Ce que je pense de Maroc Web Awards #mwa7

Maroc Web AwardsMaroc Web Awards est un évènement qui se tient chaque année et qui a pour but de récompenser le meilleur du web au Maroc. Le concept était différent au début et ça s’appelait Maroc Blog Awards, ça permis de rassembler les rares bloggeurs marocains de l’époque (blogoma), après avec l’émergence des réseaux sociaux le concept fut altéré pour encapsuler différentes communautés web tel que Instagram, Facebook, Twitter, Youtube etc.. il fallait bien un évènement qui donne une meilleure visibilité et qui encourage les acteurs du web dans ce bled :)

MWA Aujourd’hui

L’événement nous prouve chaque année que nous avons un web diversifié et riche, seulement il a été largement critiqué sur les réseaux sociaux surtout par les internautes n’ayant pas pu avoir leur invitation. Pour un événement qui en est déjà à 7ème édition je pense que c’est normal que les invitations s’épuisent en quelques minutes; Rassembler 1500 personnes dans une cérémonie est certes une tâche difficile surtout lorsqu’on sait que Synergie Media fait un effort énorme pour offrir chaque année plus de places gratuitement et améliorer les critères de sélection, il n’est pas facile d’avoir des nominés assez représentatifs de la communauté web marocaine.

Boycotter n’est pas la solution

Maroc Blog Awards (2009) - Crédit photo : Wahid Tijani

Maroc Blog Awards (2009) – Crédit photo : Wahid Tijani

Une bonne partie des anciens de la blogosphère au Maroc a boycotté l’événement, chacun pour ses raisons mais c’est surtout à cause de la qualité des nominations et de l’horreur de voir les mêmes visages et un public de moins en moins respectueux envers l’événement. Le changement des règles de la compétition oblige les nominés à se proposer eux même ce qui a découragé beaucoup de profiles intéressants ou hésitants. Avec tous mes respects pour les nominés de la 7ème édition, je passe la grande majorité de mon temps sur internet et il y’a beaucoup de finalistes que je n’ai jamais connus. Après tout il faut être réaliste et admettre que c’est ce que le web marocain offre pour l’instant et qu’il faut tout juste ajuster et maitriser le processus de nomination afin d’avoir une meilleure représentative.

Personnellement je ne suis pas pour le boycott car depuis la première édition les organisateurs étaient – et sont toujours – ouverts au débat, et invitaient constamment la communauté à donner son feedback pour améliorer l’organisation et le concept.

Qu’est ce qu’il faut changer?

Il faut d’abord une communauté mature avec un minimum de reconnaissance et de respect. Je partage avec vous quelques points qui, à mon humble avis, peuvent améliorer la qualité de nominations et créer plus d’interactivité :

Le règlement

Obliger les nominés à se proposer eux même est une mauvaise idée parce-que la majorité des profiles à fort potentiel sont souvent cachés quelques part dans l’attente d’un feedback positif + beaucoup d’encouragements. La formule actuelle ne semble pas équitable car au final ce sont les internautes qui apprécient des profiles. Il suffit par la suite, en fonction des nombres de nominations, de confirmer avec les concernés, un taux de nomination élevé peut donner envie aux profiles hésitants de participer.

Les nominés :

Accepter la nomination des figures publiques et des stars reconnus n’est pas non plus une bonne idée, ça peut être poliment remplacé par un titre d’honneur

Le déroulement de la cérémonie :

Ne pas réduire l’événement en une seule soirée et cérémonie, créer des tables rondes et inviter les nominés à raconter leurs retours d’expériences pour inspirer le public, cette interaction peut permettre de réduire les fausses candidatures et responsabiliser les futurs nominés des Maroc Web Awards

Le sponsor :

Dans ses débuts Maroc Blog Awards a été sponsorisé par Blogger (Google) ce qui a permis de fidéliser rapidement beaucoup de bloggeur de la websphère marocaine et a donné beaucoup de crédibilité à l’événement, malheureusement aujourd’hui l’événement avec tous les efforts de l’équipe organisatrice demeure constamment pénalisé par le regard subjectif qu’a la majorité des internautes de Maroc Telecom qui depuis la 3ème édition est devenu sponsor officiel de l’événement.

Pour conclure

Je ne vous cache pas que c’est grâce à Maroc Web Awards que j’ai pu connaitre beaucoup de personnes intéressantes de la communauté du web marocain, si on ne compte pas la Tunisie, le Maroc a l’une des meilleurs communautés internet du Maghreb, des évènements tel que Maroc Web Awards et GeekFtour contribuent amplement à créer de l’interactivité et offrir ce genre de rencontres entre les passionnés du Web au Maroc, ce sont des initiatives à encourager et soutenir. Je dis Bravo et beaucoup de courage à Synergie Media pour les futures éditions!

Les données personnelles au Maroc, entre théorie et pratiques

J’étais super content quand j’ai su que les marocains auront enfin une autorité administrative pour la protection des données personnelles, aujourd’hui comme avant on constate toujours une vraie demande de protection des données personnelles par les marocains qui reçoivent beaucoup d’SMS et d’émail publicitaires (parfois sans lien de désinscription).

Après trois ans et demi de la création la commission nationale de contrôle de la protection des données à caractère personnel (CNDP), on se pose toujours des questions par rapport au rendement de cette commission et au rôle qu’elle joue dans le cadre de la mission qui lui a été confiée. Selon le mot du président:

Cette institution fait du Maroc un des Etats pionniers en matière de protection des données personnelles dans le monde arabe et musulman. Sa création représente une grande avancée dans la protection de la vie privée des citoyens et dans la promotion des libertés et droits fondamentaux de l’homme

La Commission Nationale de contrôle de la protection des Données à caractère Personnel

La Commission Nationale de contrôle de la protection des Données à caractère Personnel

Par-contre quand on fait une petite recherche sur internet on se rend compte que la CNDP communique vraiment mal. Sur les réseaux sociaux on trouve un compte Twitter privé qui a trois ans, aucune réactivité malgré les mentions et les commentaires des internautes marocains.

Pour une institution qui opère dans le digitale, une présence dans les médias sociaux est une obligation, une interactivité avec les internautes est aussi requise pour les rassurer et aussi leur redonner confiance vis à vis l’usage de leurs informations personnelles.

Il faut savoir qu’à cause cette présence insuffisante sur internet, les internautes se sont vu parler au vide, je salue l’effort de Boubker Badr qui a maintes reprises fait preuve de réactivité et invite les internautes à déposer leurs plaintes sur le site de la CNDP, toute-fois c’est le rôle de la CNDP d’assurer sa présence en ligne et non pas seulement à travers des séminaires et conférences dont on ignore souvent les dates.

