ce bon vieux blog

Avertissement : la sécurité informatique est un sujet très complexe et difficile à mettre en œuvre. Je ne suis moi-même pas un expert en sécurité, mais je base cet article sur ce que j’ai pu lire sur différents sites. Mais à vous de vous documenter plus si vous souhaitez vérifier la sécurité des applications listées ci-dessous.

Saviez-vous que chaque email que vous envoyez peut être très facilement lu par des personnes mal intentionnées ? Non seulement les emails ne sont pas chiffrés sur votre machine, mais ils ne sont pas chiffrés non plus sur les serveurs distants. Pire, ils ne sont pas chiffrés non plus pendant le transfert de votre machine à celle de votre correspondant ! L’email standard est le niveau 0 de la sécurité : il n’y a aucun chiffrage, que ce soit au niveau du stockage ou au niveau du transport ! Concrètement cela signifie que n’importe quelle agence à trois lettres qui souhaite lire vos emails peut le faire très facilement. C’est d’ailleurs assez ironique de voir à quel point les grandes entreprises si jalouses de leurs secrets n’hésitent pas à utiliser l’email pour envoyer des documents confidentiels.

Évidemment la parade à cela, c’est le chiffrage. Le problème c’est que le chiffrage, c’est loin d’être simple. Autant pour des raisons mathématiques que techniques et surtout politiques.

Le chiffrage et la sécurité nationale

Les solutions de chiffrage efficaces sont souvent présentées comme des armes pour les terroristes, les pédophiles et autres êtres malfaisants. On arrête l’hypocrisie. La France et bien d’autres pays n’ont aucun remords à vendre des armes bien réelles et des systèmes de surveillance électronique à des dictatures. Comble de l’ironie, ces superbes deals sont protégés par l’excuse du secret défense ! Il faut voir aussi à quel point nos démocraties sont promptes à condamner le Great Firewall of China alors qu’elles-mêmes bloquent de plus en plus facilement ce qu’elles considèrent comme contraire à leurs intérêts. Alors bien sûr que les sites qui font l’apologie du terrorisme ne sont pas acceptables, mais sans cadre légal démocratique strict la dérive totalitaire est très facile.

La réalité c’est que sur le point de la surveillance nos pays sont bien mieux équipés que la plupart des dictatures. Dans un réflexe spontané d’auto-préservation les États démocratiques font tout pour surveiller les individus au détriment du respect de leurs libertés et de leur vie privée et sans aucune réflexion sur les dégâts potentiels à long terme.

Le chiffrage des transmissions de données ce n’est pas le vrai chiffrage !

Lorsque vous voyez l’icône du cadenas dans votre navigateur web vous pouvez vous croire protégé. Faux. Archi-faux. Ce qui est chiffré c’est uniquement la transmission des données entre votre machine et le serveur situé quelque part ailleurs sur terre. Toute personne qui a accès à votre machine ou la machine à distance pourra accéder à vos données. Quelques exemples de services qui ne chiffrent que la transmission des données ? Voilà :

• gmail
• Dropbox
• OneDrive
• iCloud
• Hotmail
• Slack
• Facebook

Je continue ? 99,99% des services internet ne chiffrent nos données que durant la transmission. Par exemple une personne mal intentionnée qui accède à la machine sur laquelle sont stockées vos fichiers Dropbox peut les lire sans aucune difficulté. Certaines données, comme le mot de passe, sont souvent chiffrées, c’est vrai (avec différentes méthodes comme le hash et le salt trop longues à décrire ici), mais toutes les autres données sont stockées sans aucun chiffrage.

Le chiffrage de bout en bout, seule véritable solution sécurisée

Pour avoir des données réellement sécurisées, il faut utiliser ce qu’on appelle le chiffrage de bout en bout. Les données sont chiffrées partout. Seul le propriétaire, et éventuellement le destinataire, doivent pouvoir lire les données. De plus il faut que la mise en œuvre du chiffrage soit : 

• fiable, ce qui est très difficile à faire (par exemple la NSA a poussé à l’adoption de certains algorithmes de chiffrage comportant des faiblesses qui rendent le déchiffrage beaucoup plus facile),
• auditable pour vérifier qu’elle ne comporte pas de « porte dérobée » (par exemple via un mot de passe secret qui permettrait à une agence de renseignement d’accéder à vos données),
• chiffre également ce qu’on appelle les méta-data ou du moins en minimise l’empreinte. Un exemple de méta-data c’est la liste des appels que vous avez passé depuis votre téléphone ; ce sont des données supplémentaires qui sont nécessaires pour transmettre les données principales, mais qui peuvent être utilisées contre vous.

