Archives par mot-clé : Professionnel

Evolution professionnelle

Publié le par

A l’approche des 50 ans, l’année dernière, j’ai décidé de vérifier mon employabilité. Selon l’Organisation internationale du travail (et Wikipédia), l’employabilité est « l’aptitude de chacun à trouver et conserver un emploi, à progresser au travail et à s’adapter au changement tout au long de la vie professionnelle« . Pour moi, cela consistait à vérifier, bien qu’aimant mon entreprise, mon chef, mes collègues, mes étudiants et mon travail, si je pouvais trouver une entreprise qui voudrait m’aider à développer mes aptitudes dans l’univers de l’inforensique.

J’ai donc pris mon courage à deux mains, mis à jour mon CV et j’ai cherché sur le marché du travail l’entreprise idéale et le poste associé. J’ai cherché du côté clair de la Force (les petites annonces du marché ouvert de l’emploi, les candidatures spontanées) mais aussi de son côté obscur (le réseau, les amis, les relations, la NSA, tout pour accéder au marché caché de l’emploi).

Pour ne rien regretter, j’ai ciblé large: mobilité sur toute la France y compris Paris, aucune prétention salariale a priori, pas de préférence grosse entreprise ou PME ou TPE, privé, public, CDI ou CDD, prêt à démarrer comme un débutant, comme un senior, comme un expert. J’ai des compétences d’encadrement, je sais travailler en équipe, je respecte les règles établies. Bref, le salarié (presque) idéal.

J’ai donc appliqué les règles de recherche d’emploi que je préconise auprès de mes étudiants (lire ce billet où je les explique).

Le blog m’a bien aidé, Twitter également (un retweet de Maître Eolas,
c’est 3000 personnes qui viennent sur le blog !) et j’ai pu ainsi
décrocher plusieurs entretiens d’embauche. Certains se sont
bien passés, d’autres moins bien.

Tout bourgeois veut bâtir comme les grands seigneurs ,
Tout prince a des ambassadeurs,
Tout marquis veut avoir des pages.

Et il m’est arrivé ce que je pensais dès le départ: aucune proposition n’a abouti.

Il y a plusieurs explications à cela:

– je suis nul

– j’ai plus de 45 ans

– je ne sais pas me vendre

– mes compétences n’intéressent personne

– la crise

– je n’ai pas de réseau

– je suis nul

– c’est la faute à internet

– les entreprises n’ont pas su voir mon énorme potentiel

– mes enfants ont tout fait pour ne pas déménager

– je suis nul.

Ok, donc, comme Rocky Balboa, je vais devoir m’entraîner dans un coin tout seul pour affûter mes muscles et JE REVIENDRAI (heu, non, ça c’est Arnold). C’est d’ailleurs ce que m’a conseillé sérieusement le responsable de mon entretien à l’ANSSI: « vous devriez vous entraîner sur l’analyse de systèmes live et revenir dans deux ans ».

Putain DEUX ans!

Je n’intégrerai donc pas les équipes de cette agence gouvernementale, et je le regrette. J’aurais aimé travailler avec des jeunes et brillants ingénieurs sur des sujets très techniques toujours en pointe. J’aurais aimé pouvoir relever ce challenge. Mais, comme pour mes tentatives de voyages dans l’espace (lire cette série de billets, surtout celui-ci), il faut savoir se faire une raison: j’ai une capacité à changer d’emploi nulle.

Maintenant, positivons:

– j’ai un boulot

– j’aime mon boulot

– mon entreprise est performante sur un marché porteur

– mon entreprise apprécie mon travail

– j’ai un travail dynamique, prenant et passionnant

– j’ai des perspectives de progrès et d’amélioration

– j’habite un coin de paradis

– j’ai une bonne santé

– j’ai une famille formidable

– le chiffrement RSA n’a pas encore été cracké.

Un lecteur avisé pourrait objecter: « mais pourquoi diable avez-vous eu envie de chercher un autre emploi? » Ma réponse est imparable: « parce que ».

Parce que je voulais voir ce que je valais encore sur le marché du travail.

Parce que je suis effrayé à l’idée d’avoir passé 20 ans dans la même entreprise.

Parce que je suis effrayé à l’idée de passer les 15 prochaines années dans la même entreprise.

Un lecteur avisé pourrait objecter: « qu’importe le flacon pourvu qu’on ait l’ivresse ». Certes. C’est d’ailleurs ce que je me dis aussi. Bien obligé.

Alors j’ai pris une décision:

Puisque j’aime mon entreprise, plutôt que de changer d’environnement, je vais essayer d’améliorer mes compétences dans toutes les activités que je mène actuellement, et sortir de ma zone de confort. Professionnellement, il faut que j’améliore mes compétences de manager et que je favorise la progression de mes collaborateurs. Côté expertises, il faut que je développe mon activité d’expertises privées et que j’apprenne à me vendre. Côté vie publique, il faut que j’essaye de m’impliquer plus encore dans la vie de la commune.

Selon le Ministère français chargé de l’emploi (et toujours Wikipédia), l’employabilité est « la
capacité d’évoluer de façon autonome à l’intérieur du marché du
travail, de façon à réaliser, de manière durable, par l’emploi, le
potentiel qu’on a en soi« .

Conclusions:

De ses échecs, il faut savoir apprendre. Et se relever.

Et ne pas attendre qu’on vienne vous offrir le poste idéal.

