Pour les présentations plus conventionnelles :

Graphisme / UX versus Sécurité : deux mondes opposés ?

pixellibre.net/2017/07/graphis

Pas d'agressivité dans vos éventuels retours, ça serait fortement apprécié.

@numendil Je me demande, suite à la lecture: j'ai aucune idée de si Signal est as secure as security-team wants. Mais: est-ce que le design (on parle toujours de Signal) amoindrit pas la sécurité?
Et si ça l'amoindrit, est-ce que l'amoindrissement vaut la peine d'être fait par rapport à aucune sécurité? Est-ce que le pas vaut la peine d'être franchis?

Une porte sécurisée, c'est casse pieds à ouvrir, c'est très peu affordant, pourtant ça fonctionne.

@Sp3r4z Nous avons tous un avis différent et ma réponse ne serait que le reflet du mien, d'avis. Simplement, ici, je vois de la nuance, et c'est justement de ça dont on manque. On peut se poser ces questions là et trouver des solutions pour y répondre, ou simplement considérer que (je généralise) : say d'la merde, on jette le design. (ce que je lis encore trop souvent)

@numendil Je comprends assez bien les deux points et les deux "mondes" (même si je pige bien plus celui de la sécurité que du design).

J'ai l'impression qu'il faudrait mener à (tendre vers au final) deux points, comme pour les portes: une partie "non secure, même si ça ressemble à du secure" et une partie "secure" (la deuxième étant casse pieds et non-design). Tu fais bien de parler d'UX d'ailleurs, parce qu'on est en plein de dans.

@Sp3r4z en fait, c'est plus, pour moi : intégrer design et sécu au même titre que toutes les autres compétences, à égal, dans un projet, du début à la fin, et prendre le temps de faire parler les deux pour avoir un truc utilisable et sécurisé, sans compromis, juste bien pensé et bien intégré

@numendil Et tu crois ça possible? (j'ai un avis assez mitigé, et plus du style "c'est 60% pas possible) croire ça possible→d'avoir du design et de la secu au même niveau, qui soit: as secure as it can

Je partage tout à fait ton avis, d'inclure le design dés le départ, par contre. Même si, dans le libre, ça me parait compliqué, vu comment ça se développe.

Follow

@Sp3r4z @numendil Pour une fois je vais faire mon pas extrémiste, mais je resterais le pessimiste habituel 😋
J’espère très secrètement qu’il soit possible de faire de l’UX sans perdre trop en sécurité. J’espère vraiment que quelqu’un arrivera un jour à trouver un moyen de concilier les 2. Mais actuellement, tous les exemples que j’ai anéantissent cet espoir… 😢

@numendil @Sp3r4z La sécurité est assez sensible, beaucoup plus que le design. Tu peux te permettre de petits écarts en design, ça ne te coûtera que quelques ‰ d’utilisateurs. Fais le moindre écart en sécu et tu passes de 100 à 0% généralement. 1 pixel en design, c’est généralement invisible et sans conséquence. 1 octet en sécu, c’est peut-être tout ton protocole qui est à jeter.

@aeris @numendil @Sp3r4z vous voulez pas commenter sous le billet ? Histoire que tout le monde en profite.

@maliciarogue @numendil @Sp3r4z J’y ferais une réponse 😄 Là c’est plus pour de l’échange en direct.

@Sp3r4z @numendil Et sur les sujets réellement sensibles et clivants aujourd’hui, la partie UX (je devrais plutôt dire marketing ici, les designers n’y sont généralement pour rien) n’est pas prête à faire l’effort nécessaire pour avoir une sécurité suffisante.

@numendil @Sp3r4z On l’a vu avec Signal ou WhatsApp et les (non) échanges de clefs. Ou avec EasyCrypt ou ProtonMail qui avancent des « 1 password = 2 security level ». Parce que vendre de la vraie sécu là-dessus, ça donne une appli non utilisée parce que l’utilisateur final ne veut pas faire d’efforts (retenir 2 passwords ou lire 128bits hexa)… Le problème est plus sur l’utilisateur/marketing vs sécu que sur l’UX vs sécu en fait.

