Je suis passé au gestionnaire de mots de passe

Par défaut

Situation initiale

Pendant longtemps, j’ai été réfractaire aux gestionnaires de mots de passe. Confier l’intégralité de mes accès à un logiciel qui les synchronise dans le cloud (c’est-à-dire, sur l’ordinateur de quelqu’un d’autre) ne m’enchantait vraiment pas. J’avais donc une gymnastique mentale avec mes mots de passe : 3 différents que je faisais varier selon le site où ils étaient utilisés. Le temps passant, je commençais à me dire que ce n’était pas idéal car l’entropie n’était pas suffisante et j’avais des collisions : 2 sites pouvaient avoir le même mot de passe.

la suite…

Désinstallez FileZilla

Par défaut

Ce client FTP est très populaire, et c’était ma référence en la matière depuis de nombreuses années. Mais au boulot, j’ai dû m’en passer, après avoir tenté de me connecter au FTP d’un partenaire.

Mais récemment, en voulant bidouiller le thème du blog, l’upload de CSS cassait tout. Je pensais avoir fait une coquille, mais non. Je retélécharge le fichier d’origine et l’upload sans modification et là, stupeur : c’est tout pété quand même. Je fouille les réglages de FileZilla, et je me dis après 1h de recherches infructueuses que je vais tester un autre client.

Je me tourne donc vers Alternative.net pour trouver un concurrent et je vois ça :

« Application not safe » que je lis… je creuse rapidement la question et découvre un fork, FileZilla Secure qui annonce la couleur sur son site dans un TL ; DR :

FileZilla does not encrypt your saved FTP passwords and I got hacked. FileZilla Secure will encrypt your saved FTP passwords with a master password.

Traduction rapide :

FileZilla ne chiffre pas vos mots de passe FTP sauvegardés et j’ai été piraté. FileZilla Secure chiffrera vos mots de passe avec un mot de passe maître.

J’ai regardé ce que j’avais sur mon disque, et en effet, le mot de passe est sauvé en base64, un truc qui se décode en 2 secondes. Le soucis avec ça, c’est que si vous chopez un malware qui a pour objectif d’aller lire les fichiers de configuration de FileZilla, qui se trouvent toujours au même endroit, il peut choper vos mots de passe sauvegardés et les envoyer sur le Net.

Ajoutons à ce fait déjà grave que l’installeur de FileZilla tente de vous faire installer un produit sponsorisé même temps (ce qu’on appelle un « bundleware ») je n’ai pas cherché plus loin, j’ai dégagé ce caca puant.

Si vous êtes vraiment trop habitué à l’interface de FileZilla, le fork sécurisé est une bonne idée. Seule une version Windows est disponible actuellement, mais les version Mac et Linux arrivent, a priori.

Personnellement, j’ai opté pour WinSCP (Windows seulement), qui a l’avantage de pouvoir utiliser les sessions Pageant de PuTTY (un truc qui permet de se connecter sans mot de passe).

C’est vraiment triste de voir à quel point ce soft qui était excellent est devenu mauvais avec le temps.

Fausse faille de sécurité sur Firefox 1.5

Par défaut

Depuis quelques jours, un communiqué dévoilait une faille de sécurité pour Firefox 1.5. Comme une trainée de poudre la nouvelle se répandît, à  la grande joie des anti-firefox qui pouvaient enfin cracher dessus. Et bien que nenni, ce n’est nullement une faille de sécurité mais un manque de performance lorsque le fichier historique deviens trop gros : dans le cas exemple, une page internet avec un titre qui faisait 2,5 millions de caractères (oui oui…). Autant dire que ce cas est rare. Toutefois, si jamais votre Firefox met un peu de temps à  s’ouvrir, laissez le terminer le temps qu’il faudra (ça peut être très long selon la puissance de votre machine, mais pas au delà  de, à  mon avis, 35mn) puis videz l’historique.

Cette rumeur et l’ampleur qu’elle a prise montre à  mon avis, l’importance que Firefox a acquis depuis sa version 1.0. Un produit trop bien provoque la jalousie, la jalousie pousse à  la calomnie.

Le problème sera bientôt résolu, ce qui vous donnera l’occasion de voir le nouveau système de mise à  jour automatique en oeuvre 😉