La liste de services internet qui respectent ces critères pour le chiffrement de bout en bout est incroyablement courte. Pour plusieurs raisons. Premièrement, comme déjà évoqué, c’est très difficile à mettre en œuvre correctement et cela demande un niveau de compétences spécifiques très élevé. Deuxièmement les agences de surveillance font tout pour empêcher le développement de ces solutions. Voici néanmoins une liste de solutions qui, au mieux de mes connaissances, utilisent le chiffrage de bout en bout.

Email: Protonmail

Protonmail.

Protonmail est un service d’email sécurisé basé en Suisse. Attention, il ne fonctionnera de manière sécurisée que lorsque les emails sont échangées entre adresses @protonmail.com - si vous envoyez un email à une autre adresse, par exemple @gmail.com, cet email ne sera pas chiffré. C’est une limitation impossible à contourner à cause du fonctionnement non chiffré des messageries email classiques. Le service fonctionne bien, mais par contre il possède plusieurs faiblesses potentielles. La première est l’utilisation de JavaScript dans le navigateur pour assurer le chiffrage qui ne permet pas de garantir une sécurité à 100% (compromission des serveurs de Protonmail, man in the middle attack). L’utilisation de l’App iOS ou Android permet de résoudre ce problème. La deuxième est que vos clés de chiffrement sont stockées sur leurs serveurs. Néanmoins Protonmail semble un excellent compromis entre sécurité et facilité d’utilisation.

À noter que pour freiner l’adoption de Protonmail celui-ci a mystérieusement disparu des résultats de recherche de Google pendant plusieurs mois. Google n’a jamais fourni d’explication, mais on peut penser que la concurrence que Protonmail représente pour gmail n’y est pas étrangère.

Messagerie instantanée : Signal

Signal

Signal est à l’heure actuelle une des seules messageries instantanées qui supporte le chiffrage de bout en bout de manière suffisamment fiable et auditée.

Oubliez WhatsApp ou Skype. WhatsApp a été racheté par Facebook. Microsoft a modifié l’architecture de Skype pour permettre à la NSA d’écouter toutes les conversations.

GTD : Omnifocus

Omnifocus

Omnifocus 2 utilise les serveurs de Omni Group pour la synchronisation entre appareils et supporte le chiffrage de sa base de données de bout en bout. Le chiffrage a lieu avant que les données ne quittent vos appareils. Cela signifie que les données stockées sur les serveurs de Omni Group sont illisibles pour toutes les personnes qui ne disposent pas du mot de passe ; même les employés de Omni Group ne peuvent y accéder.

C’est un excellent pas dans la bonne direction, même si comme souvent il est impossible d’être certain qu’aucune porte dérobée n’existe.

Disque Dur : TrueCrypt ou VeraCrypt (Avertissement !)

TrueCrypt VeraCrypt

Vous pouvez utiliser TrueCrypt version 7.1a (la dernière vraie version de TrueCrypt, les versions plus récentes n’étant pas fiables). Mais attention, le projet n’est plus maintenu, après l’abandon brutal du projet par l’équipe de développement.

Vous pouvez également vous tourner vers son successeur, VeraCrypt. Même si ces solutions ne sont pas parfaites, ce sont celles qui ont le moins de risques de comporter une porte dérobée cachée.

Pour chiffrer le contenu de votre disque dur, vous pouvez faire confiance aux solutions standard fournies par Apple (FileVault) ou Microsoft (Bitlocker). Mais il faut savoir que Microsoft a laissé échapper par mégarde la clé de la porte dérobée pour accéder au contenu des disques lors du Secure Boot…. À l’heure actuelle aucun élément ne permet d’incriminer Apple, mais rien ne permet de garantir que FileVault ne comporte pas une porte dérobée. Par simplicité FileVault est la solution que j’utilise pour protéger mes données en cas de vol.

En conclusion…

Je veux encore rappeler que je ne suis pas un expert de la sécurité et que de nos jours en termes de sécurité on ne peut être sûr de rien. Adopter ces solutions chiffrées de bout en bout, c’est bien, mais vous allez vite vous rendre compte de la limite principale : l’humain. 90% des utilisateurs se fichent de la sécurité de leurs données et ne voudront pas utiliser Protonmail ou Signal. Tant pis pour eux. Je suis personnellement convaincu que ces solutions doivent être supportées activement pour permettre leur développement et leur adoption par un nombre croissant d’utilisateurs.

Suite de mes réflexions en tant que nomade digital. Vous pouvez trouver les autres articles sur le sujet ici et ici.

Finalement être nomade digital, c’est simplement être un télétravailleur à temps plein. Beaucoup de personnes qui rêvent du télétravail sans en avoir fait l’expérience s’imaginent que c’est la liberté absolue. Elles ont raison. Et c’est bien là le problème.