Il faut le créer soi-même.

Et savourer sa chance d’avoir un métier qu’on aime.

C’est dans les vieux pots qu’on fait la meilleure soupe.

Putain 15 ans !

[MAJ du billet du 8 novembre 2013]

Ils avaient

Publié le par

Je travaille dans une école d’ingénieurs qui recrute des terminales S bientôt fraîchement titulaires du baccalauréat. Leurs dossiers d’inscription portent pour la plupart comme année de naissance, l’année 1996… Ils ont à peine 18 ans aujourd’hui.

Ils sont nés en même temps que la brebis Dolly, premier mammifère cloné de l’histoire (5 juillet 1996). La même année les Spice Girls sortaient leur tube Wannabe. Bill Clinton préside les États-Unis, Boris Eltsine la fédération de Russie et Jacques Chirac la France.

1996, c’est l’année de la création de l’April. C’est aussi l’année où les informaticiens commencent à se faire entendre sur le problème du codage des dates avec le prochain passage de 99 à 00. Cette même année sort Tomb Raider sur DOS, PlayStation, Sega Saturn et Macintosh.

Ils avaient à peine un an quand l’Angleterre a restitué Hong-Kong à la Chine (1er juillet 1997), quand la princesse Diana s’est tuée dans un accident de voiture à Paris (31 août 1997) et à la mort de Mère Thérésa (5 sept 1997).

Ils avaient aussi un an lors de la sortie de Titanic.

Ils avaient deux ans lors de la sortie de l’iMac qui colora l’informatique en même temps que sortait Windows 98, et que l’obscure société Google naissait dans un garage. Ils ne s’en souviennent pas, mais leurs parents les portaient fièrement au dessus de la foule lors de la fête de la victoire de la France contre le Brésil, 3-0.

Ils avaient 2 ans lorsque l’euro a remplacé l’ECU, 5 ans quand il a remplacé le franc français. Autant dire qu’ils n’ont jamais connu d’autre monnaie que l’euro.

Ils avaient 4 ans lors du changement de siècle et de millénaire, lors de la création de Wikipédia.

Ils avaient 5 ans lors des attaques du 11 septembre 2001 que j’espère ils n’ont pas vu en direct à la télévision (pour ma part j’étais en TP d’informatique et nous regardions les images en direct sur internet).

Altavista régnait en maître sur les moteurs de recherche.

Ils avaient 6 ans lorsque la navette spatiale Columbia s’est désintégrée lors de son retour sur Terre (1er fév 2003).

Ils avaient 7 ans lors de la naissance de Facebook (4 fév 2004), 10 ans quand ils auraient pu commencer à s’en servir (26 sept 2006), mais il fallait avoir au moins 13 ans…

Ils avaient 8 ans à la naissance d’Ubuntu (20 oct 2004) et au lancement de YouTube (14 fév 2005), 9 ans à l’arrivée au pouvoir d’Angela Merkel (22 nov 2005) et 10 ans lors du premier tweet (21 mars 2006).

Ils avaient 12 ans lors de l’élection de Barack Hussein Obama II. Autant dire que pour eux, un président des États-Unis, c’est grand, noir et cool.

Ils avaient 13 ans lors du vote de la loi Hadopi qui a rendu le partage non marchand illégal.

Ils ont toujours connu la téléphonie mobile et n’ont pour la plupart jamais vu un téléphone à cadran rotatif (et ne sauraient pas s’en servir…). iOS et Android n’ont aucun secret pour eux.

Ils ont tout juste 18 ans aujourd’hui.

Pour eux, je serai le vieux con qui les appelle « Monsieur » ou « Madame »

Bienvenue à eux 🙂

L’admin réseau, cet enquêteur inconnu

Publié le par

Nous venons de terminer une migration de notre infrastructure d’accès à internet. Nous sommes passés d’un réseau de collecte à un autre, réseaux de collecte nous permettant d’avoir accès à un point d’entrée du réseau RENATER, FAI officiel des établissements d’enseignement supérieur et de recherche.

Concrètement, pour moi, il s’agit d’acheter un appareil électronique qu’on appelle un routeur, le déballer et le visser dans une armoire pleine d’appareils similaires (en fait des switchs), attendre qu’un prestataire approprié vienne configurer cet appareil, et le jour J, au top conjoint donné par un informaticien de RENATER et du réseau de collecte, déconnecter le câble branché sur A pour le mettre sur B. Voilà, voilà.

Oui, mais non.

Jeudi, quand j’ai changé le câble de prises, l’accès à internet a été coupé, mais n’est pas revenu aussitôt le câble rebranché. 1000 personnes ont vu leurs cheveux se dresser sur leurs têtes: plus d’internet (en fait, je les ai rassuré aussitôt, plus d’accès à internet, merci pour lui).

Bah, j’étais prévenu, on ne change pas un chemin d’accès d’un claquement de câble dans une prise. Les plus studieux d’entre vous iront lire cette présentation du changement de routage de manière dynamique avec BGP. Disons pour résumer qu’un expert de ces problématiques s’occupe de tout au NOC (Network Operation Center) de RENATER.

Premier problème : l’ancien réseau de collecte A annonce la route vers mon établissement avec la priorité maximale. Difficile pour le nouveau réseau de collecte de faire mieux et de devenir prioritaire. La migration s’annonce difficile, surtout que la personne en charge de BGP chez A est… en congés aujourd’hui. Je fais finir par croire que A est fâché de ne pas avoir remporté l’appel d’offre et met quelques freins à la migration vers B.

Vendredi, le problème est réglé, je bascule tout l’établissement vers le nouveau réseau de collecte B. Le trafic passe dans les deux sens. Voilà, voilà.

Oui, mais non.

Le trafic ne passe pas. Retour arrière. Sauf que le réseau de collecte A voit d’un mauvais œil les alertes sur sa plate-forme de supervision « un coup je m’en vais », « un coup je reviens », surtout en cette période où plus de 40 établissements font plus ou moins la même chose. Ces choses là se règlent au téléphone, mais ce n’est pas le meilleur moment. Pourtant, je reste calme, cela ne sert à rien d’énerver tout le monde avec mon stress. Autre réunion téléphonique, avec RENATER et le nouveau réseau de collecte B cette fois. Tout le monde me dit que tout est ok de leurs côtés et que les problèmes viennent de chez moi.

C’est là que débute une véritable enquête.

Nous mettons en place en salle serveurs un tableau de papier sur lequel nous listons tous les problèmes rencontrés: perte partiel de l’accès internet (merci le loadbalancing avec une simple LiveBox), sites webs ok mais deux serveurs DNS sur quatre injoignables, accès aux services web internes aléatoires, envois des emails intermittent, etc.

La tension est palpable mais j’avais pris les devant en prévenant tous les clients que nous allions vivre une migration importante et qu’il risquait d’y avoir des perturbations dans La Force. Nous sommes concentrés sur la résolution du problème.

Tout est remis en cause. Et quand je dis tout, je veux vraiment dire tout: câbles, prises, virtualisation des passerelles, virtualisation des switchs, les VLAN, les switchs physiques, l’apparition d’une boucle sur le réseau réel, sur les réseaux virtuels. Les admins réseaux se sont transformés en enquêteurs suspicieux de tout ce qu’ils ont mis en place. Et pour chaque idée, un test est effectué.

Le vendredi soir arrive, la nuit et l’heure tardive n’y change rien. Je rentre chez moi le cœur gros. Le samedi est consacré à mon fils et son tournoi de ping-pong. Mais mon esprit est ailleurs : qu’est-ce que j’ai pu rater pour que notre migration se soit mal passée ?

Le week-end sera court : je décide de travailler tout le dimanche sur le problème. Me voilà donc seul dans cette maudite salle serveurs à faire différents tests. Je reboote les équipements les uns après les autres, y compris les serveurs de virtualisation après avoir migré les différentes machines virtuelles. Et soudain: EUREKA! Le port du switch sur lequel est branché la passerelle n’est pas correctement tagué. Je corrige la configuration, je branche la passerelle et j’ai enfin un accès internet correct. Je suis aux anges. Je préviens mon équipe par SMS, je tweete avec allégresse et finesse, et je rentre le cœur léger.

Mais lundi matin, en arrivant à mon bureau, patatra. Mon équipe me dit que rien ne marche. Nous reprenons toute notre enquête.

Elle durera 14h.

14h à refaire toutes les hypothèses, à reprendre toutes les pannes possibles, à passer des coups de fil pour s’entendre dire « non, non, le problème vient de votre côté ». A un moment, nous nous sommes retrouvés avec tout notre réseau
débranché, une passerelle physique construite de bric et de broc avec un
PC et deux cartes réseaux et un live cédérom pfsense, le tout branché
sur un switch HP récupéré et reconfiguré avec les VLAN adhoc pour
l’occasion… A 23h, je lâche le coup, exténué. Je ferme mon bureau avec le moral au plus bas. Pour la petite histoire, je monte sur mon vélo pour rentrer, et je découvre que la roue arrière est déboîtée. Je cherche dans l’école des outils pour essayer de réparer. Mon moral descend encore d’un cran. Sale journée.

Deux points positifs quand même: j’ai réussi à remettre la roue de mon vélo (j’aurai réussi au moins à réparer une chose ce jour-là). Et j’ai réussi à reproduire le problème sur commande: lorsque la passerelle est branchée seule sur le nouveau routeur du nouveau réseau de collecte, j’arrive à surfer sur internet à partir d’un poste (le seul ayant cette machine comme passerelle). MAIS si j’ouvre plusieurs pages dans plusieurs onglets, au bout d’une dizaine d’onglets, la passerelle n’accède plus à internet. Si j’attends environ une minute, elle retrouve ses esprits et accède de nouveau à internet. A n’y rien comprendre.

J’ai très peu dormi cette nuit là. Cinq jours que nous sommes quasiment coupés d’internet. Quelques personnes disposent d’un accès via la LiveBox du PRA. Nos serveurs web principaux sont sains et sauf (hébergés à l’extérieur en prévision de la migration). Mais beaucoup des outils du SI sont en temps normal accessibles aux étudiants et à leurs parents, et leur inaccessibilité commence à peser sur l’organisation.

Une part importante de mon métier est de penser à des plans B. J’ai d’ailleurs développé un sens aigu du film d’horreur permanent. Seulement voilà, dans le cas présent, j’arrive au bout du bout des idées possibles de tests à imaginer, de pannes possibles, de vérifications à effectuer…

Mais la nuit porte conseil. Je me réveille avec en tête l’hypothèse que le nouveau routeur, bien que configuré correctement (configuration plusieurs fois vérifiée), PEUT présenter un dysfonctionnement en cas de sollicitation. C’est mon dernier espoir. Problème: je ne connais pas ce nouvel équipement qui se configure en ligne de commande, et la documentation fait 300 pages. Je décide de prendre l’option « appel à un ami ».