Beaucoup de dossiers à revoir

Je ne peux m’arrêter sur tous les dossiers que j’ai pu suivre, on prend juste l’exemple des résultats de baccalauréat au Maroc. En 2013 et à cause des problèmes techniques que rencontre chaque année le site du ministère d’enseignement, les données personnelles des étudiants marocains ainsi que leurs notes et mentions ont été hébergées sur une plateforme à base de technologies Microsoft, le problème c’est que ces données ont été placées sur des serveurs à l’étranger! Le site http://www.bac2013.taalim.ma/ pointe vers l’adresse ip 94.245.108.85 qui se situe en Irland, le site redirige par la suite au portail Microsoft (Office 365) hébergé aux Etats-Unis.

msbac

Ceci dis les informations de tous les étudiants ayant passé leurs bac en 2013 ont été délocalisées, cette opération ne peut être faite sans l’approbation de la CNDP à la demande, chose qu’à ce jour on ne sait même pas si Microsoft Maroc a pris l’autorisation d’héberger ces données ailleurs ou pas. Et encore pire, les accès aux résultats ne demandent que le CNE (Code National Etudiant) et la date de naissance de ce dernier.

A noter aussi que toute cette opération n’était pas nécessaire, le Maroc dispose aujourd’hui de beaucoup de compétences et profiles spécialisées en BigData et qui ont même bossé pour de gros comptes et aidé des géants de l’informatique pour sécuriser leurs plateformes, n’est t’il pas temps de repenser un partenariat public-privé en favorisant les acteurs locaux?

Plusieurs situations de non-conformité

Pas étonnant quand la première opération de « contrôle et audit » des sites Internet qui utilisent principalement les données personnelles pour alimenter leurs contenus, a porté sur les catégories des sites des Deals d’achat, des annonces d’achat et de vente, des offres d’emploi et des chambres d’hôtels. Ce choix est justifié par les tendances du marché marocain où la grande majorité des transactions représentent des achats sur des sites de Deals et des tickets de voyage, même après la signature de la lois de confiance numérique et l’instauration du label e-thiq@, les marocains n’ont toujours pas confiances quant à la sécurité des transactions en ligne, les résultats ont révélé plusieurs situations de non-conformité par rapport aux exigences de la loi 09-08 relative à la protection des données personnelles.

C’est la faute des sites?

Pas vraiment, quand on lit le premier communiqué de presse de la CNDP:

La majorité des sites web n’ont pas notifié leur traitement à la CNDP. Certes, la plupart des sites fournissent des informations sur la politique de protection des données personnelles, mais souvent ces informations sont vagues, incomplètes et dispersées

C’est de la communication non-violante certes, mais aussi une forme indirecte pour admettre que le mécanisme de contrôle mis en place par la CNDP est insuffisant pour avoir un feedback significatif, on ne peut blâmer les sites internet après 3 ans et demi d’existence, je pense plutôt que la communication digitale demeure insuffisante et que durant toute cette période, si on ne compte pas les séminaires destinés aux grand public, aucun évènement avec une représentative du web marocain a eu lieu pour montrer aux acteurs du web comment les informations à caractère personnel doivent être traitées.

La CNDP doit se rapprocher de la communauté internet au Maroc, se conformer à la réglementation nécessite l’implication d’autres secteurs comme l’éducation nationale, l’instauration de la culture de la confidentialité demande également beaucoup de temps, il faut enseigner aux marocains le concept de la vie privée sur internet, les branches techniques doivent aussi enseigner les bonnes pratiques pour produire un code propre et sécurisé.

L’instauration d’une confiance numérique ne peut pas aboutir sans la sécurité des prestataires de paiement avant tout, il faut plutôt commencer à ce niveau avant de passer aux sites marchands, La fiche d’information sur le projet du Code Numérique mise sur la sensibilisation des acteurs de la société à la sécurité des systèmes d’information. Plus nous avons des systèmes d’information vulnérables, plus les informations des marocains seront exposées aux risques.

Section sécurité des S.I sur le site de la CNDP Maroc le 28/02/2014

Section sécurité des S.I sur le site de la CNDP Maroc, capture faite le 28/02/2014

Conclusion

Il faut continuer à revendiquer un droit à la protection des données et solliciter la commission pour montrer à quel point, aujourd’hui nous avons besoin d’une régulation active en matière de données numériques. La CNDP fait un effort pour pousser les sites internet à se conformer à la lois 09-08 seulement il y a un manque de communication avec la communauté internet au Maroc, il existe également un manque de visibilité quant aux mécanismes de contrôle du traitement données personnelles des marocains sur la toile.

Software Freedom day CASABLANCA 2013, le rendez-vous incontournable des adeptes du libre

Software Freedom Day 2013

Software Freedom Day 2013

Instaurée en 2004, la journée du logiciel libre (également connue en anglais sous l’appellation « Software Freedom Day ») est une manifestation mondiale annuelle dans le but d’initier le public au logiciel libre à l’échelle mondiale, par son utilisation personnelle, dans l’éducation, l’économie ou par les gouvernements.

Pour la cinquième année consécutive Casablanca fête la journée mondiale du logiciel libre, un rendez-vous annuel et surtout un évènement majeur du mouvement qui rassemble des passionnées, des professionnels et des adeptes de la philosophie du libre.

Le concours SFD APP AWARDS :

En plus des des conférences, des présentations flash et des ateliers autour du logiciel libre, un concours sera organisé pour récompenser les meilleurs applications pour tablettes sous Android autour de trois catégories: Education, Entreprise et Divers. La remise des prix sera le 21 Septembre par Karim MAZOUZI(Directeur DBM), Driss LEBBAT (DG ADK MEDIA) et Said MATAICH (responsable des NTIC à l’ANPME).

Que vous soyez un étudiant, une entreprise ou un développeur freelance, vous pouvez déposer votre candidature avant le 15 Septembre 2013 via ce formulaire , vous pouvez également consulter le réglement du concours avant de postuler

Le programme de la journée :

Cette année le programme est assez riche, des intervenants de haut calibre sont au rendez-vous:

  • 14h00 : Accueil des participants (visite des ateliers)
  • 14h30 : Présentation de l ‘AMP2L par Mohamed NAYA -Professeur à la Faculté des Sciences Ben Msik
  • 14h45 : « Le Maroc dans le Global Innovation Index 2013 et les perspectives d’amélioration par le paradigme de l’Open Innovation » par Salah KOUBAA, Professeur au département des sciences de gestion- Université Hassan II-Ain Chok
  • 15h15 : « La route est longue mais la voie est libre » – Alexis KAUFFMANN, professeur de mathématiques et fondateur de Framasoft
  • 16h00 : Remise des prix du concours « SFD APP AWARDS » par les membres du jury
  • 16H15 : Pause salat al asr – visite des ateliers
  • 16h40 : « Les enjeux du LL dans le systéme éducatif » – Mohamed ZANNANE enseignant chercheur
  • 17h00 : « Les Mythes à propos du LL  » Abdrahman ELKAFIL vice président AMP2L
  • 17h20 : Présentation du livre « 54 raisons pour l’Afrique de choisir le logiciel libre » – Wilfried N’GUESSAN
  • 17h40 : Table Ronde – Débat « Le système éducatif marocain est-il technologiquement neutre ?« 
  • 18h25 : Clôture de la journée et photos de groupe

Software Freedom Day se déroulera à la faculté des science Benmsik le 21 septembre, Il ne faut pas être geek pour venir, l’accès est libre au grand public! Vous pouvez retirer votre invitation par ici : http://sfdcasablanca-es2.eventbrite.com/?rank=2, pour toute question contactez sfdcasablanca@gmail.com

Le hashtag officiel de l’évènement est : #sfdcasablanca, à bientôt!

Video: يوم البرمجيات الحرة الدار البيضاء SOFTWARE FREEDOM DAY CASABLANCA 2013

Merci à Mr Abderahman Elkafil pour avoir partagé cette vidéo en commentaire, voilà comme si vous y étiez!

4ans déjà, retour d’expérience!

FourthBirthdayCela fait 4 ans que l’histoire de ce blog a commencé, au début c’était une idée passagère qui m’a traversé l’esprit, une volonté de partager des choses utiles (ou pas) qui rendront service à la communauté internet, j’ai commencé donc à écrire des articles techniques, des tutoriaux sur un domaine qui me passionne énormément qui est la sécurité informatique, après j’ai consacré quelques articles à Internet au Maroc en partageant mon modeste avis sur l’usage de cet outil par les marocains et le rôle des opérateurs telecom dans l’évolution de ce dernier.

Pendant ces quatre ans, j’ai reçu des centaines d’emails, les sujets différent entre demandes bizarres (Oui j’ai reçu une dizaine de demandes bizarres), des offres d’emploi, des encouragements, des critiques et des remerciements.

Au début je pensais qu’un blog ne servira pas à grandes choses, je l’ai créé juste pour partager ce que je sais faire. Aujourd’hui en faisant le bilan je me rends compte que ce blog m’a été d’une très grande utilité et m’a permis de vivre beaucoup d’expériences enrichissantes, voici quelques petites histoires que j’ai vécu grâce à mon blog!

Moroccan Cyber Security Challenge

Moroccan Cyber Security Challange
MCSC est le fruit de l’effort de deux amis Yasser Aboukir et Jalilos qui m’ont contacté à travers mon blog en début 2011, ils m’ont parlé de l’idée des challenges et j’étais super partant dès le début, ma contribution était la mise en place d’une plateforme de challenge sous symfony et la préparation de quelques épreuves de cryptographie, j’ai publié un article parlant de la première édition et les passionnés de sécurité informatique se sont rapidement manifestés, j’étais agréablement surpris par succès du projet qui est devenu un événement incontournable au Maroc (en sa 3ème éditions déjà). Depuis d’autres challenges tel que « JNS Security Challenge » à Marrakech », « SupInfo Hackathon » ont vu le jour, chose qui manquait vraiment au domaine de la sécurité informatique au Maroc et qui va permettre de le promouvoir! Tout ça ne peut être que bénéfique pour faire sortir les zombies cachés derrières leurs machines pour se manifester et se retrouver dans un cadre convivial et surtout partager, et c’est le plus important!!

Un jour j’ai trouvé ma CIN grâce à mon blog!

En janvier 2013, j’avais perdu ma carte d’identité nationale à Rabat, et je m’en rappelait plus où!! J’ai déposé une déclaration de perte et passé quelques jours frustré à chercher sans résultat, jusqu’à ce que je reçois un e-mail sur mon blog depuis le formulaire de contact!

CIN

Oui, Hakim un gars sympa qui l’a retrouvé et a eu le réflexe de me chercher sur Google, il m’a reconnu de vue et puis m’a envoyé un e-mail! J’ai rencontré Hakim après 2 jours, et il s’est avéré qu’il est le chauffeur d’un taxi que j’ai pris la semaine d’avant quand j’étais de passage Rabat! J’étais agréablement surpris par le service qu’il m’a rendu et je le remercie encore une fois de m’avoir épargner des allez-retours pour refaire une autre CIN!

Mes articles recommandés par des enseignants!!

En 2012, j’ai participé aux JNS Security Challenge organisé par l’ENSA de Marrakech, avec une équipe de 2 fou-furieux de sécurité informatique, on a pu remporté le premier prix, c’était différent des MCSC, la plateforme de challenges a été conçu par ACISSI, une association spécialisée dans la sécurité informatique qui forme et certifie en la matière, j’étais surpris après l’événement lorsque j’ai reçu un message de Sébastien, un ami qui enseigne dans cette association:

Quelques chiffres

Voici quelques chiffres

Ce que j’ai appris de cette expérience

J’ai certainement appris beaucoup de choses grâce à mon blog, à défaut de ne pouvoir les citer toutes je me contenterai de dire que :

  1. Il faut toujours partager, continuer à partager, c’est en donnant plus sans compter qu’on apprend plus!
  2. Il ne faut pas avoir beaucoup de temps pour blogger, Créez votre blog d’abord, puis à chaque fois que vous jugez intéressant le fait de partager une idée, un avis, du savoir, faites le!
  3. Il ne faut pas avoir peur des retours négatifs, il faut admettre ses erreurs et accepter les critiques, c’est grâce aux retours des gens mieux expérimentés qu’on apprend et qu’on évolue
  4. Il existe bien beaucoup de personnes qui partagent vos passions, vos valeurs et vos ambitions, il faut en parler dans vos articles, et vous verrez beaucoup de monde qui y adhere
  5. Il faut être attentif vis à vis ses lecteurs, après tout c’est eux qui donnent vie à votre blog, il est important d’interagir avec eux dès que vous avez de la disponibilité

Sinon j’essaierai de consacrer plus de temps à mon blog, déjà à commencer par terminer les 10 articles en brouillon pour vous parler ensuite de mon expérience en tant que web entrepreneur!

Merci à tous mes lecteurs et à tous ceux qui ont contribué à la vie de ce blog!

Maroc Telecom, la fin de l’ère Internet 3G illimité?

Forfait épuisé!Dans une ère de temps où la compétitivité ne peut être que profitable pour le consommateur en lui permettant une large gamme de choix, le Maroc vit une ère complétement différente, celle où les fournisseurs d’accès internet au lieu d’améliorer leurs offres et proposer des services de plus en plus pertinents, ces derniers choisissent de pénaliser le consommateur et justifier (ou pas) les limitations imposées par la nécessité.

Depuis début Juillet, les abonnées de Maroc Telecom qui bénéficient d’internet mobile 3G illimité, notamment les clients ayant souscris à un forfait particulier/maîtrise avec engagement ont été surpris par la coupure de leur accès internet après le dépassement d’un quota de 1Go, un changement qui a été appliqué sans préavis préalable du consommateur. A titre de rappelle, avant lorsque le client consomme 4Go de bande passante, son débit internet mobile 3G est réduit à 128ko/s toutefois la connexion 3G reste accessible mais moins rapide, on reste connectés, chacun peut lire ses emails, consulter ses comptes sur les réseaux sociaux etc..

Bonjour la limitation!

volume-epuiseAujourd’hui ce n’est plus le cas, d’un coté le débit de connexion a été augmenté à 3.6Mo toutefois juste après la consommation d’1Go de bande passante la connexion est suspendue! sur le site de l’opérateur on indique clairement:

Débit théorique de connexion allant jusqu’à 3,6 Mb/s avec un équipement compatible, sous couverture réseau 3G+ Maroc Telecom. Au-delà d’un volume d’échange et de téléchargement mensuel de 1 Go, la connexion est suspendue. Pour continuer à naviguer, le client peut souscrire à un forfait 2 Go à 50 DH en appelant le N°600. Le montant du forfait additionnel sera reporté sur la facture.

En quelques mots: Vous consommez plus vite 1Go de données à 3.6Mo/s et on vous coupe internet pour payer plus! Avant vous naviguez à 512Ko/s pour consommer 4Go de données, après le débit maximum est écrêté à 128 Kb/s! A mentionner que dans les deux cas, Internet 3G Mobile est considérée comme étant un service gratuit..

L’avez vous lus? c’est de votre faute!

IAM se réserve la faculté de modifier à tout moment, sans notification préalable, la composition des options proposées.

Dans ce cas, le client aura la faculté de mettre fin sans frais à son contrat d’abonnement dans les quinze jours qui suivent par lettre recommandée avec accusé de réception, dépassé ce délai les dispositions prévues par l’article 16 ci-dessous s’appliqueront.

Ceci-dit : Si vous n’êtes pas contents, vous pouvez résilier votre abonnement, par-contre vous avez seulement 2 semaines, vous n’avez pas réagit dans 15jours? On ne peut rien faire pour vous ! Là encore l’équation n’est pas équitable puisque le client n’étant pas avisé d’un tel changement il ne le saura qu’après les 15jours pendant lesquels il est éligible à résilier sans frais.

La signature d’un contrat se repose sur une durée d’engagement, du coup je pense que tout changement d’un terme du contrat doit s’appliquer seulement à une date supérieure à la durée d’engagement à compter du jour de la signature du contrat. Dans le cas contraire il faut allouer plus de temps au client ou au moins l’aviser par SMS pour crédibiliser cette période de 15jours.

En gros, passé les 15 jours, vous n’avez pas le droit de contester, même si l’opérateur historique ne vous a pas prévenu à l’avance, même si le changement est majeur et constitue l’avantage clé à base duquel un nombre important de clients a choisi de souscrire à une offre. Même si dans le cour normale des choses les offres antérieures doivent être plus pertinentes et plus profitable au client. Une telle attitude venant d’un opérateur historique est désolante et risque de faire fuir un nombre important de clients !

Pourquoi un tel changement, et à qui il profite?

Si on voit les choses de l’autre coté, on comprend aussi que l’opérateur historique n’est pas complétement confiant quant à la fiabilité de son infrastructure et liaisons. J’imagine que lorsque les marocains sont en vacances le trafic échangé devient beaucoup plus important, donc susceptible de ne pas être assuré par les liaisons actuelles en besoin de mise à niveau. Ainsi une dégradation majeure de débit à cause de la consommation excessive est très probable.

Je pense que Maroc Telecom ne s’attendait pas à une demande de plus en plus importante quant à l’usage excessif d’Internet Mobile 3G, à savoir qu’Internet au Maroc est plus un outil de divertissement que d’apprentissage. La vidéo et la photo sont les contenus les plus consommées, le téléchargement excessif notamment les torrents et le P2P qui contribuent d’avantage à la dégradation du débit dans les périodes de pointe. Avec l’expansion des nombres du usagers on conclue facilement que les liaisons sont incapables de gérer un tel trafic et du coup l’opérateur historique se trouve dans l’obligation de sortir son joker, grâce auquel il peut se réserver le droit de modifier les articles du contrat et plafonner le taux de données consommées comme mesure préventive. A noter que cette mesure n’est qu’une succession à Meditel qui été le premier a avoir mi fin à internet illimité et qui propose seulement 500Mo d’internet à 3.6Mo/s gratuite sur les offres d’abonnement..

Lucratif, Argent Maroc

Ces mesures sont dans tous les cas profitables à l’opérateur, non seulement elles obligent le client de payer plus pour bénéficier d’avantage d’internet mais elles réduisent la concurrence indirecte imposée par les services de messagerie et applications VOIP qui permettent de rester en contact avec sa communauté en n’utilisant que le forfait DATA, notamment Viber, Google Hangout, Whatapps et autres.

Conclusion

Le client étant le plus grand perdant dans cette histoire, ce dernier n’a pas plusieurs options autre que la résiliation. Avec des termes de contrat non équitables et dans l’absence de réelles associations de protection du consommateur on peut s’attendre au pire, surtout quand cette limitation est devenue réglementée par l’ANRT. Des faits qui me laissent pessimiste quant au développement du marché mobile au Maroc qui va certainement régresser suite à de telles mesures, et surtout lorsqu’on sait qu’Aujourd’hui Internet mobile est considéré parmi les domaines ayant un potentiel de développement prometteur!.

Le problème au Maroc est que nos opérateurs veulent à tout prix copier le modèle suivi par les opérateurs Français (ex. Orange qui détient 40% de participation dans Meditel) sans volonté de s’adapter aux vrais besoins des Marocains. Certes dans un pays comme la France où la quasi totalité des foyers est équipée d’une box ADSL à très haut débit, ce type d’offres est justifié puisque la 3G ne va servir que lors des déplacements et les quelques jours de vacances loin du foyer, etc. Par contre, au Maroc il faut reconnaitre que les offres ADSL sont trop chères, ce qui oblige le consommateur à souscrire à un abonnement ou acheté une clé 3G pour un usage quotidien et intensif. Le jour où l’un de nos opérateurs décide de faire de l’illimité en bonne et due forme et à un prix raisonnable, je vous garantis qu’il écrasera complètement les autres concurrents et qu’on verra une nouvelle ère d’Internet Mobile au Maroc!

Supinfo Hackathon 2013, un rendez-vous incontournable des passionnés de la sécurité informatique au Maroc

SUPINFO Hackathon 2013

SUPINFO Hackathon 2013

Cette année, les étudiants de SUPINFO Casablanca ont très bien bossé pour vous donner rendez-vous à un événement de calibre rassemblant tous les fous furieux de sécurité informatiques! C’est la toute première édition de SUPINFO Hackathon: une journée de conférences qui seront animées par des jeunes chercheurs marocains et professionnels de l’Ethical Hacking, et encore 12 heures de compétition pour reveler de nouveaux talents en sécurité informatique à l’échelle nationale!

Quand et Comment?

SUPINFO Hackathon 2013 se tiendra le 15 juin à partir 09h00 jusqu’au 16 juin à 10h00 GMT à l’école SUPINFO Casablanca (voir map) et s’étalera sur deux jours, la première journée est dédiée aux conférences et aux ateliers, puis à partir de minuit la compétition de Hacking commencera et va durer 12h00!

Plus de 25 équipes ont déjà confirmé leur participation et feront face à différentes épreuves de tous types: cryptographie, forensic, web ,réseaux, failles applicatives, cracking, stéganographie et wireless, etc.. A rappeler qu’il ne s’agit surtout pas d’une compétition CTF (Capture The Flag), les organisateurs mettent l’accent sur l’aspect éthique des challenges dont le but est de résoudre un maximum d’épreuves (60 au total). Toute tentative d’attaque des serveurs ou des autres équipes concurrentes en dehors des épreuves proposées est strictement interdite, les organisateurs se réservent le droit de disqualifier toute équipe qui nuit à l’esprit convivial et éthique de la compétition.

Pour récompenser les plus rapides et pour plus de suspens: un bonus de points sera attribué aux trois premières équipes validant un bloc de 5 épreuves!

Qui peut participer? Comment?

Les inscriptions aux challenges sont ouvertes à tous, que vous soyez un professionnel, un étudiant ou un simple passionné d’Ethical Hacking, c’est l’occasion inédite pour tester vos compétences. Il suffit de constituer une équipe de 3 à 6 membres maximum et de s’enregistrer sur le site officiel du challenge Supinfo Hackathon 2013

Les conférences

Quant aux conférences, les thématiques sont diversifiées et très riches sur le volet technique, la majorité des conférenciers sont des jeunes marocains chercheurs en sécurité informatique ayant découvert des vulnérabilité chez des géants d’Internet tel que : Google, Paypal, Huawai, Oracle, Adobe, Microsoft, Mozilla et j’en passe.. Des visages connus de la scène d’Ethical Hacking au Maroc et qui nous promettent des découvertes exclusives lors de l’évènement.

L’accès aux salles de conférences est gratuit et ouvert à tout le monde! Ci-dessous les sujets proposés (par ordre alphabétique):

  • AbdelKader Boudih : Hacking is not a crime, bad programming is!
  • Abdelmoughite Eljoaydi : HTTP Fuzzing Techniques
  • Ali Dahmani : L’authentification par biométrie et son avenir.
  • Amine Cherrai : First Steps To Be an Ethical Hacker
  • Amine RAGHIB : Social Engineering Techniques with Real Life Scenarios
  • Ayoub Faouzi : From Brain to Flame
  • Hamza Bourrahim : Azul Private Operating System & Security in Other OSes
  • Karim Boudra : Wireless Hacking – « Invisble Enemy in The Air »
  • Mohammed LahlouThe Art of Website Vulnerability Assessment.
  • Oumleila Amanass : Merci Dream Killers
  • Soufiane TAHIRI : Attaques Avancées sur Applications Dot NET
  • Souhail Hammou : The Art Of Cheating in Games

Comme l’équipe organisatrice l’a mentionné :

Il s’agit de révéler à travers le « SUPINFO Hackathon 2013 » des talents, qu’ils se situent dans le milieu universitaire, professionnel ou informel. Le but est de faire s’affronter, réunies en équipes, des compétences individuelles, pour promouvoir les compétences disponibles sur le territoire National qui iront ensuite affronter d’autres équipes internationales. Avec pour objectif principal et final de partager les connaissances.

Une très belle initiative qui promeut l’Ethical Hacking, à supporter et à encourager vivement!
De ma part, j’y serai et je vous ferai un livetweet de l’évènement! Le hashtag officiel pour suivre l’évènement sur twitter est #supinfohackathon! Sinon En attendant le 15 juin! Vous pouvez jeter un coup d’œil sur le site officiel et la page de l’évènement sur Facebook!

SOYEZ NOMBREUX et à Samedi!

Présentation: 4 contre-mesures pour renforcer la sécurité de son application web coté client

html5-securityAujourd’hui avec tous les types d’attaques visant le coté client, la sécurité des applications web devient un sujet très sérieux à partir du moment où les interactions client/serveur transitent des données sensibles ayant trait à la vie privée des utilisateurs.

Les éditeurs de logiciels, et plus particulièrement des navigateurs, ont constamment contribué pour mettre en place des standards visant à renforcer la sécurité du coté client.

Dans cette présentation, on verra 4 contre-mesures pratiques permettant de sécuriser vos applications web contre les attaques les plus répondues.

C’était le sujet de ma présentation lors de la journée de la sécurité informatique organisée à l’université internationale d’Agadir Univerpolis par les étudiants de l’école polytechnique sous le thème : « enjeux et défis universels ». la conférence s’est déroulé le Samedi 18 Mai 2013

Je partage donc avec vous ma présentation, tout en vous réservant une série d’articles traitant chaque contre-mesure de façon détaillée, ci-dessous les grandes lignes de ma présentation:

  • Sécuriser la communication client-serveur
  • Limiter les attaques par injection de script
  • Insérer du contenu de manière sécurisée
  • Bien définir les interactions cross-domain

Bonne lecture et restez branchés pour la suite!

Tramway de Casablanca, quand le validateur de billets ne fonctionne pas..

Casablanca tramway

Casablanca tramway (Crédit photo: Wikipedia)

C’est presque devenu une habitude quand le citoyen lambda paie les erreurs de l’incompétence des gens qui – normalement – doivent veiller à lui rendre la vie facile. Je vous raconterai une petite histoire qui s’est passée dans une station de Tramway à Casablanca : Comme monsieur tout le monde je me dirige vers le distributeur de tickets, je paie et je récupère mon ticket pour aller à Casa Voyageur. Jusqu’ici tout est normale, je valide mon ticket à l’entrée de la station et là ça ne passe pas ! Je demande donc à l’agent de sécurité s’il y a un problème au niveau de l’appareil, ce dernier me dit que le ticket ne fonctionne pas et qu’il faut aller faire une réclamation à l’agence. Il est déjà presque 20h00, je lui demande donc si ça va poser problème si je monte avec dans le tram, il a dit «non», et il m’a quand même laissé passer. Ok par-contre il se trouve que je ne suis pas dans la bonne voie, il faut que je sors de la station pour aller de l’autre coté.

A l’autre coté il y a un autre agent de sécurité à qui j’ai expliqué que le billet que je viens d’acheter du distributeur est défectueux, et que son collègue m’a laissé passer. Ce dernier n’a pas été du même avis, il m’a montré un écrit où il y a des consignes officielles indiquant qu’il est interdit pour eux de laisser passer un voyageur avec un billet défectueux et qu’il faut leur demander d’aller réclamer dans l’agence la plus proche! Incroyable mais vrai, j’ai dit au monsieur que je ne peux pas acheter un autre billet parce-que ce n’est pas de ma faute si le distributeur/validateur de tickets ne fonctionne pas, faut bien trouver une solution parce-que j’ai préféré le tram par soucis d’efficacité, c’est plus rapide vu la circulation à Casa! Là, un monsieur me dit : si t’en a pas on peut cotiser 7DH pour t’acheter un billet, et c’est là que je me met en colère en lui expliquant qu’il ne s’agit pas d’argent, je peux m’en acheter plusieurs mais je n’accepte pas de payer l’erreur de celui qui a produit des distributeurs qui ne fonctionnent pas. A un certain moment j’ai arrêté puisque le mec ne fait que son travail et qu’il n’y peut rien à part recommander aux gens de prendre le reçu (que je n’ai pas pris) pour pouvoir récupérer un autre billet de l’agence après réclamation.

Je me suis redirigé – malgré moi – vers un autre distributeur de billet, et je n’avais pas de pièces, que des billets, j’étais obligé de chercher la monnaie dans un café puisque les distributeurs n’acceptent que des pièces.. J’ai acheté un autre billet et cette fois-ci j’ai aussi imprimé le reçu (on sait jamais). En le faisant, j’avais le doute que ça se reproduit, une frustration payante – peut importe le coût – mais inédite dans son genre, cette fois-ci le billet fonctionne.

Je monte dans le tram en pensant au nombre de personnes qui ont vécu plus ou moins la même expérience, à ceux qui n’ont en poche que 7DH pour acheter un billet défectueux et qui seront obligés d’aller réclamer à l’agence la plus proche. Ah ! et s’ils n’impriment pas le reçu ils sont foutus, sans ce dernier on ne peut pas réclamer selon l’agent de sécurité.

Le tramway de Casablanca a pour objectif d’alléger la circulation et de faire gagner un temps considérable au gens. Ce genre d’incident est un flagrant signe d’incompétence et de non considération aux voyageurs, Que dirai un étranger du Maroc si ça lui arrive un truc pareil hein? Les erreurs techniques ça arrivent, la moindre des choses c’est de trouver une solution qui permet aux voyageurs d’opter pour le tram sans pour autant se prendre la tête. Interdire à l’agent de sécurité de laisser passer des gens ayant eu le même problème que moi est peut être justifié par la méfiance des agences vis à vis les mauvaises pratiques connues. Mais n’empêche de leur donner moyen – au moins – de vérifier la date du billet pour l’approuver ou pas en attentant que le problème soit résolu. Une telle interdiction pour quelqu’un qui a payé son billet c’est de l’humiliation et un manque de respect vis à vis le citoyen marocain.

En attendant que ça soit résolu, j’espère que la société qui gère le tramway Casa trouve une formule plus équitable parce-que celle-ci nuit gravement à son image. personnellement je n’ai jamais vécu une telle expérience à Rabat et je n’ai aucune envie de la revivre à Casablanca puisque je m’y suis installé définitivement.

Le e-analphabétisme au Maroc, êtes-vous prêts pour tenter l’aventure de la e-civilisation?

Si on croit bien les chiffres du ministère de l’éducation nationale, 30% de la population marocaine âgée de plus de 10 ans ne sait pas lire ou écrire, c’est moche d’être dépendant de “ceux qui savent”, ceux qui liront à votre place, ceux qui écriront à votre place, ceux qui signeront à votre place. Cette dépendance chez « les gens qui ne savent pas » est chronique mais réparable..

Quant à ces « gens qui savent », seuls 49% se connectent sur Intenet. Le réseau social Facebook demeure l’un des sites les plus visités au Maroc, suivi de Youtube, Google, Hespress et Kooora, un classement qui laisse penser qu’Internet pour les marocains est plus un outil de divertissement qu’un outil d’apprentissage, une réalité qu’on ne peut pas nier, et qui donne naissance à une nouvelle génération émergente d’analphabètes. Cette génération sait lire, écrire (avec plein de fautes), compter, mais elle reste en grande majorité “illettrée”, c’est la cause principale de l’e-misère que vit la web-sphère marocaine, moi je les appelle les e-analphabètes, ils souffrent d’e-analphabétisme, et ont une attitude remarquable:

L’attitude de l’e-analphabète:

Un e-analphabète ne sait pas ce que c’est la e-réputation, la vie privée pour lui est une blague, son mur est ouvert au grand public, il s’inscrit partout et sa boite email est inondée de courriers indésirables, il partage tout ce qui lui semble intéressant (ou pas), choquant, drôle surtout. Il entend parler de Twitter, s’y inscrit et commence à tweeter plus rapidement que son ombre, ça lui arrive souvent de dire des gros mots, Son ordinateur est toujours plus lent qu’une tortue tellement il l’étouffe d’applications, et à chaque fois que sa connexion devient lente il pense que c’est à cause des virus..

Un e-analphabète n’est jamais content, il saute sur toutes les causes et critique tout ce qui bouge, on peut d’ailleurs distinguer plusieurs niveaux d’e-analphabétisme:

  • Niveau 1 : Il a un pc, il connait seulement Internet Explorer, Paint, Solitaire et Kooora.com et passe la majorité de son e-temps sur leur forum
  • Niveau 2 : C’est le niveau 1 en plus de Facebook, il passe tout son temps à gossiper et collectionner des belles filles, Facebook lui bloque son compte, il attend quelques jours et recommence.. à perpétuité.
  • Niveau 3 : C’est le niveau 2 en plus des moyens de distractions (jeux vidéos, streaming, et films porno).
  • Niveau 4 : Utilise son pc juste pour le boulot, les emails professionnels et word/excel.
  • Niveau 5 : Il a entendu parlé de Twitter, il ne l’a pas compris, mais il tweete plus rapidement que son ombre pour se faire un maximum de followers.

Cette liste n’est pas exhaustive, mais voici des phénomènes qui reflètent la croissance du taux d’e-analphabétisme au Maroc:

La e-connerie des réseaux sociaux:

Tu veux être mon ami?
Commençant par l’ajout à la liste d’amis sur Facebook, il est tout à fait normal que tu reçois une invitation d’ajout d’une personne que tu ne connais pas, et qui ne prend pas la peine de t’envoyer un message expliquant la raison de son ajout. Tu ne comprends pas! Tu décides alors d’activer les abonnements à ton compte mais en vain, tu continues à en recevoir..

L’e-amitié de Facebook est un concept complétement corrompu, c’est inutile de faire le rapprochement avec la vraie amitié, merci de n’ajouter que ceux que vous connaissez déjà.

Les fausses causes et les gens révolutionnaires
Les événements qu’a vécu la région MENA et la signification qui se donne actuellement à la révolution est mal interprétée, cela nuit gravement au concept de ce droit. Déguiser une cause qui manque d’objectivité au nom de l’islam, aussi débile qu’elle soit, est le meilleur moyen pour que des milliers de personnes y adhérent sans modération, je cite par exemple l’appel demandant à boycotter Google et Youtube pour avoir refuser de supprimer les vidéos anti-islam. résultat: un rassemblement pour une bonne cause, qui se transforme en charabia, et risque d’avoir des répercussions majeures sur la stabilité de la région.

L’utilisation des réseaux sociaux a vachement augmenté à partir du moment où les gens ont commencé à lire et entendre dire que tout a commencé sur Internet. C’est là que les marocains se sont un peu rendu compte qu’Internet pouvait servir à quelque chose ( comme l’UECSE ) par exemple. Mais l’e-analphabétisme dans le volet du printemps arabe c’est la naïveté des utilisateurs, et du coup les réseaux sociaux ont pris une dimension qui n’est pas la leur, et surtout une dimension qu’ils ne peuvent pas assumer. Tout le monde a commencé à penser et à croire qu’on pouvait faire la révolution sur Facebook et Twitter, du coup la révolution RESTE sur FB et Twitter et aboutit rarement à la réalité qu’est la rue.

En réalité pour les marocains Facebook n’est pas un réseau social, le cas du maroc est unique, facebook a muté. Une mutation qui a affecté la société marocaine: Aujourd’hui l’amitié n’est plus la même, la vie du couple n’est plus la même, la connerie n’est plus la même, la société marocaine s’est métamorphosée, elle a adapté facebook à son propre mode de vie. Un mode de vie qui nous ouvre les yeux sur le mauvais usage que font les marocains de la technologie.

Les tweets massifs et la course aux followers:
L’e-analphabétisme est flagrant sur Twitter. Les gens ne semblent pas comprendre que les 140 caractères sont faits pour être bref et relayer une information. On dirait que Twitter au Maroc est une sorte de mIRC des temps modernes, une TL, et une room de chat qui s’appelle #twittoma, un café à la marocaine où les égos se pavanent. Et c’est la course aux followers aussi.

Dans la #twittoma d’aujourd’hui: la quantité au dépourvu de la qualité, des twittos qui ont plus de 6000 followers et qui twittent de façon immature, plus rapidement que leur ombre, et des twittos respectables, et au contenu vraiment intéressant, mais qui n’arrivent même pas aux 500 followers parce que; bon « ils ne sont pas populaires ».

La course à la popularité pousse les gens à faire des choses qui sont totalement folles.

F**k me i’m e-Famous
Un phénomène très spécial qui devient de plus en plus flagrant, ce sont les personnes qui créent des pages portant leur nom: « Bogoss XYZ Officiel », « Bogossa JMKHEUQXQF original », mais ces gens n’ont pas conscience que le net est public? beaucoup des facebookeurs marocains sont des fanatiques de gossiping, ils n’hésitent pas à faire leur conquérant du web en choisissant de voler des photos et insulter toute personne qu’ils jugent contraire à leur morale et à leur pseudo code.

Les arabisants et le mépris des langues étrangères:

L’expérience a prouvé que la majorité des marocains préfèrent lire les news en arabe, Hespress en est la preuve vivante, d’ailleurs des vieux portails comme Menara l’ont compris et ont fait de l’arabe la langue principale de leur nouvelle version.

Ce que je ne comprends pas, c’est pourquoi les gens méprisent les langues étrangères? Est-ce le fait de croire que nos valeurs sont universelles? Pourquoi à chaque fois que je vois une intervention, au lieu de commenter le contenu les gens commentent l’usage des langues étrangères? Se contenter d’un seul langage, n’est-ce pas limiter ses connaissances et son ouverture d’esprit?.

Que ce soit l’anglais ou le français ou bien l’espagnol, l’apprentissage d’une nouvelle langue est la meilleure façon pour découvrir une nouvelle culture et voir le monde d’un nouvel œil sans avoir recours à la traduction!

Et la e-civilisation?

Dans un e-pays, il y a un e-gouvernement et des e-citoyens…tous œuvrent pour le bien commun de la e-communauté (ou presque). Ils ont adopté une e-démocratie où les e-citoyens élisent leurs e-représentants selon les dispositions légales définie par une e-constitution. L’économie de cette e-nation est basée sur le e-troc et le e-marché…celui qui enfreint à la loi de la e-communauté est traduit devant la e-justice qui, dans les cas extrêmes, peut le condamner à la peine capitale: « le bannissement de la e-communauté »!!

La e-société marocaine est une projection de la vraie société marocaine, les e-analphabètes ont aussi besoin d’un programme de lutte contre l’e-analphabétisme, c’est à cause d’eux qu’on a des portails (pour ne pas dire presse électronique) qui publient des futilités et fausses rumeurs, des internautes qui la diffusent sans vérifier, et bienvenue la désinformation..

Mes co-e-citoyens, êtes-vous prêts pour tenter l’aventure de la e-civilisation?

La sécurité des processus de réinitialisation d’un mot de passe

Chaque e-service ayant un espace privé dispose généralement d’une section permettant aux utilisateurs ayant oublié leur mot de passe de le récupérer ou le changer, l’approche diffère d’un fournisseur de service à un autre, chaque approche se base sur un processus de récupération qui se déroule généralement sur plusieurs étapes, à travers chaque étape l’utilisateur doit fournir des informations permettant de confirmer son identité, ainsi la validation de toutes les étapes garantie à l’utilisateur un accès à son compte.

Par-contre que se passerai-t’il si l’une des étapes est contournée? les informations sur-lesquelles s’appuient les processus de récupération sont-elles fiables? Quelles sont les bonnes pratiques? C’est les questions auxquelles je vais essayer de répondre dans cet article.

« J’ai oublié mon mot de passe » est une nécessité

Combien de fois avez-vous réinitialisé votre mot de passe sur un service? avouez-le c’est embêtant d’oublier les informations de récupération (question secrète/email secondaire etc..), par-contre c’est rassurant le fait de regagner accès à son compte après avoir oublié ses identifiants n’est ce pas?

Évidement la fonction de récupération de son compte est une fonctionnalité vitale, le nombre des e-services se multiplie et aujourd’hui chaque internaute dispose d’une multitude de comptes sur plusieurs e-services. Il devient de plus en plus difficile de se rappeler de tous ses mots de passe sur chaque service, l’Auth2.0 a vu le jour pour résoudre cette problématique mais la tendance sur les nouveaux e-services est de demander à l’utilisateur de créer un mot de passe même s’il s’inscrit par le billet d’une Auth2.0 tel que Twitter et Facebook.

Récupérer ou réinitialiser?

La récupération consiste à envoyer par e-mail à l’utilisateur son ancien mot de passe ou de générer un nouveau mot de passe temporaire, cette approche fait partie des mauvaises pratiques. Si la logique de régénération est faillible, un attaquant peut mener une attaque de bruteforce pour gagner l’accès au compte utilisateur.

Aujourd’hui l’approche la plus adoptée par les géants d’internet c’est la génération d’un jeton, qui à travers un lien hypertexte unique permet de réinitialiser le mot de passe de l’utilisateur, le lien hypertexte est envoyé à l’adresse e-mail de secours de ce dernier, ainsi le service demande à l’utilisateur en échange de saisir les informations précédemment remplies le jour de l’inscription et principalement la question secrète ou l’adresse e-mail alternative, dans le cas contraire sur certains services de messagerie, l’utilisateur peut fournir des informations relatives à son compte comme les derniers échanges (sujets/emails/dossiers etc..), si les informations correspondent l’utilisateur reçoit un mail avec un lien de réinitialisation de son mot de passe, ces informations pouvant être facilement récupérées grâce au social engineering, c’est pourquoi des géants comme Google et Facebook ont rajouté la double vérification ou la vérification téléphonique, qui à ce jour, si on ne considère pas le grand budget dépensé pour les notifications et la vie privée des utilisateurs, reste la solution la plus efficace.

Les erreurs fatales:

  • Vérification insuffisante des paramètres de requêtes HTTP :
    Ces derniers mois des géants comme Google et Microsoft ont connu une vague de piratage des comptes utilisateurs dû au contournement des étapes de réinitialisation de mot de passe, la technique utilisée par les pirates consiste à bidouiller, avec des outils comme l’extension Firefox TamperData, les paramètres HTTP POST, ne vérifiant pas la validité des données postées le processus de réinitialisation renvoie l’attaquant sur la page de modification.
  • Référence à un objet non-sécurisé dans l’algorithme de génération du jeton (token) : cette faille et exploitable quand l’algorithme de régénération du jeton (token) de réinitialisation fait référence à un objet non sécurisé comme la date (timestamp) ou encore le nom d’utilisateur, par exemple avec le timestamp un attaquant peut en exerçant du reverse engineering régénérer un token et le reproduire pour avoir un lien de réinitialisation valide (Randomness Attack)
  • Attaque CSRF sur la page de modification des informations de récupération:
    Pour comprendre ce genre d’attaque, on considère un REGISTRAR qui dispose d’un processus de réinitialisation de mot de passe fiable, l’utilisateur renseigne son adresse email de secours et il reçoit un lien de réinitialisation, dans son espace membre il y a un lien qui lui permet de modifier les informations de récupération de mot de passe tel que la question secrète ou l’adresse e-mail alternative. Si le formulaire en question est vulnérable aux attaques CSRF un attaquant peut facilement modifier les informations de récupération rien qu’en lui amenant à cliquer sur un lien pendant qu’il est connecté à son compte, pour mieux comprendre la faille Cross Site Request Forgery rendez-vous sur cet article.
  • profils publics et confidentialité
    Contrairement à ce que vous pensez, vos profils publics en disent beaucoup sur vous, vos likes par exemple peuvent aider un attaquant à deviner la réponse à votre question secrète, il faut donc être vigilant dans le choix de ses réponses secrètes.

Les bonnes pratiques:

  • Pour les développeurs:
    • Sécuriser l’espace membre contre les attaques CSRF
    • Ne pas baser l’algorithme de réinitialisation de jeton sur une référence à un objet non sécurisé
    • Ne pas mettre des questions secrètes débiles comme: « Nom de votre jeune sœur » ou encore « le nom de votre chien », avec les réseaux sociaux ce genre d’informations est facilement trouvable.
  • Pour l’utilisateur:
    • Jamais le même mot de passe! : certains services stockent les mots de passes en texte brute sur leur bases de données, ces mots de passes n’étant pas cryptés.. avoir le même mot de passe sur plusieurs services n’est pas avantageux, pensez à mettre un mot de passe différent pour chaque service!
    • Ne communiquez jamais vos informations personnelles à un inconnu, n’acceptez pas sur Facebook ceux que vous connaissez pas, collecter des informations sur vous peut aider un attaquant à deviner la réponse à votre question secrète
    • Vous avez changé votre mot de passe et aussi les informations de récupération, c’est bien! par-contre si le e-service est basé sur l’Auth2.0 il faut penser à jeter un œil sur les applications ayant toujours accès à vos données, le changement de mot de passe n’impacte pas l’accès aux données personnelles à partir des applications tierces autorisées