@Sp3r4z @numendil Dis autrement, on ne sait actuellement pas faire sécurisé et ergonomique certains bouts. Le problème est que ce sont ces bouts qui sont très importants en sécu. Et que le marketing va vouloir les flinguer pour gagner des PdM, tout en continuant à se vendre « sécu ».

@aeris @numendil Mais: est-ce envisageable? (j'ai pas franchement de notion de design poussé, j'ai pas la capacité de faire et de connaître convenablement les systèmes de crypto). Envisageable dans le sens: avec le double password, les sécu que ça demande, tout ça. Est-il envisageable de proposer une appli? (d'un point de vu tech: demander deux passwd c'est "easy")

Je partage ton avis concernant: marketing vs secu (et pas UX vs Secu)

@Sp3r4z @numendil Tu mets dans la même pièce 1 crypto et 1 designer avec pour consigne de faire une appli avec 2 passwords et vérif de l’empreinte, je reste persuadé que tu obtiens une appli belle et sécurisée. Le problème est alors qu’elle ne sera pas « grand public » parce que pas « habituelle » pour les gens.

@numendil @Sp3r4z C’est plutôt les besoins/attentes des gens qui sont incompatibles avec la sécurité. Pas le designer ni le cryptologue. À la limite plutôt le marketing.

@Sp3r4z @numendil « Les gens » veulent pouvoir changer de devices en claquant des doigts. Pouvoir perdre leur mot de passe sans conséquence fâcheuses. Ne veulent pas voir leur communication suspendue parce qu’un truc inconnu s’est produit dans le réseau. Etc.

@numendil @Sp3r4z Et donc « le marketing » va vouloir des applis avec le mot de passe côté serveur, accepter les changements de clef par défaut sans le signaler à l’utilisateur, etc. Et donc s’asseoir bien gentillement sur la sécu pour booster ses PdM. Accentué par le fait que l’utilisateur ne souhaite faire aucun effort (ou a trop été habitué à ne pas avoir à en faire).

@aeris Ok, donc on est bien d'accord: l'article de @numendil relate pas du tout la guerre qu'on a vu à PSES à ce niveau, ni sur le débat qu'il y avait eux sur les deisgners (d'UX apparemment) avec les libristes.

C'est un point intéressant, parce que là: on peut demander à un designer: "est-ce que ça te semble possible ça?" on a un cas concret, on peut arriver à faire une appli avec ça et faire avancer sur ce point.

@Sp3r4z @numendil Ce n’est même pas « est-ce que ça te semble possible » pour le coup mais « voilà ce dont j’ai besoin techniquement, fait l’UX pour l’obtenir ». On sait qu’il existe a priori une solution UX propre à tout besoin technique. Le problème n’est du coup pas là 😋

@numendil @Sp3r4z Le problème est plutôt que le marketing va te tomber dessus en te disant « non mais en fait techniquement, on ne va pas faire comme ça parce que [insérer ici X.000 mauvaises raisons] ».

@aeris @numendil Ahh intéressant: le problème c'est juste "il faut le vendre" ou marketing dans le sens: adoption au grand public.

En même temps, j'ai l'impression (mais c'est le cas pour tout ce qui existe en fait): sécu c'est antinomique de "user friendly".
Une porte à badge: faut avoir le badge
Un coffre dans une banque: faut avoir sa clé et celle de la banque
Un char d'assaut: c'est galère à parquer…

@Sp3r4z @numendil C’est pour ça que je préfère finalement opposer sécu et PdM que crypto contre designer.