Nous sommes mardi matin. Je téléphone à un expert du nouveau réseau de collecte pour lui demander de venir m’aider en salle serveurs. Après quelques négociations, il me propose de tout faire depuis son bureau, si je lui ouvre un accès ssh à notre passerelle. Pendant une heure, nous ferons des tests avec lui. Jusqu’au moment où je l’entends dire au téléphone: « tiens, ça me donne une idée ». Cela faisait 24h que je n’avais pas entendu cette phrase.

Quelques minutes après notre problème était résolu.

Rien ne clochait de notre côté. Ni sur notre réseau, ni sur notre passerelle, ni sur nos DNS, ni sur notre routeur. Le problème venait de leur côté à EUX. Le port sur lequel est branché la fibre optique venant de notre routeur était auparavant utilisé pour gérer des échanges entre une adresse IP unique et une adresse IP unique (une connexion entre serveurs proxys appairés). Il avait été configuré pour résister à une attaque DDOS, c’est-à-dire qu’il refusait de fonctionner s’il détectait un comportement anormal. Or, son branchement sur notre routeur a entraîné une discussion entre l’IP de notre routeur et un grand nombre d’adresses IP, ce qui a été détecté comme une anomalie, et donc une mise « OFF » pendant une minute.

Cela explique que dimanche, alors que j’étais seul à surfer, et que je n’avais pas pensé à ouvrir 20 onglets dans mon navigateur, tout fonctionnait. Mais lundi, dès que le personnel et les étudiants ont commencé à vouloir surfer, le système se coupait « quasiment » en permanence.

L’enquête est terminée. La fin a été comme souvent heureuse, grâce à l’entraide des différents admins réseaux, même si le réflexe initial de chacun est d’avoir confiance en SON système et de rejeter la faute sur le système de l’autre.

La morale est sauve: celui par qui le problème est arrivé, est celui qui l’a résolu. Je lui ai promis de boire ensemble une bouteille de champagne. L’erreur de configuration était subtile, mais sa perspicacité lui a permis de la débusquer.

Et grâce à lui, nous avons révisé en profondeur nos configurations…

——————–

Crédit images darkroastedblend.com

Le petit blogueur et l’ANSSI

Publié le par

En discutant avec les personnes du stand de l’ANSSI aux JRES2013, je me suis rendu compte que mon billet intitulé « L’ANSSI et le test Google » avait fait grincer quelques dents… Cela m’a désolé car ce n’était vraiment pas le but. En relisant le billet, je me suis dit que je n’avais pas été très clair et que l’autodérision dont j’avais essayé de faire preuve n’était pas bien passé et que n’était resté que le dénigrement d’un processus de recrutement.

Voici donc quelques points que j’aimerais clarifier:

L’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, est une structure gouvernementale étatique chargée d’assurer la sécurité et la défense des systèmes d’information de l’état et des sociétés stratégiques françaises. Vous trouverez tous les détails de son fonctionnement et de son histoire sur son site, ou sur la page Wikipédia qui lui est consacrée.

N’étant ni spécialiste de la sécurité, ni DSI dans un établissement sensible ou stratégique, je n’ai entendu parlé de l’ANSSI que lorsque j’ai été invité au SSTIC 2012 (où je me suis fait déchirer mon blog, merci de me le rappeler..) pour parler de l’activité d’expert judiciaire.

J’ai alors découvert l’existence de l’ANSSI, son mode de fonctionnement et pu discuter avec des personnes passionnantes, toutes très compétentes dans leur spécialité. Pour dire les choses autrement, l’ANSSI regroupe un nombre impressionnant des spécialistes de la sécurité informatique, et est la seule structure française à recruter de manière importante dans ce domaine.

C’est pourquoi, j’ai voulu voir si un profil comme le mien pouvait les intéresser, sachant que MOI j’étais très intéressé par leur profil. Hélas, mes compétences ne correspondaient pas au poste pour lequel j’ai postulé. J’ai donc logiquement pris une veste. Fin de l’histoire.

Le billet « L’ANSSI et le test Google » raconte tout cela, mais avec comme sujet principal une moquerie de ma part sur les tests mesurant les compétences. Il faut dire que je travaille depuis 25 ans dans des établissements d’enseignement supérieur et que les méthodes et pratiques d’enseignement et d’éducation (ce que l’on appelle « la pédagogie« ) sont au cœur de mes préoccupations. Et comme tout enseignant, j’ai des idées bien arrêtées sur ce sujet. Je ne vais pas réécrire le billet…

Mais alors que je ne faisais qu’écrire une moquerie dans un billet de petit blog, j’oubliais un point très important: les employés de l’ANSSI sont tenus à la plus grande discrétion. Ils ne disposent pas d’une liberté qui m’est chère: la liberté d’expression. Ou plutôt, ils en disposent, mais avec un fort encouragement à la discrétion. C’est comme cela. Je rappelle que l’ANSSI est rattachée au secrétaire général de la défense et de la sécurité nationale, et que si chacun à l’ANSSI pouvait raconter sa vie dans un blog, tout cela ne ferait pas très sérieux (mais serait certainement très intéressant)…

