Vous avez sûrement déjà eu ce moment de solitude où vous devez filer le mot de passe du WiFi, de Netflix ou d'un compte commun à un pote. Et là, comme un mec bourré qui recontacte son ex après une soirée déprimante, vous finissez par l'envoyer par SMS ou l'écrire sur un bout de papier qui finira à la poubelle.

C'est le genre de truc qui rend dingue niveau sécurité, mais bon, dans la vraie vie on le fait tous !

Au début, je cherchais donc juste un moyen simple de faire ça proprement, et je suis tombé sur ShareMyLogin. C'est un petit outil open source très bien pensé qui permet de partager des identifiants (ou n'importe quel secret) via un lien unique, en chiffrant tout directement dans votre navigateur (Chrome, Firefox, peu importe).

Le principe vous le connaissez, c'est du Zero Knowledge. Du coup, comme le chiffrement se fait localement avant l'envoi, le serveur ne reçoit techniquement que des données illisibles. C'est dans l'esprit de ce que proposent des services comme Bitwarden Send ou LockTransfer pour les pros , mais ici sous forme d'un petit outil dédié et gratuit.

Côté technique, on retrouve donc bien de l'AES-256-GCM pour le chiffrement et du PBKDF2 (avec 250 000 itérations) pour la dérivation de clé. Concrètement, vous tapez votre secret, l'outil génère un lien, et hop, vous filez ce lien à votre destinataire.

Ce qui est cool, c'est que le code est disponible sur GitHub . Je vous invite d'ailleurs à aller jeter un oeil à encrypt.ts et decrypt.ts qui montrent bien que la crypto est gérée côté client. Après, si vous utilisez la version hébergée, vous devrez faire confiance à l'administrateur pour qu'il ne modifie pas le code à la volée. Mais si vous hébergez votre propre instance, ce qui est franchement conseillé si vous êtes à cheval sur la sécu, c'est top !

Bien sûr pour le partage de mots de passe critiques au quotidien, je vous recommande d'utiliser les fonctions de partage de votre gestionnaire de mots de passe habituel. Mais pour un dépannage ponctuel, genre filer le code du digicode à un livreur ou un accès temporaire, ShareMyLogin fera très bien le job.

Le projet propose aussi une API si vous voulez intégrer ça dans vos propres moulinettes.

Source

Vous avez déjà galéré à créer un mot de passe qui respecte les 42 règles imposées par un site un peu trop zélé ? Genre au moins 16 caractères, une majuscule, une minuscule, un chiffre, un caractère spécial, et surtout pas le prénom de votre chat ni votre date de naissance ?

C’est le genre de micro-agression qui peut flinguer une matinée ^^.

Heureusement, y’a un dev qui a eu une idée de génie en inversat complètement le problème grâce à la puissance brute des expressions régulières.

Son outil s'appelle RegExp Password Generator et comme son nom l'indique, c'est un générateur de mots de passe qui fonctionne avec des regex. Au lieu de cocher des cases un peu nazes dans une interface classique, vous définissez vos contraintes ligne par ligne sous forme d'expressions régulières.

Par exemple, vous balancez ^.{16,32}$ pour imposer une longueur entre 16 et 32 caractères, [0-9] pour exiger au moins un chiffre, and [A-Z] pour une majuscule. L’outil va alors calculer l’intersection de tous vos patterns pour vous sortir 5 mots de passe aléatoires qui matchent absolument toutes vos règles simultanément.

L'outil repose heureusement sur la bibliothèque TypeScript @gruhn/regex-utils. Pour ceux qui font du code, vous savez que manipuler des regex pour faire des intersections ou des compléments, c'est normalement une purge monumentale que la plupart des langages de programmation ne gèrent pas nativement.

C'est pourquoi ici, la lib fait tout le sale boulot de calcul d'ensemble pour s'assurer que vos contraintes ne sont pas contradictoires. Si vous demandez un truc impossible (genre un mot de passe qui doit être composé uniquement de chiffres ET uniquement de lettres), l’outil vous le dit direct au lieu de mouliner dans le vide.