@aeris @numendil DOnc le débat c'est plus "les designer/maketeux veulent que ça soit accessible à tous" vs "les libriste font ça à la base pour eux"

C'est un entre-soi, forcément à un moment. (voire de l'égoïsme, mais cest comme ça pour les projets non-rémunérateurs à la base)

@Sp3r4z @numendil Non, les libristes n’ont rien à faire dans l’équation ici. Pour caricaturer, laisse un crypto et un designer dans une pièce, ils te sortiront un joli client GPG beau et sécurisé. Donne-le à une personne standard, tu vivras le grand moment que j’ai encore vécu aujourd’hui : « Bonjour, tu peux me donner ta clef stp ? » « Oui pas de soucis » [-----BEGIN PGP PRIVATE KEY BLOCK-----] 🤦

@aeris @Sp3r4z @numendil je te raconte pas le RSSI de quelle grosse boîte c'était haha. Ça illustrait bien comment la sécu est en général prise en compte...

@numendil @Sp3r4z Parce que les gens ne sont pas sensibilisés à la sécu. Parce qu’ils ne veulent pas l’être pour la plupart (« non mais c’est trop compliqué »). Après tu as le problème de la poule et de l’œuf pour en connaître l’origine : ils s’en foutent parce que le marketing ne leurs a pondu que du pré-maché, ou bien l’inverse ?

@aeris @numendil @Sp3r4z C'est trop compliqué... m'enfin leur expliquer le principe (assez simple, ma foi) de clé privée clé publique ça prendrait 2minutes, et c'est à faire une fois pour le reste de leur vie.

Je pense que CE principe, ça ne serait pas dur de l'enseigner. (histoire d'éviter ce que tu as vécu aujourd'hui)

@Hexalyse @numendil @Sp3r4z Dur non. Mais tu n’as pas de canal de communication pour former tes utilisateurs… Tu fais comment avec Signal/WhatsApp par exemple ? 2h de vidéo chiffrofete à la place des CGU ?

@aeris @numendil @Sp3r4z Non voilà exactement. Donc pour répondre à la question que tu soulevais, je pense en effet que les gens s'en foutent car on ne leur a jamais appris ça.

Et pour résoudre le souci de l'UX : pourquoi ne pas inclure à l'UX du logiciel un mini-tutorial, qui prendrait littéralement 2 minutes, expliquant le principe tout con de "une clé pour enfermer l'info que vous distribuez, une autre pour ouvrir la boite et que seul vous gardez bien au chaud".

@Sp3r4z @numendil En tout cas, le résultat est qu’il sera effectivement difficile de trouver une UX viable et sécurisée avec si peu de compétences de la part de l’utilisateur final… Parce que c’est over-compliqué de faire une UX quand ton utilisateur ne maîtrise pas le sujet UX-ifié…

@numendil @Sp3r4z Ou en encore plus compréhensible. « Attention, si vous perdez votre mot de passe, on ne peut plus rien pour vous !!! » « Oui oui j’ai bien lu, j’accepte ! » [3 mois passent] « J’ai perdu mon mot de passe, vous pouvez me le renvoyer ? » « Non, et du coup vous avez tout perdu. » « Mais c’est quoi votre service tout pourri !!!! » [1 étoile sur Amazon]

@aeris @numendil @Sp3r4z Oui ça s'appelle la connerie humaine, on le voit tous les jours pour pleiiiiin d'autres raisons. Et on ne l'éradiquera jamais à 100%. Faut en rire, à défaut d'en déprimer.

@aeris Ça relativise pas mal l'article de @numendil au final. Et c’est pas mal intéressant, parce que ça relativise un peu tous les débat de ses 6 derniers mois.

Ça vise pas les bonne choses :/

@aeris @Sp3r4z Oui, et non. Oui ils peuvent sortir un truc ergonomique et sécu, mais si tu te bases pas sur tes users, c'est fichu. Tu soulignes un autre point là qui est celui de la culture de ces gens sur ces sujets là, c'est un autre problème, même s'il pèse dans l'équation

@numendil @aeris C'est l'éternel débat, qui est au final celui soulevé depuis 6mois, sur les divers débats entamés: est-ce que l'user à besoin de se former ou non?