Car « en situation de liberté absolue l’activité prioritaire est l’activité qu’on a envie de faire. »

Et lorsqu’on a le choix, aucune contrainte, l’activité qu’on a envie de faire à n’importe quel moment de la journée c’est très rarement le travail. Tout devient tentation. Les vidéos de chats sur Youtube prennent une dimension métaphysique insoupçonnée. Les tweets de pâtisseries deviennent incroyablement passionnants. Même ranger la cuisine pourrait devenir intéressant (enfin, faut pas déconner non plus).

Résultat « la liberté absolue nous enferme dans une prison d’improductivité. »

Alors que faire ? C’est simple. Puisque la liberté absolue n’incite pas à travailler, il faut se créer un système limitant cette liberté. C’est le paradoxe du travail à distance : pour pouvoir être plus libre, il faut être capable de s’imposer soi-même des contraintes. Il n’existe pas de système unique fonctionnant pour tout le monde, un système de contraintes pourra fonctionner fantastiquement bien pour Toto et être totalement inefficace pour Titi. C’est un exemple, je n’ai rien contre les Titi.

Au fil des années j’ai mis en place un système de productivité qui m’aide à tenir mes engagements jour après jour. GTD fait partie de ce système mais ne suffit pas. Mon système est constitué d’un ensemble de règles qui structurent ma journée de travail.

6 exemples de règles pour le télétravail

Voici quelques exemples de règles de télétravail que j’applique :

• Réserver un endroit au travail. Que ce soit une pièce entière, un bureau ou un simple coin de table, essayez de toujours travailler au même endroit. Au fil du temps lorsque vous serez à cet endroit il vous sera plus naturel de vous mettre en mode travail. Pour moi c’est mon célèbre bureau debout à 20€.
• Adopter des horaires réguliers. Que ce soit le traditionnel 9h à 17h ou des horaires plus exotiques comme 22h à 2h ou 6h à 11h, essayez de démarrer et terminer le travail tous les jours à la même heure.
• Habillez-vous pour le travail. Ne restez pas en pyjama pantoufles, lavez-vous, habillez-vous bien, comme si vous deviez rencontrer vos collègues. Ça vous aidera à vous mettre dans l’ambiance « travail ».
• Limitez les distractions. Coupez les notifications inutiles, ne vérifiez pas votre email en permanence, ne laissez pas vos enfants vous déranger pendant le travail, empêchez votre chat de venir se coucher sur le clavier, etc.
• Établissez une limite claire et séparez nettement travail et privé. Réserver un endroit et un horaire au travail c’est bien, mais veillez également que le travail ne s’immisce pas partout dans votre vie. Le week-end c’est le week-end, le travail n’y a pas sa place, ni dans les discussions, ni dans votre esprit.
• Ouvrez et fermez la journée de travail. Dans le même esprit, échauffez votre cerveau avec quelques tâches faciles au début de la journée de travail et fermez officiellement la journée de travail, par exemple en effectuant une revue quotidienne de vos tâches et projets.

Mais alors, finalement, le télétravail, c’est autant de contraintes que d’être au bureau ??? Et oui, il n’y a pas de magie, le télétravail c’est le travail ! Mais avec deux différences fondamentales. Premièrement, vous êtes libre de choisir le système de contraintes qui vous convient le mieux plutôt que de « subir » le système existant, et ça c’est un énorme avantage pour les personnes qui ont l’auto-discipline nécessaire. Deuxièmement il est beaucoup plus facile de gérer les interruptions externes lorsqu’on est en télétravail.

Pour conclure, et de mon expérience générale, la capacité à travailler à distance d’une personne dépend directement de sa capacité à s’imposer les contraintes nécessaires, et donc de sa capacité d’auto-discipline. Comme tout, cette capacité d’auto-discipline se travaille. Mais ce sera pour un autre article…

Faut-il apprendre sa présentation par cœur ? Allons même plus loin : faut-il préparer sa présentation ? Ne perd-on pas toute spontanéité ? N’est-on pas plus naturel sans aucune préparation ? En bref, voici mes conseils :

• Non, sauf cas particulier, il ne faut pas l’apprendre par cœur.
• Oui il faut préparer et répéter sa présentation.
• Le truc est de ne pas faire qu’une répétition, mais de répéter suffisamment et surtout, surtout, surtout utilement.

Le paradoxe de la préparation

Vous avez probablement tous vécu cet épisode : vous essayez de répéter une présentation que vous avez préparée, et là c’est le drame. Vous bafouillez, vous hésitez, vous essayez de vous souvenir de ce que vous devez dire. Bref, vous êtes moins bons que si vous n’aviez fait aucune répétition ! Et c’est normal. C’est ce qu’on appelle le paradoxe de la répétition :

Lors des premières répétitions, vous n’allez pas vous améliorer, vous allez être moins bon. Pourquoi ? Parce que nous sommes en train d’apprendre. Imaginez un musicien qui apprend un nouveau morceau exigeant. Il lui faut plusieurs séances de travail avant de maîtriser le morceau et retrouver spontanéité et naturel. Paradoxalement, plus il aura travaillé le morceau plus il pourra le jouer naturellement. C’est exactement la même chose avec les présentations.