[Certains de mes confrères experts judiciaires me rappellent parfois que mon blog « ne fait pas très sérieux », voire « est la honte de l’expertise judiciaire », ou encore « mais qui est le CON qui tient ce blog? ». Seulement voilà, c’est mon petit coin d’internet, ma manière de profiter de cet espace de liberté. Je n’oblige personne à me lire et je rappelle qu’on est toujours le CON de quelqu’un. Je souffre du fait que les ordres des avocats ont encouragé ceux-ci à ouvrir des blogs, mais que les compagnies d’experts n’ont rien fait sur le sujet. C’est tellement XXème siècle…]

Ce n’est jamais intelligent de lancer une pique (une pichenette ?) contre des personnes qui ne peuvent pas répondre. Je travaille suffisamment avec les gendarmes pour comprendre cela.

Je voudrais donc m’adresser aux personnes de l’ANSSI qui ont trouvé mon billet désagréable et faire remonter un commentaire que j’avais écrit sous le billet: « oui, je suis déçu car j’aurais bien voulu travailler avec les roxors de l’ANSSI« . 

Ma consolation : je suis sur la photo présentant le directeur général de l’ANSSI sur la page Wikipédia d’icelle 😉

Et pour les autres, souvenez vous : tout s’arrange autour d’une binouze, surtout au SSTIC.

Update to 2014

Publié le par

Chère lectrice, cher lecteur,

J’espère que la mise à jour vers la v.2014 s’est bien passée et que vous ne regretterez pas la v.2013. Je vous souhaite de profiter de vos proches, de réaliser vos rêves et de contribuer à un monde meilleur !

Bonne release 2014.

Zythom

Stats 2013

Publié le par

Parmi les vices du blogueur, il y a la consultation des stats… Je n’y échappe pas et, régulièrement, je regarde, avec une certaine fascination je vous l’accorde, les informations que me retourne mon compte Google Analytics.

Même si je sais que plusieurs d’entre vous surfent derrière des proxies, ou utilisent le réseau Tor et ses routeurs en couche, ou encore différents VPN avec plusieurs adresses IP, globalement Google Analytics me donne une idée approximative du nombre de personnes qui viennent sur ce blog.

Pour l’année 2013, le blog a reçu 149 485 visites, contre 188 572 en 2012 et 135 351 en 2011. Le nombre de billets variant d’une année sur l’autre, le nombre de visites divisée par le nombre de billets me semble être l’indicateur le plus pertinent:

2013:  149 485 visites pour 58 billets, soit 2 577 visites par billet

2012:  188 572 visites pour 79 billets, soit 2 387 visites par billet

2011:  135 351 visites pour 50 billets, soit 2 707 visites par billet

2010:  126 040 visites pour 65 billets, soit 1 939 visites par billet

2009:  103 767 visites pour 113 billets, soit 918 visites par billet.

Début 2012, dans le billet « Stats 2011« , j’avais choisi le nombre de visiteurs uniques divisé par le nombre de billets, ce qui m’apparaît maintenant moins pertinent.

En 2013, vos adresses IP indiquent une provenance de 140 pays, ce qui ne lasse pas de m’étonner et me permet de voyager virtuellement dans le monde entier ou presque.

Vous avez été 46% à me lire sous Firefox, 28% sous Chrome, 9% sous Safari et 8% sous IE… A noter que 2 visites ont été faites avec un navigateur tagué « Nintendo 3DS browser » 🙂

Côté systèmes d’exploitation, vous êtes 63% sous Windows, 14% sous GNU/Linux, 10% sous Mac, 7% sous iOS et 6% sous Android. Là aussi, dans les curiosités, je note le passage d’une visite taguée sous BeOS et d’une autre sous Xbox…

Pour les définitions d’écran, c’est le grand bazar avec 401 définitions différentes, merci les mobiles. 4 635 visiteurs utilisent un écran 768 x 1024 et 4 291 un écran 320 x 480. Les opticiens ont un bel avenir devant eux. Je note 89 visites avec  l’inénarrable 0 x 0 et une visite avec un 40 823 x 1024… Toutes les stats ne sont pas bonnes à prendre.

Les webmasters le savent, on peut souvent connaître la source du clic qui vous amène ici, c’est-à-dire la page qui précède celle où vous lisez ce billet. En 2013:

– 55 015 sont venus directement (via un favori ou une saisie directe de l’URL)

– 33 392 via une recherche Google (le plus souvent en tapant « zythom »)

– 17 844 via Twitter

– 2 959 via Netvibes

– 2 802 via Feedly

– 854 via Facebook

Le réseau social de la blogosphère fonctionne toujours, avec

– 10 768 visites via maitre-eolas.fr

– 2 395 via boulesdefourrure.fr

– 2 348 via sebsauvage.net

– 848 via Ma petite parcelle d’Internet (Sid, si tu me lis…)

– 801 via Korben.info

– 599 via La plume d’Aliocha

– 264 via maitremo.fr

Que mille pétales de roses parfument leurs claviers…

Grâce aux moteurs de recherche, je sais que vous écrivez mon pseudo majoritairement « zythom », mais aussi zithom, zethom, zython, zyhtom ou zhytom 🙂

Vous êtes 47 inscrits à la liste de diffusion par email des billets du blog, la plupart s’étant inscrit en 2013.

En 2013, le pic de visite a eu lieu le mercredi 3 juillet avec 2 606 visites, suivi du jeudi 12 septembre avec 2 594 visites. A chaque fois il s’agit d’un tweet de Maître Eolas ! Que mille serveuses irlandaises nues lui apportent une pinte de Guinness (vidéo)…

Les billets les plus lus sur l’année 2013 ont été Cracker les mots de passe (8418 visites), Je suis trop faible (5955) et In memoriam (5835). Le billet le plus lu du blog, depuis sa création en 2006 est Le plein de pr0n du 18 avril 2012 avec 16 404 visites à ce jour, suivi de GPS avec 13 752…

Quelles sont les leçons que je tire de ces statistiques: aucune. Je continue à écrire pour moi, parce ce que cela me fait du bien, surtout quand j’ai besoin de m’exprimer et que je ne veux pas faire souffrir mon entourage.

Je terminerai ce billet avec la même citation qu’en 2012:

« Les statistiques, c’est comme le bikini. Ce qu’elles révèlent est suggestif. Ce qu’elles dissimulent est essentiel. » (Aaron Levenstein)

Allons toujours à l’essentiel !

Journées réseaux 2013

Publié le par

Quelques jours après mon retour des « journées réseaux » (JRES) 2013 qui se sont tenues à Montpellier, voici le temps de faire un petit bilan de cette expérience.

Cela fait plusieurs années que je souhaite participer à cette manifestation qui regroupe une grande partie de la communauté des informaticiens travaillant dans les établissements d’enseignement supérieur et/ou dans la recherche, c’est-à-dire ma communauté professionnelle.

Et le hasard a fait que cette année, les organisateurs m’ont contacté via ce blog pour m’inviter à faire une présentation en séance plénière sur le thème de l’expertise judiciaire. Autant dire que je ne pouvais pas dire non…

Les premiers contacts ont été pris il y a longtemps (janvier 2013), et l’idée de parler devant mes pairs sous le pseudonyme Zythom était attrayante. Mais plus les mois passaient et plus la pression montait: ma présentation de généraliste de l’informatique allait-elle intéresser l’assemblée de spécialistes présente dans la salle ? Comment serait perçu mon souhait de participer à cette conférence sous pseudonyme ? Quel regard mes pairs allaient-ils porter sur moi ? Comment les quelques lecteurs du blog présents dans l’assistance allaient-ils réagir ?

Bref, plus le temps passait et plus je pétochais…

L’organisation des JRES 2013 s’est avérée impeccable du point de vue de l’invité que j’étais: une personne s’est attachée à s’assurer que je franchissais correctement les jalons, et me relançait avec patience quand je tardais sur la remise d’un livrable, notice de présentation, visuels de la présentation, détails pratiques sur le transport, l’hébergement, etc.

Et le premier jour de la conférence est arrivé: je me suis retrouvé assis dans la grande salle de l’opéra de Montpellier, avec 1500 personnes ! C’est vraiment à ce moment là que j’ai senti la peur me nouer les tripes: j’allais devoir parler deux jours plus tard dans cette même salle, devant ce public de spécialistes des réseaux…

Il faut dire que la salle est très impressionnante.

Quelques internautes ont pris des photos qu’ils m’autorisent à reproduire ici (et je les en remercie):

Photo depuis les loges (cliquez pour agrandir)

Photo (cliquez pour agrandir)

 Et voici la photo prise depuis la scène avec mon smartphone, quelques minutes avant ma présentation:

Photo Zythom (cliquez pour agrandir)

Autant vous dire que j’étais dans mes petits souliers…

La veille, j’ai séché l’après-midi de présentations pour travailler et répéter ma présentation une dizaine de fois. J’ai quitté le « social event » du mercredi soir car j’étais encore trop stressé, ce qui fait que je n’ai pas pu profiter de la fête organisée pour les 10 ans des JRES.

Le mercredi matin, j’ai présenté à la salle de preview (la salle réservée aux orateurs pour permettre de soumettre une nouvelle version de leur présentation), la énième version encore modifiée de mes visuels. Puis je me suis réfugié dans un coin du palais des congrès pour écouter un peu de musique pour me détendre contre cette angoisse grandissante difficile à contrôler, et c’est là que j’ai eu l’idée de relire la « Litanie contre la peur » des sœurs du Bene Gesserit de l’univers de Dune. Cela ne marche pas du tout sur moi, mais je me suis dit que cela ferait une bonne introduction à mon intervention… Pour ceux qui n’ont pas lu l’ouvrage de Frank Herbert, voici le mantra:

Je ne connaîtrai pas la peur car la peur tue l’esprit.

La peur est la
petite mort qui conduit à l’oblitération totale.

J’affronterai ma peur.

Je lui permettrai de passer sur moi, au travers de moi.

Et lorsqu’elle
sera passée, je tournerai mon œil intérieur sur son chemin.

Et là où
elle sera passée, il n’y aura plus rien.

Rien que moi.

Si vous voulez voir un Zythom très tendu et stressé, voici l’intégralité de ma présentation (avec en bonus track à 43′ la prière des RSSI 😉 :

 Vidéo JRES 2013 (meilleures définitions disponibles ici)

Ce que je garderai comme souvenir de ces journées réseaux, c’est une super organisation, un grand stress de mon côté, des présentations de qualité où j’ai appris beaucoup de choses, et des rencontres très agréables avec , , , et plein d’autres lecteurs du blog. C’est très intimidant de discuter en présentiel avec chacune de ces personnes !

