Actualités

Biblys fête son dixième anniversaire

Le 1er juin 2008, je lançais la Librairie Ys, une librairie en ligne spécialisée en science-fiction. Libraire de formation et programmeur amateur, j’ai décidé à l’époque de me former pour pouvoir créer moi-même le site de ma librairie. Le concept en a séduit d’autres, et le simple moteur de la Librairie Ys est devenu Biblys, un outil d’e-commerce spécialisé dans le livre papier et numérique.

Aujourd’hui, Biblys a dix ans et est utilisé par six éditeurs (Le Bélial’, ActuSF, Dystopia, Multivers, Tous Lire, Label Badass), trois libraires (Charybde, Scylla, Plumes du monde) et deux associations d’éditeurs (L’Autre Livre, la Librairie du Voyageur). L’occasion m’a paru bonne pour faire le point sur les chantiers en cours et l’avenir du projet.

Vers la version open source

Je prévois toujours de proposer une version libre de Biblys. Celle-ci permettra à n’importe qui avec un peu de bagage technique d’installer Biblys sur son hébergement et de gérer lui-même son site, mais aussi aux abonnés actuels de se libérer de l’abonnement.

Début 2017, je définissais quatre grands chantiers à effectuer pour arriver à cet objectif : revoir la manière dont sont stockées les images, revoir la gestion des utilisateurs, proposer la possibilité d’installer des plug-ins et gérer la mise à jour du schéma de la base de données. Je vous renvoie au billet Perspectives pour 2017 pour les détails. Seul le premier de ces chantiers est aujourd’hui terminé, tandis que le deuxième va s’ouvrir dans le cadre du RGPD (j’y reviendrais).

Je ne me risque plus à donner de date de disponibilité pour cette version open source, mais je continuerai à vous tenir au courant de son avancée dans de prochaines newsletters.

Le chantier du moment : PHP 7

Biblys est écrit en PHP, l’un des langages de développement web les plus populaires. PHP est passé en version 7 en décembre 2015, et la version utilisée actuellement par Biblys, la 5 (il n’y a pas eu de version 6), deviendra obsolète à la fin de l’année 2018. Cela signifie qu’elle ne recevra plus de correctifs de bugs ou de failles de sécurité, et qu’il est donc impératif qu’à cette date, Biblys puisse fonctionner sur la version actuelle, la 7.2.

PHP 7 ayant changé drastiquement la manière dont sont effectués les appels à la base de données, cela implique de réécrire une grande partie du code de Biblys, notamment certaines parties vieilles de dix ans. Mais c’est une bonne chose, car cela permet au passage de corriger bugs et failles de sécurité, tout en améliorant les performances. C’est néanmoins un chantier important et chronophage. Sur les 1000 lignes de codes qu’il fallait modifier au début de l’année, il en reste aujourd’hui un peu moins de 450.

Entrée en vigueur du RGPD

Le Règlement Général sur la Protection des Données est un règlement européen entré en vigueur le 25 mai dernier. Il concerne toutes les entreprises ayant des clients ou des utilisateurs dans l’Union européenne et réglemente la manière dont ces entreprises gèrent les données personnelles de leurs utilisateurs. Il implique des modifications de Biblys.

Axys, le service d’authentification commun à tous les sites Biblys, a déjà été modifié et permet désormais aux utilisateurs de télécharger leurs données et de supprimer définitivement leur compte. Le RGPD oblige également les entreprises à supprimer les données utilisateurs lorsqu’elles ne sont plus utiles. Côté Biblys, un outil vous permettra d’anonymiser les commandes, une fois qu’elles ont été expédiées, ou après une période que vous aurez définie.

Enfin, la manière dont s’articulent Biblys et Axys va être revue, afin de permettre aux utilisateurs d’avoir plus de contrôle sur leurs données et de clarifier la manière dont elles sont gérées. Ainsi, les utilisateurs Axys devront autoriser le partage de leurs données avec un site Biblys lors de leur première connexion. Et ils auront la possibilité de créer un compte directement sur un site Biblys sans passer par Axys.