Est-il possible de trop répéter ?

Il est possible de trop répéter, mais franchement, ça n’arrive presque jamais. Ce qui arrive beaucoup plus souvent, c’est de mal répéter, et c’est ce que l’œil d’un coach professionnel vous aidera à éviter. La répétition ancre les bons réflexes dans votre cerveau, mais elle amplifie également les mauvais. Mon conseil : il vaut mieux privilégier la qualité des séances de répétition à la quantité. Une séance de répétition “molle” dans laquelle vous ne mettrez pas l’énergie et la conviction nécessaire ne vous apportera que du doute et aucun bénéfice. Une séance de répétition durant laquelle vous refaites les mêmes erreurs ne fera que renforcer ces erreurs et les rendra encore plus difficiles à corriger.

Le cas extrême : le par cœur

Finalement, le par cœur, bonne ou mauvaise chose ? À mon avis, le par cœur n’est nécessaire que lorsqu’on doit respecter un timing précis ou lorsqu’on veut obtenir un effet comme une anecdote drôle ou un effet de surprise. Pour le reste de la présentation il vaut mieux suivre son fil conducteur et laisser les mots venir naturellement, ce qui devrait être facile si vous avez bien répété votre présentation orale.

Il y a quelques semaines j’ai montré une vidéo de Steve Jobs présentant le Macintosh original, un excellent exemple d’un lancement produit réussi. Un moment particulièrement impressionnant pour le public est ce moment où il sort lentement le Macintosh de son sac, sort la disquette de sa poche, l’introduit dans le lecteur et fait démarrer le Mac. Cet effet de scène se base sur l’utilisation efficace d’objets. Un exemple valant mieux qu’un long discours, j’en ai sélectionné quelques uns pour montrer comment les meilleurs présentateurs utilisent les objets sur scène.

Bill Gates et les moustiques

Lorsque Bill Gates a présenté le problème de la malaria, il a lâché des moustiques sur l’auditoire. Rien de mieux pour faire prendre conscience du problème ! Heureusement, ces moustiques n’étaient pas infectés. Regarder vers 5 minutes. Bill Gates et les moustiques

Jamie Oliver et la brouette de sucre

Jamie Oliver apporte une brouette pleine de sucre sur scène pour montrer la quantité de sucre ingérée par les enfants aux États-Unis. Regarder à partir de 12'30". Jamie Oliver et la brouette de sucre

Hans Rösling et la population mondiale

Hans Rösling, un de mes présentateurs préférés, utilise à merveille les objets pour illustrer son propos sur la croissance de la population mondiale. [Hans Rösling et la population mondiale]

Phil Waknell et les ballons

Phil Waknell, mon associé, a utilisé des ballons avec une grande efficacité lors d’une présentation à Wikistage. À partir de 14 minutes. Phil Waknell et les ballons

S’il y a bien une chose que je trouve difficile sur GTD, c’est de définir une liste de contextes adaptée à ses besoins. Pour ceux que cela intéresse, voici la liste des contextes que j’utilise aujourd’hui :

• mac
  • filemaker
• iphone
• ipad
• hereandnow
• errands
• waitingfor

J’ai choisi un système de contextes structuré principalement autour de mes appareils, car c’est ce qui détermine le mieux ce que je suis capable de faire à un moment donné ! Je préfère le Mac lorsque je suis à mon bureau ou en déplacement lorsque je sais que j’aurai besoin de faire des travaux lourds. Je choisis l’iPad lorsque je suis en déplacement « light » et que je sais que je n’aurai pas besoin de grand chose¹. Et je consulte l’iPhone lorsque je n’ai ni le Mac ni l’iPad avec moi, en général pour des petites courses. Omnifocus 2 se charge de synchroniser automatiquement mes tâches sur les trois appareils.

En plus des contextes GTD classiques @errands (courses) et @waitingfor (en attente de) et J’ai également quelques contextes “spéciaux”. @filemaker regroupe toutes les tâches que je dois faire sur la base de données FileMaker Pro, c’est un sous-contexte de @mac. @hereandnow regroupe toutes les tâches que je peux faire sur n’importe quel appareil, par exemple la revue quotidienne de mes tâches peut se faire indifféremment sur le Mac, l’iPad ou l’iPhone, même si je serai toujours plus efficace sur le Mac.

Ce système de contextes me donne entière satisfaction depuis plus d’un an. Mais si vous utilisez un autre système de contextes n’hésitez pas à m’en faire part !