J’espère pouvoir aller dans deux ans aux JRES 2015, mais cette fois comme simple participant…

Je cherche un job !

Publié le par

Plus qu’un mois avant le cap des 50 ans ! Jamais je n’aurais cru que le fait que l’être humain ait dix doigts et qu’il compte les grandes durées en nombre de rotation de la Terre autour du Soleil, puissent avoir autant d’influence sur moi…

J’ai vécu le passage à 10 ans avec insouciance.

Mes 20 ans ont été solitaires et travailleurs.

L’arrivée des 30 ans a été synonyme de bonheur et nouvelle vie.

Le passage des 40 ans me laisse un souvenir de projets aux possibilités multiples, qui pour la plupart ont réussi !

Et voilà les 50 ans qui se profilent.

50 ans. Le moment où l’on commence à regarder en arrière et à faire le bilan, en tout cas professionnellement. Le moment où l’on sent que la richesse des choix possibles s’amenuise.

Pourtant, je me sens encore productif ! J’ai encore beaucoup de challenges à relever dans mon entreprise. J’aime mon travail, j’ai la confiance de mon patron, j’aime faire progresser mes équipes et les former à prendre ma place !

J’ai parfaitement conscience d’être un privilégié : j’ai un (bon)
travail, j’en connais relativement bien les tenants et aboutissants tout en ayant une marge de progrès et de découverte, mes collègues sont dynamiques et motivés, mon
entreprise me forme et me soutient, j’y suis entré 3 ans après sa création, j’ai contribué à son essor et à sa réussite. Je suis fier du résultat obtenu collectivement. Elle a un bel avenir devant elle.

Mais cela fait 20 ans que j’y travaille, d’abord comme enseignant-chercheur, puis comme responsable des systèmes d’information et maintenant comme responsable informatique et technique.

A 49 ans et 11 mois, je me sens à la croisée des chemins: soit je change de route, soit je continue tout droit. Et, sauf catastrophe imprévisible, il n’y aura plus de changement possible ensuite: si je re-signe, c’est pour 15 ans. J’ai conscience de fermer définitivement toutes les autres portes.

Alors, je profite de la modeste audience de ce blog pour lancer un message : je cherche un nouveau job !

Si possible en investigations informatiques.

Grand groupe, petite structure, PME, tout est possible !

J’ai encore de l’énergie pour continuer à apprendre, j’ai de l’expérience pour éviter de faire trop d’erreurs, j’ai une bonne capacité d’écoute, j’ai les pieds sur terre… Enfin, vous me connaissez déjà un peu à travers ce blog.

J’étudierai toutes propositions sérieuses qui me seront faites par l’intermédiaire de la page Contact de ce blog. Après tout, je suis un grand rêveur…

Comme je ne suis pas très fort en « personal branding » et en réseautage, n’hésitez pas à en parler autour de vous pour me donner un coup de pouce 😉

Si cela ne donne rien, je pourrai me désinscrire sereinement de Cadremploi et autres CadresOnLine, et me consacrer à l’apothéose de ma carrière. Fidèle je suis, fidèle je resterai.

J’écris ce billet pour ne pas avoir de regrets.

Au moins, j’aurais essayé.

Fingers crossed…

GERME

Publié le par

Depuis trois ans, je suis une formation au management. Comme beaucoup d’ingénieurs, j’ai toujours privilégié la connaissance et la compétence technique au détriment des autres qualités que doit avoir un bon « chef d’équipe ». Le travail en équipe et l’animation d’équipe ne m’ont pas été enseignés lors de ma formation initiale maintenant lointaine. Et après 30 ans d’immersion dans la technique, il était temps de retourner à l’école, pour corriger ce que j’avais pu apprendre « sur le tas ». Le management en fait partie.

Je suis allé voir la personne en charge des ressources humaines dans mon entreprise et elle m’a conseillé de prendre contact avec une animatrice de ce formidable organisme qui s’appelle GERME.

Késako ?

GERME est une association loi 1901 qui est née d’une initiative de membres et d’animateurs de l’Association Progrès du Management (APM) en 1992 qui ont souhaité une approche de perfectionnement au management des entreprises pour leurs cadres de direction. L’association GERME a finalement été créée fin 1997 et constitue le réseau de référence pour les managers qui veulent développer et mettre en œuvre de nouvelles compétences en management. l’acronyme GERME signifie d’ailleurs Groupes d’Entraînement et de Réflexion au Management des Entreprises.

Les managers adhérents à GERME progressent et se développent par la formation, les mises en situation et le partage d’expériences au sein de groupes présents sur tout le territoire français, les Antilles et la Belgique. Chaque groupe compte de 15 à 20 cadres de direction qui se réunissent 8 fois par an pour suivre un cycle de formation, pilotés par des animateurs formés à la pédagogie GERME.

C’est pour moi l’occasion de prendre un peu de recul par rapport à la pression du travail, à l’urgence des problèmes que je rencontre au quotidien dans mon entreprise. C’est surtout pour moi un lieu d’échanges en confiance. En effet, quoi de mieux que de rencontrer des personnes d’autres entreprises, ayant des responsabilités similaires, mais dans des métiers très différents, et de pouvoir se confier à eux, de pouvoir parler de ses propres faiblesses, erreurs et défauts en étant écouté sans se sentir jugé.