 

Une nouvelle interface d'administration pour Biblys

« Cockpit View » CC BY-SA Nick Royer

« Cockpit View » CC BY-SA Nick Royer

L’interface d’administration est le coeur de Biblys, le point de départ de toutes les interactions, la caisse à outils de l’administrateur. Voilà plusieurs mois que je travaille à la refonte de cette interface d’administration, et plus longtemps encore que je réfléchis au sujet. Cette refonte était devenue pour moi indispensable pour plusieurs raisons :

  •  la disposition actuelle, grosses icônes réparties sur des lignes, ne permettait pas l’ajout de nouveaux outils, qui du coup venaient s’ajouter en bas de page de manière désordonnée ;
  •  l’interface actuelle n’était pas responsive, et ne pouvait donc s’adapter aux écrans mobiles ;
  •  pour être honnête, elle méritait un sérieux lifting visuel.

La nouvelle interface

À présent, les différents outils, sous la forme de petites icônes, sont répartis dans des sections thématiques, organisées dans trois colonnes, qui, sur mobile, peuvent se transformer en une seule. On a donc un design qui est responsive, à condition que le site le soit lui-même, ce qui n’est pas encore le cas de tous les sites Biblys.

La nouvelle interface se veut plus claire, avec des espaces thématiques mieux délimités. Elle permettra aussi d’ajouter un nombre virtuellement infini de nouveaux outils dans ses colonnes sans casser la présentation, contrairement à l’ancienne.

Les raccourcis

Une nouvelle fonctionnalité a fait son apparition en haut de la page d’administration. Les raccourcis offrent la possibilité à l’administrateur (en cliquant sur gérer les raccourcis) de mettre en exergue les outils qu’il utilise le plus souvent pour y accéder facilement. Ceux-ci s’affichent alors en priorité, sous la forme de grosses icônes, au sommet de la page. Si plusieurs administrateurs utilisent un site, chacun peut créer ses propres raccourcis.

Certains raccourcis affichent un badge de notifications apportant une information supplémentaire. Par exemple, le raccourci de l’outil commandes affiche le nombre de commandes à expédier, tandis que le raccourci de l’outil paniers affiche le nombre de panier en cours. Ce sont pour l’instant les deux seuls outils qui disposent de notifications, mais n’hésitez pas à m’en proposer d’autres qui vous paraîtraient utiles.

La barre d’administration

Dernière nouvelle fonctionnalité, la barre d’administration apparaît en haut de chaque page du site lorsqu’un utilisateur est connecté en tant qu’administrateur. Elle affiche le logo Biblys, sur lequel on peut cliquer pour accéder rapidement à l’administration, ainsi que tous les raccourcis qui ont été créés par l’administrateur. Cela permet d’accéder rapidement à un outil depuis n’importe quelle page, tout en gardant un oeil sur les notifications à tout instant.

En conclusion

J’espère que cette nouvelle interface vous plaira et que vous y retrouverez rapidement vos marques. Dans le cas contraire, vous pouvez utiliser les raccourcis pour avoir facilement sous la main les outils que vous utilisez souvent. En dernier recours, notez que vous pouvez encore temporairement accéder à l’ancienne interface, avant sa disparition complète à la prochaine mise à jour de Biblys, fin février, en cliquant sur Ancienne admin dans la section Biblys.

Perspectives pour 2017

« In the steel jaw. » CC BY-NC-BD Jérémy Lelièvre

Après un billet consacré aux évolutions de Biblys au cours de l’année 2016, il est de temps de faire le point sur les perspectives pour l’année à venir, et au-delà.

Des améliorations tout au long de l’année

Une refonte de l’interface d’administration était nécessaire depuis longtemps. Vous avez pu déjà en avoir un aperçu depuis début décembre, la nouvelle version sera finalisée et remplacera définitivement la version actuelle fin janvier.

D’autres améliorations de ce type seront développées pour Biblys tout au long de l’année. N'hésitez pas à utiliser l'outil de support intégré à l'administration et à créer des tickets pour proposer d'autres améliorations en fonction de vos besoins.

Vers la version open source

Les principaux travaux de fond que je mène visent à préparer la future version open source de Biblys. L’application a en effet été conçue de manière très monolithique, pour héberger plusieurs sites sur un unique serveur. Un certain nombre de chantiers assez conséquents devront être entrepris pour permettre de libérer Biblys du modèle actuel :

  • Biblys ne sait pas aujourd’hui fonctionner sans Axys. Mais une version open source devrait pouvoir être capable de créer et gérer ses propres utilisateurs de manière totalement indépendante. Il faudra donc que Biblys embarque un outil de gestion des utilisateurs intégré, ce qui n’est pas le cas aujourd’hui, et qu’Axys ne soit qu'une option.
  • Les images de couverture des livres sont partagées entre les différents sites Biblys. C'est pratique, si un visiteur voit un même livre sur deux sites différents, il n'aura pas à charger deux fois l'image car elle aura été mise en cache la première fois. Mais pour qu'un site puisse fonctionner de manière indépendante, il faudra repenser la manière dont sont gérées ces images.
  • Les sites Biblys ont parfois des outils très spécifiques. Par exemple, Le Bélial’ utilise Biblys pour gérer les abonnés numériques à sa revue Bifrost ou L’Autre Livre pour gérer les adhérents à son association. Bien entendu, le code associé à ces outils n’a pas vocation à se retrouver dans la version open source de Biblys mais ne doit pas pour autant disparaître. Il faudra donc développer un système de plugins pour pouvoir ajouter des fonctionnalités à la carte non prévues par le code de base.
  • Les mises à jour de Biblys nécessitent parfois de modifier le schéma de sa base de données. Aujourd’hui, je modifie le schéma manuellement lorsque c’est nécessaire, mais cette méthode n’est pas envisageable à grande échelle. Il faudra donc embarquer un outil de migration de base de données.

Ces quatre chantiers sont les conditions sine qua non pour permettre à Biblys d'être executé de manière indépendante sur un autre serveur que le serveur principal. Mais avant d'ouvrir le code à d'autres développeurs, il restera à terminer un chantier plus général de nettoyage et de documentation du code, que j'ai entreprise depuis un an déjà et que je continuerai au cours de l'année 2017.

Bilan de l'année 2016

Image : « Iceland » CC BY-NC-ND Huang Chao

La fin de l’année approchant, l’heure est aux bilans ! Voici celui des améliorations apportées à Biblys au cours de l’année 2016, que l'on pourra comparer au bilan de l'année dernière.

Sous le capot

Un grand nombre de tests automatisés ont été rédigés. Ces tests permettent de vérifier automatiquement les fonctionnalités d’un logiciel lorsqu’une nouvelle est ajoutée et s’assurer qu’on n’a pas cassé les anciennes. En 2008, lorsque j’ai commencé à travailler sur Biblys, je n’avais pas connaissance de cette pratique et j’ai donc pris du retard en la matière. Je la rattrape en créant désormais des tests à chaque fonctionnalité ajoutée ou à chaque bug découvert pour éviter que celui-ci ne se reproduise.

Un grand nombre de failles de type « injections SQL » ont été corrigées. Ces failles sont un type particulier de bug, du à une faiblesse du langage PHP, dont les pirates se servent pour injecter des instructions dans la base de données en les insérant dans l'url de la page. S’il est important de corriger ces erreurs dans l’absolu, il faut qu’elles aient toutes disparues lorsque Biblys sera disponible dans une version open source et que son code sera visible aux yeux de tous.

L’accent mis sur la sécurité

Un travail a également été effectué pour améliorer le chiffrement des mots de passe des comptes utilisateurs Axys. En cas de piratage de la base de données, il serait beaucoup plus difficile d’obtenir le mot de passe à partir de la version chiffrée. Pour en savoir plus, vous pouvez lire Axys : amélioration du chiffrement des mots de passe sur le blog.

Tous les sites Biblys, ainsi que le site de gestion des comptes utilisateurs Axys, sont désormais accessibles uniquement via le protocole HTTPS, identifiable au petit cadenas vert dans la barre d’adresse. Ce protocole apporte de nombreux avantages en matière de sécurité, de confiance client, mais aussi de référencement. Pour en savoir plus, vous pouvez lire HTTPS est désormais activé par défaut pour tous les sites Biblys sur le blog.

Un éditeur de thème déjà mis à profit

Un éditeur de thème a été ajouté à Biblys, permettant à un administrateur de modifier le thème graphique de son site sans passer par moi. Cela signifie aussi qu’un nouveau site Biblys peut être ouvert aujourd’hui sans autre frais que celui de l’abonnement, si l’administrateur prend en charge la création de l'aspect visuel du site. Pour en savoir plus, vous pouvez lire L'éditeur de thème sur le blog. Biblys s’est également à cette occasion doté d’un wiki.

Cet éditeur a déjà été mis à profit pour réaliser la Librairie du Voyageur, une nouvelle librairie propulsée par Biblys qui a ouvert ses portes en novembre. Réunissant neuf éditeurs autour du voyage, elle propose un catalogue commun de plus de 1000 titres et se structure autour d’une base bibliographique très riche en métadonnées, qui profite du moteur de recherche très efficace de Biblys. Pour en savoir plus, vous pouvez lire La Librairie du Voyageur, propulsée par Biblys sur le blog.

Biblys Data Server

Dans mon billet bilan d’il y un an, je parlais d’un projet open source permettant d’échanger des données bibliographiques de manière standard. Ce projet en est encore à l’état embryonnaire, mais il est fonctionnel et déjà alimenté par plusieurs sites biblys et riche d’une base de 8000 entrées. Vous pouvez accéder au serveur à l’adresse data.biblys.fr et au code source ainsi qu’à la documentation sur Github.

Communication

Biblys s’est doté en début d’année d’une newsletter. Avec un rythme d’un à deux envois tous les deux mois, c’est un bon moyen de se tenir au courant des évolutions du projet et de l’ajout de nouvelles fonctionnalités. 

Les pages Biblys sur les réseaux sociaux, Facebook et Twitter, sont désormais plus régulièrement animées, avec des actualités et des astuces, et permettent d’être informé en cas d’incident sur le serveur, tout comme le nouveau site status.biblys.fr. En cas d’indisponibilité de votre site, n’hésitez pas à consulter d’abord ces pages avant de me contacter, j’y afficherai les informations au fur et à mesure que je les obtiens moi-même.

Perspectives pour 2017

De nombreuses autres améliorations ont été apportées tout au long de l’année ; on peut en trouver la liste complète sur la page Historique des mises à jour. D'autres améliorations menées en tâche de fond, préparent d’importantes évolutions qui verront le jour en 2017, notamment, je l’espère, la version open source de Biblys. J’y reviendrai dans un billet dédié au début du mois de janvier.

La Librairie du Voyageur, propulsée par Biblys

Foin de métaphores et autres figures de style, assez d'épopées sur canapé, voici la première librairie propulsée par Biblys qui vous fera littéralement voyager !

L'UEVI, qui fédère neuf éditeurs de voyage indépendants de langue française (Bouts du monde, Elytis, Géorama, Ginkgo, Intervalles, Magellan & Cie, Nevicata, Nomades, Transboréal), dispose déjà d'un site qui présente les catalogues de ses membres et d'une librairie physique située à Porspoder dans le Finistère. Pour vendre en ligne, l'association a décidé de faire appel à Biblys.

"de Porspoder" CC BY-NC-ND Eric SAUSSE

Navigation transversale

La Librairie du Voyageur a ainsi ouvert ses portes virtuelles à la mi-novembre et propose à la vente plus de 1000 titres autour du voyage. L'UEVI disposait d'une base de données très riche en métadonnées, avec des mots-clés géographiques et thématiques très détaillés, qu'il s'agissait de mettre en valeur, via des menus "régions" et "thématiques".

Le moteur de recherche permet également de préciser sa recherche pour afficher, par exemple, tous les livres consacrés à New York, mais aussi de faire des recherches multi-critères, pour n'afficher que les livres sur New York par l'éditeur Nomades.

Chaque fiche livre affiche de nombreux détails sur chaque livre dont son format, sa langue mais aussi son pays d'origine, et les mots-clés, pour mettre en valeur la richesse des métadonnées. Les mots-clés sont en effet cliquables, pour permettre une navigation transversale et inviter à la découverte d'autres titres sur le même sujet.

Compagnons de route

Chaque éditeur dispose de sa page sur laquelle il peut présenter sa maison en quelques mots, ses dernières nouveautés, ses collections et être contacté. Les pages catalogues, tout comme les pages rayons, régions, thématiques ou les résultats de recherche, font la part-belle aux visuels. Elles incluent un bouton d'ajout rapide au panier qui fonctionne sans recharger la page, pour encourager l'ajout de plusieurs titres. 

Le site du routard

Comme tous les sites Biblys, la Librairie du Voyageur est optimisée pour le référencement et pour le partage sur les réseaux sociaux. Et comme les sites Biblys récents, elle est également responsive, c'est-à-dire adaptée à tous les types d'écrans : ordinateur, tablette et téléphone. C'est désormais un point qui est pris en compte par les moteurs de recherche pour le référencement, donc à soigner. Et c'est pratique, quand on se retrouve au bout du monde avec seulement un téléphone en poche, avec un besoin soudain de découvrir la littérature locale !

La Librairie du Voyageur a également nécessité de faire évoluer Biblys sur certains points. Le pays d'origine des livres, en plus de la langue d'origine, est maintenant géré, et permet de faire la distinction entre, par exemple, l'anglais des États-Unis, de Grande-Bretagne ou du Canada. De nombreuses autres améliorations apportées à Biblys (réparties dans les mises à jour 2.23, 2.24 et 2.25) profitent d'ores et déjà aux autres sites.

HTTPS est désormais activé par défaut pour tous les sites Biblys

Illustration CC Fabio Lanari

Illustration CC Fabio Lanari

La mise à jour 2.22 de Biblys ajoute une option de configuration permettant de forcer la connexion au site avec le protocole HTTPS. Cette option est désormais activée par défaut sur tous les sites Biblys.

À quoi sert le protocole HTTPS ?

Le protocole HTTPS permet de crypter les données qu’échangent un site web et un visiteur. Il n’est pas très difficile pour un individu malintentionné de s’interposer entre vous et un site que vous visitez (par exemple sur un réseau Wi-Fi public) et d’intercepter toutes les informations échangées : pages visitées, formulaires envoyés, mots de passe, informations bancaires, etc.

Mais si le site utilise le protocole HTTPS (identifiable par le petit cadenas vert dans la barre d’adresse du navigateur), l’indiscret ne verra que du bruit qu’il lui sera impossible de décrypter. C’est pourquoi les sites de paiement où l’on entre son numéro de carte bancaire utilisent systématiquement ce protocole.

Quel intérêt d’utiliser le protocole HTTPS pour un site Biblys ?

Même si l’entrée des informations de paiement et de connexion se font sur des sites externes déjà sécurisés (chez PayPal, PayPlug et Axys), utiliser HTTPS sur un site Biblys permet de protéger d’autres informations sensibles comme les coordonnées de facturation et de livraison que les clients renseignent lors de l’enregistrement d’une commande. La présence du cadenas vert dans la barre d’adresse est de plus un marqueur de confiance qui rassure, surtout sur les sites marchands.

Depuis un an, la disponibilité du protocole HTTPS est également un critère d’optimisation du référencement (SEO), puisque Google avantage les sites qui disposent d’un certificat SSL.

À titre personnel, je pense comme beaucoup que le HTTPS est amené à devenir le standard de facto tandis que HTTP va disparaitre, et qu’il est du devoir des sites que nous consultons de protéger les informations que nous échangeons avec eux de tous les indiscrets qui pourraient s’interposer.

« Bletchley Park » (Image CC BY-NC John Adams)

Pourquoi ne pas avoir proposé plus tôt le protocole HTTPS ?

Il était déjà possible d’activer HTTPS sur un site Biblys, mais cela nécessitait l’acquisition à l’année d’un certificat SSL très onéreux, et dans les faits, aucun administrateur n’en avait fait la démarche.

Depuis la fin 2015, l’autorité de certification Let’s Encrypt, à l’initiative de géants de l’internet comme Mozilla, Google, Facebook mais aussi des français comme Free et OVH, a commencé à délivrer des certificats gratuitement. Il est donc désormais facile pour n’importe quel site d’acquérir un certificat SSL et de proposer le protocole HTTPS.

Comment activer le protocole HTTPS sur mon site Biblys ?

Il n’y a rien de spécial à faire. HTTPS est activé par défaut, ne peut être désactivé et est désormais le seul protocole disponible pour accéder à un site Biblys. Vous pouvez le vérifiez par la présence du cadenas vert dans la barre d’adresse et du sigle https:// au début de l’adresse.

L'éditeur de thème

Avec sa mise à jour 2.17, Biblys se dote d'un éditeur de thème. Celui-ci permet aux administrateurs de sites Biblys de modifier entièrement l'habillage graphique de leur site, mais également de personnaliser les modèles des pages.

Aujourd'hui, outre le modèle principal, deux modèles seulement sont modifiables : la fiche article et la liste d'articles (utilisée notamment sur les pages rayons). De nouveaux modèles seront ajoutés lors des prochaines mises à jour, l'objectif à terme étant qu'un site Biblys soit entièrement personalisable à l'aide de cet outil.

Utiliser l'éditeur de thème demandera des compétences basiques en HTML et CSS. Chaque page éditable dispose d'un modèle par défaut dont il est possible de s'inspirer et vers lequel il est possible de revenir en cas de problème. Le moteur de thème utilisé, Twig, permet d'utiliser des variables, des conditions, des boucles, etc. Enfin, un wiki Biblys a été créé pour l'occasion ; il détaille les options offertes par les différents modèles.

 

Cette évolution va dans le sens d'une plus grande ouverture de Biblys, c'est une étape importante pour préparer la future version open-source du logiciel, notamment en terme de documentation de l'API.

Axys : amélioration du chiffrement des mots de passe

Illustration : locked CC BY-NC-ND Karol Franks

Depuis sa création en 2009 pour les besoins des sites Biblys, le service d'authentification Axys utilise, pour encrypter les mots de passe des utilisateurs, la fonction de hachage MD5, considérée aujourd'hui comme peu fiable.

En mai 2015, a commencé le ré-encryptage systématique des mots de passe avec un algorithme plus récent et plus sûr. Il n'est pas possible d'opérer ce processus sans connaître le mot de passe de l'utilisateur, qui n'est pas stocké en clair dans la base données pour des raisons de sécurité. Le ré-encryptage ne peut donc se faire qu'au moment de la connexion, lorsque l'utilisateur entre son mot de passe.

Cela signifie que seuls les utilisateurs qui se sont connectés au moins une fois à leur compte Axys depuis mai 2015 ont vu leur mot de passe ré-encrypté. Fin mars, cela représente environ 8850 comptes Axys sur un total de 18000.

Le 1er mai 2016, les mots de passe utilisant l'ancien méthode d'encryptage seront supprimés définitivement. Les utilisateurs dont le mot de passe n'aura pas été ré-encrypté pourront toujours utiliser leur compte Axys, mais ils devront pour cela demander la réinitialisation de leur mot de passe par courriel.

La prochaine étape consistera à forcer toutes les connexions à Axys à utiliser le protocole sécurisé SSL. En attendant, vous pouvez déjà accéder à Axys en utilisant HTTPS à l'adresse https://secure.axys.me/.

Pourquoi les mots de passe sont-ils encryptés dans la base de données ?

Si une base de données venait à être piratée, toutes les informations qu'elle contient seraient accessibles au pirate. Pour cette raison, on ne les sauvegarde jamais en clair les mots de passe dans une base de donnés : on les protège grâce à une fonction de hachage cryptographique. Par exemple, le mot de passe "correcthorsebatterystaple", une fois "haché", devient : e9f5bd2bae1c70770ff8c6e6cf2d7b76.

L'une des propriétés du hachage cryptographique est qu'il est impossible de faire la traduction en sens inverse et d'obtenir le mot de passe en clair à partir de son hachage. Comment alors s'assurer que l'utilisateur entre le bon mot de passe au moment de la connexion ? Tout simplement en appliquant la fonction de hachage au mot de passe entré dans le formulaire de connexion, en en comparant le résultat au hachage sauvegardé dans la base de données.

En cas de piratage, le pirate n'obtiendra que des hachages dont il ne peut (en théorie) rien faire.

Pourquoi la fonction de hachage MD5 est-elle considérée comme peu fiable ?

Bien qu'il soit toujours impossible d'obtenir un mot de passe à partir d'un hachage MD5, rien n'empêche un pirate qui aurait obtenu un hachage d'essayer de hacher toutes les chaînes de caractères possibles pour constituer un dictionnaire, jusqu'à obtenir le hachage correspondant. MD5 étant un algorithme relativement peu coûteux en terme de puissance de calcul, cette opération est envisageable. 

Des fonctions de hachage plus récentes et plus couteuses rendent cette opération beaucoup plus difficile, quoique l'évolution de la puissance de calcul des processeurs (et notamment l'utilisation de puces graphiques) oblige à les améliorer sans cesse. Pour mieux protéger les mots de passe, on peut ajouter une chaîne de caractère unique et aléatoire appelée "salt" (grain de sel) au mot de passe avant son encryptage ce qui limite la possibilité de créer des dictionnaires. On peut également augmenter le coup algorithmique de l'encryptage en appliquant plusieurs fois la fonction de hachage cryptographique sur le mot de passe puis sur le hachage produit, et ainsi de suite.

Image : Encrypted stories CC BY Joel Penner

Pourquoi ne pas ré-encrypter automatiquement tous les mots de passe ?

Parce qu'encrypter un mot de passe nécessite de connaître le mot de passe en clair, qui n'est pas stocké dans la base de donnée, il n'est pas possible de ré-encrypter automatiquement tous les mots de passe. Ce processus ne peut se faire qu'au seul moment où Axys a brièvement connaissance de votre mot de passe en clair : à la connexion, lorsque vous le tapez dans le formulaire.

Comment m'assurer que mon mot de passe à bien été ré-encrypté ?

Déconnectez-vous puis reconnectez-vous à votre compte Axys. Si vous avez fait cette manipulation au moins une fois entre mai 2015 et aujourdh'ui, votre mot de passe à déjà été ré-encrypté à l'aide de la nouvelle fonction de hachage.

Mon mot de passe a-t-il été compromis ?

Rien ne permet de penser que la base contenant votre mot de passe encrypté à été compromis. Mais si cela devait se produire à l'avenir, votre mot de passe serait mieux ainsi mieux protégé.

Dois-je changer mon mot de passe ?

Vous pouvez garder votre mot de passe actuel. Toutefois, c'est l'occasion d'en choisir un nouveau ! Il est en effet conseillé de changer votre mot de passe régulièrement, en particulier si vous utilisez le même pour plusieurs services. Personnellement, j'en change une fois par an.

Comment choisir un bon mot de passe ?

On dit parfois qu'un bon mot de passe combine des caractères majuscules, minuscules, des chiffres et des symboles. En réalité, la longueur est le meilleur moyen de protéger votre mot d critère permettant de juger de la difficulté à "cracker" un mot de passe (c'est à dire obtenir le mot de passe en clair à partir de son hachage, à l'aide d'une attaque par dictionnaire). 

Par exemple, à raison de 1000 essais par seconde, un mot de passe comme Pa$sw0rd pourra être forcé en 3 jours tandis pour "unmotdepassepluslong", il faudra 157 milliards d'années, soit plus de 10 fois l'âge de l'univers ! Choisissez donc de préférence une phrase, facile à retenir,  et introduisez idéalement une variante de manière à disposer d'un mot de passe différent pour chaque service auquel vous êtes inscrit. 

La newsletter Biblys

La Lettre d'Ys est morte, vive la newsletter Biblys !

La Lettre d'Ys avait pour ambitieux projet d'informer mensuellement de l'actualité de tous les sites propulsés par Biblys. Lorsque j'ai annoncé son arrêt, faute de temps, vous avez été plusieurs à regretter de ne plus recevoir de nouvelles du projet dans votre boîte mail.

Voici la newsletter Biblys, à la portée plus réduite et la fréquence plus relâchée, puisqu'elle ne couvrira que l'actualité du projet Biblys lui-même, ses évolutions techniques et fonctionnelles. Elle intéressera donc les utilisateurs actuels de Biblys, ceux qui attendent la future version open source, ou les simples curieux.

Notez qu'avoir été inscrit à la Lettre d'Ys ne vous vaudra pas d'être inscrit d'office à la nouvelle newsletter, mais que vous vous pouvez le faire facilement en laissant votre adresse ici. Et si votre boîte est déjà trop pleine, vous pouvez toujours suivre Biblys sur Twitter ou Facebook !

Lettre d'Ys n° 48 : la dernière Lettre d'Ys !

La Lettre d’Ys c’était, une fois par mois, toute l’actualité des sites du réseau Biblys.

Un financement participatif pour les éditions Dystopia

En 2016, les éditions Dystopia se lancent dans le projet le plus ambitieux de leur petite histoire, et elles ont besoin de vous !

En octobre prochain devrait sortir Adar, retour à Yirminadingrad le quatrième recueil de nouvelles autour de la ville imaginée en 2008 par Léo Henry et Jacques Mucchielli. Cette fois, douze auteurs (Stéphane Beauverger, David Calvo, Alain Damasio, Mélanie Fazi, Vincent Gessler, Sébastien Juillard, Laurent Kloetzer, luvan, Norbert Merjagnan, Jérôme Noirez, Anne-Sylvie Salzman et Maheva Stephan-Bugni) ont été invités par un dessin de Stéphane Perger à se perdre dans la ville et à apporter leur pièce au puzzle.

À l'occasion de la parution de cet ultime volume, Dystopia réimprime les deux premiers dont un certain nombre d'exemplaires dans des éditions de luxe. Sont également mis en vente un coffret réunissant les quatre volumes reliés, les treize originaux de Stéphane Perger et bientôt d'autres surprises.

Il y a un mois, Dystopia a lancé un crowdfunding pour réunir les presque 30.000 € nécessaires au projet. À l'heure où j'écris ces lignes, la jauge approche des 20%, mais le plus dur reste à faire. 

Pour participer au crowdfunding Dystopia, c'est ici !

Sequencity, la libraire de BDs numériques avec des vrais libraires dedans

Sequencity est une libraire numérique qui propose plus de 12.000 bande dessinées, comics et manga à lire dans un navigateur ou sur iPad. Pour une fois, c'est un site sur lequel je travaille qui n'est pas propulsé sur Biblys. J'ai rejoint l'équipe en mars dernier pour travailler sur le site et le moteur de lecture web, et ça a été pour moi une expérience très enrichissante.

Mais surtout, Sequencity est un projet qui me tient à cœur parce qu'il se pose la question de la prescription humain dans l'éco-système du livre numérique et tente d'impliquer de vrais libraires au sein de l'application de lecture. Plutôt qu'un moteur de recommandation basé sur des algorithmes analysant vos achats, vous trouverez, chez Sequencity, des conseils rédigés par de vrais libraires et la possibilité de créer un véritable lien en discutant avec eux.

Vous pouvez en outre feuilleter la totalité des titres du catalogue avant achat et lire les premières pages de la plupart ! Si vous testez le moteur de lecture web, n'hésitez pas à me dire que vous en pensez.

Pour essayer Sequencity, c'est par ici !

Biblys : bilan 2015 et perspectives 2016

Sur le blog Biblys, j'ai rédigé un long billet sur les évolutions de Biblys au cours de l'année dernière (notamment le financement participatif et les listes d'envies) et sur celles qu'on peut attendre pour cette année. En bref : une version 3 open source, de l'open data, des services sociaux...

... et en détail sur le blog Biblys !

Ainsi s'achève...

En 2008, je lançais la librairie Ys et sa newsletter, la Lettre d'Ys. Lorsque disparaissait la librairie en 2013, j'avais choisi de continuer la lettre d'Ys pour vous tenir informé des différents projets autour de Biblys.

Force est de constater que le temps m'a manqué pour mener à bien ce projet : seules deux éditions de la newsletter ont été envoyées l'année dernière (en janvier et en février). Ne souhaitant pas continuer à utiliser cette liste à des fins purement promotionnelles, je préfère en rester là : vous avez sous les yeux la dernière Lettre d'Ys !

Si l'aventure vous intéresse, restons tout de même en contact : vous pouvez suivre Biblys sur Facebook et sur Twitter. Les sites Biblys ont aussi pour la plupart une newsletter propre à laquelle vous pouvez vous abonner : les éditions du Bélial' et Dystopia, les librairies Charybde et Scylla.

Ainsi s'achève la dernière Lettre d'Ys, envoyée le 6 janvier 2016 à 5500 heureux élus. Il ne reste qu'à vous souhaiter une excellente année 2016, pleines de lectures passionnantes et de belles découvertes !

Clément Bourgoin

Page 1 sur 5