Et tout tourne en local dans votre navigateur donc c'est cool pour la vie privée, par contre, gardez en tête que la lib supporte un sous-ensemble bien précis de la syntaxe RegExp de JavaScript. Inutile donc tenter des trucs ultra exotiques comme les lookbehinds complexes, l'outil risque de vous renvoyer une erreur.

Le côté pratique, c'est que vos contraintes sont directement encodées dans l'URL. Du coup, vous pouvez bookmarker une config précise pour un site spécifique ou la partager avec vos collègues sans avoir à tout retaper à chaque fois. Un petit compteur affiche même le nombre total de combinaisons possibles avec vos règles, histoire de vérifier que vous n'avez pas créé un mot de passe trop prévisible (ou au contraire, un truc tellement restrictif qu'il n'existe qu'une seule possibilité).

Bref, j'ai trouvé ça original !

Hier, vous vous êtes peut-être retrouvé avec un mail de Plex commençant par “Nous avons détecté une activité inhabituelle sur votre compte”. Pas de panique, vous n’êtes pas seul car en effet, ce lundi 8 septembre, les 17 millions d’utilisateurs actifs de Plex ont eu le même réveil douloureux.

Plex, si vous ne connaissez pas encore, c’est un super outil qui permet de gérer votre bibliothèque média personnelle et d’accéder à du contenu gratuit. Malheureusement, il y a quelques jours, leurs serveurs ont été à nouveau compromis (la précédente c’était en 2022) et le pirate a réussi à se faufiler et à accéder à une base de données contenant des informations d’authentification.

Dans cette nouvelle attaque, les données exposées incluent donc les adresses email, les noms d’utilisateur et les mots de passe hashés. Plex se veut rassurant et précise que les mots de passe étaient “sécurisés par hachage, conformément aux meilleures pratiques” ce qui est plutôt cool sur le papier, mais qui n’empêche pas que vos données perso soient maintenant entre de mauvaises mains.

Heureusement, nos informations de paiement n’ont pas été compromises car Plex ne stocke pas les données de cartes bancaires sur ses serveurs, ce qui limite les dégâts financiers directs pour les utilisateurs mais du coup, face à cette situation, Plex impose une réinitialisation obligatoire des mots de passe pour tous ses utilisateurs.

Vous devez donc vous rendre sur https://plex.tv/reset pour créer un nouveau mot de passe. L’entreprise recommande vivement d’activer l’option “Déconnecter les appareils connectés après le changement de mot de passe” ce qui signifie que vous devrez ensuite vous reconnecter sur tous vos appareils, y compris votre Plex Media Server. C’est super relou mais c’est un petit prix à payer pour la sécurité.

Et pour ceux qui utilisent la connexion unique (SSO), Plex conseille de se déconnecter de toutes les sessions actives via https://plex.tv/security , puis si vous ne l’avez pas encore fait, c’est vraiment le moment d’activer l’authentification double facteurs.

En tout cas, pour l’instant, on a eu aucuns détails techniques sur la méthode utilisée par le pirate pour récupérer toutes ces données. Plex affirme avoir “corrigé la méthode d’intrusion” mais refuse de partager plus d’informations, du coup, on ne connait pas vraiment l’ampleur du problème et si d’autres services similaires sont vulnérables.

Notez que Plex ne vous demandera jamais votre mot de passe ou vos informations de paiement par email donc si vous recevez ce genre de demande, c’est du phishing. Et si vous utilisez le même mot de passe Plex sur d’autres services (ce qu’il ne faut jamais faire, morbleu !), changez-le partout immédiatement !

Voilà, après cette seconde fuite en trois ans je commence à me poser des questions sur la façon dont ils gèrent leur sécurité. Faut pas oublier qu’il y a plein de gens qui utilisent Plex pour y mettre également leurs vidéos perso, donc je vous laisse imaginer le drame si demain, des cybercriminels pouvaient accéder aux bibliothèques médias des utilisateurs.

Bon courage à tous !

Source