Une fois par mois, sur 8 mois sélectionnés judicieusement pour que tout le monde puisse participer, je rencontre des personnes qui sont devenues pour moi des camarades de galère, que je connais maintenant mieux que leurs collègues de boulot, et nous suivons une journée de formation animée par un conférencier sélectionné par le réseau GERME, sur un thème que nous avons collectivement choisi. Les thèmes se regroupent dans 4 axes pédagogiques: le manager et le monde, le manager et son entreprise, le manager et son équipe, et enfin le manager lui-même…

Pour vous donner une idée, voici quelques unes des formations que j’ai suivies depuis 2011:

– Comment gérer les personnalités difficiles ?

– Comment motiver son équipe ?

– Comprendre et manager la génération Y

– Anticiper et accompagner le changement

– L’attitude intérieure positive

– Prendre la parole en public et rester zen

– L’intelligence émotionnelle

– Comment mieux gérer son stress ?

– Humour et management

– Conduire le changement

– Décrypter la gestuelle pour rendre plus efficace sa communication

– La communication de crise, quelles relations avec la presse ?

– L’art de la répartie : comment réagir en toute situation ?

– Équilibre vie professionnelle vie privée

A chaque fois, le conférencier anime la journée en alternant présentation, mise en situation, exercices pratiques, échanges entre apprenants, etc.

Cela permet de recevoir des connaissances en provenance d’un professionnel expérimenté, de pouvoir les discuter et se les approprier, et surtout de confronter « entre nous » les expériences – bonnes ou mauvaises – des uns et des autres. Qui n’a pas eu à gérer une réunion houleuse, une personne qui réagit de manière désagréable, des problèmes d’ego ou un conflit au sein de son équipe de travail ?

J’apprends beaucoup sur moi-même au cours de ces formations. Elles ont contribué – j’espère – à améliorer mon contact avec les autres, que ce soit dans mon univers professionnel où l’on est parfois prompt à critiquer l’interface chaise-clavier, dans ma gestion des réunions d’expertise où l’écoute est importante ainsi que la bonne gestion de crise, ou dans ma tache de conseiller municipal, je pense en particulier à l’animation des réunions publiques.

Les valeurs GERME, sur lesquelles travaillent tous les adhérents, sont les suivantes: Progrès, Respect, Ouverture, Confiance, Humilité et Ensemble (PROCHE). Elles illustrent bien le mode de fonctionnement du groupe GERME auquel j’appartiens. Elles permettent de développer et mettre en œuvre de nouvelles compétences en management. Elles permettent d’apprendre à se connaître pour accepter ses limites et renforcer ses points forts.

En septembre 2013, il y avait 87 groupes GERME réunissant 1310 adhérents. Les groupes accueillent des cadres de direction associés à la réflexion et aux décisions stratégiques: cadres en responsabilité d’équipes, cadres en responsabilité transversales et parfois des dirigeants de TPE. Les adhérents sont accueillis dans un groupe en veillant à la diversité des fonctions et à la non-concurrence des entreprises représentées. Vous trouverez plus d’informations sur le site de l’association. N’hésitez pas à entrer en contact avec un animateur proche de vous ou directement avec l’équipe d’accueil de l’association. Les formations sont prises en charge par votre entreprise.

J’avais beaucoup d’idées reçues sur le management, principalement par méconnaissance. J’imaginais que certaines personnes avaient une sorte de qualité naturelle innée de « leader » charismatique, ou d’autres l’insupportable comportement de « petits chefs ». Je pensais que les cours de management consistaient en un ensemble de « trucs » pour manipuler les gens et en augmenter la productivité. J’avoue être allé un peu à reculons aux premières formations, moi le scientifique pur cru.

Au final, j’apprends à être plus ouvert, responsable, engagé, en constant perfectionnement, capable de comprendre mon environnement avec du recul, acteur et diffuseur de progrès au sein de mon entreprise, et acteur du changement.

Mes collègues ont constaté le changement. J’ai pu apprécier mon évolution dans la conduite des réunions d’expertise judiciaire. Même les étudiants sentent que j’ai changé en mieux. Même mes enfants…

Il me reste à mettre tout cela en pratique avec les élections municipales qui s’annoncent…

J’en parlerai sûrement ici.

Cracker les mots de passe

Publié le par

Quand j’étais jeune responsable informatique, dans les années 1990, il existait une « tradition » chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.

C’est ainsi que j’ai découvert le logiciel « crack« , librement distribué et partagé sur internet par les administrateurs réseaux.

C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal…

S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs « mékeskidis » (© Maître Eolas) ou les simples curieux.

—————————————

0) L’outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande « dd » et transformées en VM par liveView.

Pour les plus motivés d’entre vous, il existe des « tables arc en ciel » en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…

Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode « boot sur CD » de tous les postes que vous administrez…

—————————————

1) L’ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de « dictionnaires », le mot étant à prendre ici au sens de « liste de mots » (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…

Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique « Troll » de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.

—————————————

2) La référence : John l’éventreur

John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.

Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…

—————————————

3) L’attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.

—————————————

4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de « la pile BIOS à enlever » marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.

—————————————

5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.

Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe « habituel » pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.

Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type « votre mot de passe est bien ZorroDu69, merci de conserver cet email » (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.

C’est l’application d’une des bases de l’ingénierie sociale

—————————————

Conclusion

L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, c’est bon, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !