virus se sont propagés sous différentes formes, du cheval de troie au malware en passant par le script. Le Web révé des débuts n’est devenu finalement qu’un reflet chaotique du monde réel, un nouveau far west parfois.

J’avoue, pendant longtemps j’avais juste une poignée de mots de passe. Il ne me venait pas à l’esprit qu’on piraterait mon compte de forum ou de réseau social pour mettre n’importe quoi. Je m’assurais juste que ceux liés à l’administratif et au bancaire seraient compliqués et différents. Puis j’ai mis en place du mnémotechnique, du ciblé selon le site, l’utilisation. J’utilisais la mémoire du navigateur pour tout retenir…Et puis c’est devenu fragile et dangereux donc je suis passé au gestionnaire de mot de passe. Jusqu’à en générer des compliqués. En plus au boulot, on me demande d’en changer régulièrement maintenant. Et maintenant on me demande d’avoir un moyen d’authentification, de ne plus se contenter d’un mot de passe. C’est le fameux 2FA ou 2 factor authentification. Idem pour le moindre achat en ligne qu’on doit confirmer via une application ou un sms. Et maintenant ce sont tous les comptes bancaires, d’énergie, d’impots qui font l’objet d’une double authentification. Dernièrement, des médecins et infirmiers se font pirater leur compte pro sur Ameli. Plus rien n’est sûr. J’ai eu deux piratages de boite mail dans toute cette existence, parce que c’était une passoire au niveau du serveur. J’en viens à changer tout régulièrement.

Leonard de Vinci, etude sur Marie Madeleine

Et le comble dans tout ça, ce sont les solutions trouvées. On passe par un SMS avec un code à usage unique. Soit mais il ne faudra pas oublier de changer son numéro partout si on ne le garde pas en changeant d’opérateur. On passe par un mail de confirmation, bof. Mais Google a fait plus fort en t’envoyant une notification sur un de tes smartphones qui va te demander de cliquer sur le bouton OUI. Sauf que cette p… de notification ne fonctionne pas correctement sur les smartphones de plus de 3 ans, le bouton ne réagissant pas. On a des champions ! Et sinon tu as encore des codes de secours, des chiffres, des lettres, des clés, etc…Oui, comme pour nos maisons où l’on a rajouté des systèmes d’alarme, des serrures quadruple point, on n’arrête pas de rajouter et rajouter des sécurités. J’attends impatiemment la triple authentification. Sachant qu’une rétine ou une empreinte n’est pas totalement fiable non plus. Une analyse ADN instantanée, alors ? Ne riez pas, je suis sûr qu’un labo de la silicon valley est sur le sujet.

Pourquoi tout ça me dérange ? J’ai mis aussi en place des backups de documents sur certains sites officiels, notamment via Cozy… Voilà qu’avec toutes ces double-identifications ce n’est plus possible. Soit il n’y a rien de prévu, soit il faut régulièrement prouver l’identité du serveur et son application qui vont récupérer les données pour vous. Alors si, j’ai trouvé une solution en passant par Digiposte qui semble avoir un accord privilégié pour certains services. Et encore, ça bugue puisqu’il manque des documents. Ce qui était une sécurité devient une corvée et une faille. Je vais finir par mettre en place des rappels de calendrier pour aller sauvegarder tous les documents sur ces organismes, à la pogne. Déjà que personne ne pense aux backups, alors si en plus on fait tout pour les empêcher. Et puis chez le grand manitou Google, on a des notifications dès qu’on se connecte ailleurs, on doit prouver avec des codes mais parallèlement à ça, pour des applications tierces, il faut créer un code unique qui remplace le mot de passe mais qui ne regarde pas du tout la provenance de la connexion, l’application ou l’OS. Absurde. Mais comment en est-on arrivé là ?

En fait c’est le syndrome des murs, propre à l’humain. Dans certaines grandes villes, les riches aiment à se créer de petits espaces murés avec des gardiens, dans lesquels ils vivent entre eux, de peur qu’on les détrousse…ce qui est réel, par exemple au Brésil. En Europe, les murs fleurissent contre les migrants et on se réjouit d’avoir des mers autour de nous dans lesquelles les laisser se noyer. Et donc, pour le web, c’est devenu pareil : Chaque site se construit son propre mur, sans même penser que l’utilisateur a besoin de passer d’un endroit à l’autre avec un trousseau de clé qui ne tiendrait même plus dans le coffre d’une voiture si c’était dans la vie réelle. Nous avons fini par créer notre propre cauchemar, notre chaos virtuel, parce que celui bien réel que nous continuons à construire ne nous suffisait plus. On voit fleurir des protections DDOS de Cloudflare qui prennent des plombes, des Captcha pour se protéger des commentaires malveillants, et qui eux-même deviennent malveillants. On utilise des VPN on utilise TOR pour se protéger de ceux qui nous espionnent. Mais en même temps on se protège aussi de ceux qui utilisent TOR pour nous agresser. Et puis parfois, la protection 2FA ou protection à 2 facteurs, est imposée, comme ce qui est arrivé à Lord.

On dit que l’enfer est pavé de bonnes intentions mais nous avons réussi l’exploit de créer un sacré bel enfer. On a même vu des applications de double authentification devenir des troyens. Cela vient encore prouver que l’humain est une espèce néfaste et auto-destructrice. Je sais, ça peut paraître simpliste de penser cela mais au moment de trouver comment sortir de ce piège que nous avons créé, on ne voit qu’un retour à de la simplicité, qu’une décroissance dans les moyens, une désescalade. C’est effectivement comme une guerre où les armes toujours plus puissantes répondent à d’autres armes toujours plus puissantes. J’avais par exemple trouvé une boutique qui s’était mis simplement au En Ligne avec des moyens d’un autre temps, sans déployer de site complexe. Mais la loi, les normes l’empêchent aussi et poussent à une uniformité. Qui dit uniformité dit risque sécuritaire. Bref, parfois je me demande si je ne vais pas plus me “dénumériser”, soit bien plus que la déconnexion que fait Ploum cette année (et qu’il a abandonné en partie). Mais là aussi, c’est peine perdu quand on continue à dématérialiser sans réfléchir aux conséquences matérielles, humaines. Nous n’avons pas fini d’en parler et je suis curieux d’avoir des commentaires et témoignages.

Bande son le W

Commentaires

Sima78 par mail

Des exemples, j’en ai à la pelle et il faudrait une remorque pour mes clés sur keepassXC.

En juin je commande sur un site, remplie le formulaire CB et tape les chiffres envoyés pas sms quand on me le demande, et pas de souci. Le lendemain, je me rends compte que j’ai oublié de commander un truc, recommence, et… Après avoir rentré les chiffres envoyés par sms on me demande un code d’achat ?… Après plusieurs tentatives j’abandonne et appelle le site le lendemain matin qui me dit c’est ma banque. J’appelle ma banque qui me dit que oui ; maintenant il y a un code d’achat… Je dis que je ne l’ai jamais reçu… Me l’envoie, je fais mon achat j’ai perdu trois jours. Le plus étrange c’est deux mois après et jusqu’à maintenant on ne m’a plus jamais demandé ce fameux code d’achat ! A-t-il été abandonné ?

Pour le rapport aux migrants qu’on laisse se noyer. Dans mon ex-job il y avait dans mon secteur (ils sont donc plus nombreux) trois personnes pour qui j’avais les codes mails, et de pleins d’autres services assez personnels (sécurité sociales, info-retraite, etc.). Il s’agit de personnes en situation de handicap, l’assistante sociale de la boîte est à 25 km et pas toujours disponible. Alors ces personnes me passaient un coup de fil dans la journée et je ressortais les documents dont elles avaient besoin pour les APL, ou renouvellement de carte de handicap, de pension… J’étais devenu l’assistant social de ces personnes, alors que si elles avaient continué de recevoir en version papier, si elles pouvaient joindre téléphoniquement des personnes des différents (services, administrations) elles étaient capables de se débrouiller seules et le faisaient avant. Sauf que maintenant, en cas de souci, on ne peut plus se déplacer (ils ne reçoivent pas), appeler au téléphone (on n’a plus de contact téléphonique), et même avec des mails c’est compliqué car il y a des chat-bots totalement stupides et qu’il faut réellement savoir ruser et être alèse avec le web pour avoir un contact humain.

Soit, tout n’est pas lié au 2FA, mais à l’informatisation, la dématérialisation, les destructions des services à outrance ! Désolé de m’être un peu égaré mais les personnes en situation de handicap (déficience intellectuelle) ont perdu de l’indépendance et de l’autonomie.