Et c'est un débat qui existe depuis de longues années sur l'informatique ne général. "science/technique/utilisation"

@aeris @Sp3r4z @numendil T'as jamais pensé à préciser « Bonjour, tu peux me donner ta clé *publique* […] » ?

Quitte à faire œuvre de pédagogie ensuite si nécessaire…

C'est peut-être celle-là la démarche qui allie design et sécurité.

Des exemples concrets ? Caliopen va dans ce sens-là je crois, Password meter aussi : cups.cs.cmu.edu/meter/

@numendil @Sp3r4z @Olm Et pour avoir faire une chiffrofete avec 20 étudiants bac+4 en école d’ingénieur d’informatique, le résultat à la fin de 2h d’atelier était de 18 clefs privées dans la nature hein… Même eux ne maîtrisaient pas le concept quoi… C’est là que tu te dis que pour le grand public, c’est mort d’avance quoi… 😢

@aeris @numendil @Sp3r4z Peut-être fallait-il prévoir un préambule de 30 minutes à l'atelier pour expliquer et montrer de manière « claire et pédagogique, sans être approximative et baratineuse » (cc @maliciarogue) — c'est pas donné à tout le monde — le concept de crypto asymétrique ?

@aeris @Sp3r4z @numendil j'ai lu le thread en étant un peu inquiet mais heureusement le pouet tant attendu est arrivé : le problème n'est pas la vision de l'ux designer vs la vision du crypto mais les attentes du client qui privilégie souvent le facile sur le sécurisé. C'est très pratique les mdp enregistrés, les synchro du browser entre devices, Facebook qui maintient toujours ta connexion active etc...

@numendil @Sp3r4z @aeris Faut réussir, petit à petit à déshabituer les gens de ce confort qui n'est pas uniquement dans leur intérêt. Ou alors, mieux, réussir à éduquer les gens à ne pas pirater / voler /usurper mais là on rentre dans l'utopie ultime hélas. À part si on ne garde que les Canadiens sur Terre^^

@Guerin @aeris @numendil Fallait pas t’inquiéter, on a passé la majorité du thread à dire que justement c'était pas réellement ce que l'article disait. Donc ça va :D

@Sp3r4z @aeris @numendil j'ai pas pris le temps de lire l'article j'étais juste tombé sur un de vos pouets et apres j'ai remonté le fil avant de le reprendre dans le bon sens^^

@aeris @numendil @Sp3r4z
Roohh la suite de débat de ma conf 😪

Je préfère le termes User Friendly
(UF),
Piloté un avion ne sera jamais user Frendly, Car la sécurité est trop importante.

@zenzla @aeris @numendil Ahah mais tellement, j'y avais pas pensé, mais c'est en effet la suite de la conf et de la Q&A :D

@aeris pourtant commercialement il y aurait moyen de faire une application supplémentaire pour apprendre à utiliser la première. Sous forme de jeu vidéo avec des récompenses. Il y'a grave moyen. Faut simplement savoir le vendre à des investisseurs, comme souvent.

@aeris @Sp3r4z @numendil
A ce stade de la réflexion (qui est à peu près le point ou j'en suis arrivé ), est-il pas possible d'améliorer la sécurité et l'usabilité pour le commun des mortels avec du 1 facteur matériel tel que Yubikey ?

Le dilemme que je me pose est cette solution (foireuse/imparfaite à nos yeux) et mamie qu'on doit aider/désinfecter tous les 6 mois car mot de passe = "password".

Si oui, Quel marketing pour être honnête ?

@fabtd @Sp3r4z @numendil Pour ce qui est gestion des mots de passe, une très bonne solution est effictivement du matos. Surtout que ça ne coûte pas si cher que ça et qu’on pourrait encore faire baisser le coût en virant tout ce qui ne sert à rien dedans.

@numendil @Sp3r4z @fabtd Le marketing est cependant difficile, toujours pour une histoire de concurrence : il faut forcément une solution intéropérable et ouverte (donc libre ?) pour que ça prenne. En particulier il faut que tous les prestataires de service jouent le jeu et arrêtent avec leurs solutions maison.

@aeris @Sp3r4z @numendil Oki, je teste perso cette solution depuis 6 mois (Yubikey en mode challenge/response donc offline ==> combiné à un getsionnaire de mot de passe pour internet) et je me sentais assez au point pour y passer maman dessus et voir son comportement/ses problèmes.

Comme tu dis après, je galère pas mal avec les différentes solutions et l'interopérabilité aléatoire (même sur une debian de base)

@fabtd @Sp3r4z @numendil Quand je parle interop, je parle plutôt côté service en fait. Actuellement, tu peux faire du hardware de plus en plus partout. Sauf que quasiment chacun a sa propre solution… Entre les TOPT, les yubi, les solutions à base de SMS…

@Hexalyse @numendil @Sp3r4z Ergonomiquement non, mais certains trucs du service pique un peu. En particulier son propriétaire… Refus de férédation, poursuites diverses et variées envers tous ceux qui réutilisent son protocole, etc.

@Sp3r4z @numendil @Hexalyse Sans parler de l’usage de GCM, de l’obligation d’accès à tout ton carnet de contact, de l’acceptation par défaut des empreintes, …

@aeris @Sp3r4z @numendil Tu me diras, j'utilise Whatsapp la plupart du temps (quand c'est pas FB Messenger). Bon, ceci dit pour tout ce qui est sensible, je passe sur Ricochet quand la personne en face veut bien (ça a été mon souci avec Signal, j'avais UN contact qui s'y était converti).

@Hexalyse @Sp3r4z @numendil C’est aussi le soucis des solutions actuelles : enfermer l’utilisateur. La sécu « pour la masse », ça passera surtout par de l’intéropérabilité qui fait qu’on pourra choisir sa solution pour communiquer. Actuellement, elle t’es imposée, avec tous ses désavantages. Je ne peux pas utiliser Signal parce que pas Google App. Pas WhatsApp parce qu’accès aux contacts. Et du coup, sécu avec personne…

@aeris @Sp3r4z @numendil C'est ça. Personnellement, je ne demande que ça de parler à tous mes contacts via une vraie appli qui propose du E2E bien implémenté etc.
Mais avec un pote on avait essayé, personne ne voulait changer d'appli. Ils étaient bien sur Messenger, et à la rigueur Whatsapp (bon ils sont au moins passés eux aussi à du E2E même si y'a des trucs dégueux dans le re-échange de clé silencieux, que rien en dit qu'il n'y a pas de backdoor, etc.)

A une époque j'avais adopté du OTR par dessus n'importe quelle messagerie (tu peux faire du OTR via FB Messenger... bon reste la question des metadata).

Et du coup t'utilises/recommandes quoi ? Rien car rien ne convient à 100% ?

@Hexalyse @Sp3r4z @numendil Silence. Parce que c’est libre, intéropérable, tout ça tout ça. Il n’y a pas d’enfermement comme pour les autres.

@aeris @Sp3r4z @numendil Ok, j'en entends parler depuis un moment. Je testerai ça. (je me demandais justement la différence entre Signal et Silence, que j'ai connu seulement en venant sur Mastodon)

@framasky @Hexalyse @Sp3r4z @numendil Les métadonnées, on sait que c’est l’enfer pour les masquer et justement innaccessible pour du « grand public ». Sans parler qu’en vrai, j’en ai RAF que mon opérateur ait accès à tout ça. Même avec un modèle de menace très élevé.

@aeris @Hexalyse @Sp3r4z @numendil Tout dépend de ton modèle de menace (si c'est l'État, les fadettes, ça va vite)

@framasky @Hexalyse @Sp3r4z @numendil Même si c’est l’État. Quand tu en arrives à ce genre de niveau de menace, juste tu arrêtes d’utiliser un PC.

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !