En 1998, Adolphe Quetelet était mort depuis 124 ans, mais sa formule gouvernait le monde. Un astronome belge qui n'avait jamais eu l'intention de mesurer la santé individuelle avait inventé ce que l'on appelle aujourd'hui l'IMC; un ratio si grossier qu'il classe Dwayne Johnson comme obèse. Le NIST s'apprêtait à déclarer que la plupart des règles de complexité des mots de passe font plus de mal que de bien. Et le CSS était encore à quatre ans d'obtenir border-radius. Trois faits totalement indépendants, sauf qu'ils partagent un fil conducteur : l'écart entre ce que la science dit réellement et ce que nous finissons par faire en pratique.
Ce billet parle de cet écart. De formules que nous utilisons sans les remettre en question, de théâtre sécuritaire que nous acceptons comme normal, et de design visuel que nous continuons de faire par essai-erreur. En chemin, nous avons construit 12 outils utilisables dans le navigateur qui vous permettent d'explorer ces idées de manière concrète. Tout s'exécute côté client; rien ne quitte votre machine.
Votre corps n'est pas un tableur (mais les maths restent utiles)
Quetelet a conçu son indice dans les années 1830 pour étudier des populations, pas des individus. L'OMS l'a adopté malgré tout, et aujourd'hui chaque cabinet médical dans le monde l'utilise comme raccourci de dépistage. La formule est d'une simplicité presque comique : le poids en kilogrammes divisé par la taille en mètres au carré. Elle ne dit rien sur la masse musculaire, la densité osseuse ou l'endroit où votre corps stocke la graisse. Et pourtant, à l'échelle de grandes populations, elle reste l'un des meilleurs prédicteurs du risque métabolique dont nous disposons. Le paradoxe, c'est que l'IMC est à la fois trop grossier pour un individu donné et trop utile pour être abandonné. Si vous voulez voir où vous vous situez et comprendre ce que les plages signifient réellement, vous pouvez calculer le vôtre ici.
Un chiffre plus intéressant est un nombre que la plupart des gens n'ont jamais entendu : votre Taux Métabolique de Base. C'est l'énergie que votre corps brûle en ne faisant absolument rien; respirer, pomper le sang, maintenir la température. Pour la plupart des adultes, cela représente 60 à 75 % de la dépense calorique quotidienne totale. L'équation de Mifflin-St Jeor, publiée en 1990, est encore considérée comme l'estimateur le plus précis pour les adultes en bonne santé, battant l'ancienne formule de Harris-Benedict d'environ 5 % dans les études de validation. La véritable révélation vient quand on multiplie le TMB par un facteur d'activité pour obtenir la Dépense Énergétique Journalière Totale (DEJT). Ce seul chiffre explique davantage les prises et pertes de poids que n'importe quel livre de régime. Vous pouvez lancer le calcul et constater à quel point le nombre change radicalement entre "employé de bureau sédentaire" et "fait du sport 6 jours par semaine".
Il y a ensuite l'hydratation, où la sagesse populaire ("8 verres par jour") n'a essentiellement aucune base scientifique. Cette recommandation remonte à un rapport du Food and Nutrition Board américain de 1945 qui a été sorti de son contexte; le texte original précisait que la majeure partie de cette eau provient de l'alimentation. L'Académie Nationale des Sciences américaine a publié des recommandations réellement fondées sur des preuves, qui prennent en compte le poids corporel, l'activité physique et le climat. Quelqu'un qui fait un travail manuel à Marseille en août et quelqu'un qui code à Stockholm n'ont pas du tout les mêmes besoins en eau. Nous avons construit un calculateur personnalisé basé sur ces recommandations.
Le problème des mots de passe est pire que vous ne le pensez
Voici un fait qui devrait vous déranger : "P@ssw0rd!" passe la plupart des exigences de complexité des sites web. Majuscule, validé. Chiffre, validé. Caractère spécial, validé. Huit caractères, validé. Un attaquant avec un rig GPU modeste le craque en quelques secondes.
Le problème fondamental est que nous mesurons la robustesse des mots de passe de travers depuis des décennies. Les règles traditionnelles (doit contenir majuscule, minuscule, chiffre, symbole) optimisent pour l'inconfort humain, pas pour la résistance cryptographique. Ce qui compte réellement, c'est l'entropie; le nombre de bits d'aléatoire dans votre mot de passe. Une phrase de passe de 20 caractères composée de mots courants aléatoires possède bien plus d'entropie que "Tr0ub4dor&3", même si elle paraît plus simple. Le NIST SP 800-63B, publié en 2017, a formellement reconnu cela en recommandant que les systèmes vérifient les mots de passe contre des bases de données de fuites connues plutôt que d'imposer une complexité arbitraire. Vous pouvez tester vos propres mots de passe et voir le calcul d'entropie; les estimations de temps de craquage ont tendance à donner à réfléchir.
Puisque nous parlons de cryptographie : chaque algorithme de chiffrement moderne descend, conceptuellement, d'une astuce vieille de 2000 ans. Jules César décalait chaque lettre de ses messages militaires de trois positions; A devenait D, B devenait E. Suétone l'a documenté. Le chiffrement est trivialement cassable aujourd'hui (il n'y a que 25 clés possibles), mais il contient l'idée fondamentale derrière tout chiffrement symétrique : une transformation réversible contrôlée par une clé secrète. Si vous n'avez jamais joué avec, essayez-le. Chiffrer et déchiffrer quelques messages vous donne une intuition du fonctionnement du chiffrement qu'aucune explication théorique ne peut égaler.
À l'autre extrémité du spectre se trouve le hachage, cousin à sens unique du chiffrement. Une fonction de hachage prend n'importe quelle entrée et produit une sortie de taille fixe qu'il est pratiquement impossible d'inverser. SHA-256, le même algorithme qui sécurise la blockchain de Bitcoin et l'historique des commits de Git, produira une chaîne hexadécimale de 64 caractères complètement différente si vous changez un seul bit en entrée. Cette propriété (appelée effet d'avalanche) est ce qui rend les hachages utiles pour l'intégrité des fichiers, le stockage de mots de passe et les systèmes adressables par contenu. Le NIST recommande SHA-256 ou supérieur pour tout ce qui touche à la sécurité. Vous pouvez générer des hachages pour n'importe quel texte en utilisant MD5, SHA-1, SHA-256 ou SHA-512 et constater l'effet d'avalanche par vous-même.
Pourquoi les propriétés visuelles CSS restent un jeu de devinettes
Voici quelque chose d'étrange dans le développement web moderne. Nous avons TypeScript qui attrape les erreurs de type avant l'exécution. Nous avons des linters qui imposent automatiquement le style de code. Mais quand il s'agit de propriétés CSS visuelles comme border-radius, box-shadow et les dégradés, nous en sommes encore à taper des nombres, enregistrer, recharger, plisser les yeux, et taper d'autres nombres. C'est la partie la plus artisanale d'un workflow par ailleurs de plus en plus automatisé.
Prenez border-radius. La plupart des développeurs savent que ça arrondit les coins. Moins savent qu'il prend en charge la notation avec barre oblique (border-radius: 10px 30px 50px 10px / 20px 40px) qui crée des formes asymétriques et organiques. Essayez de deviner ces valeurs dans DevTools. Vous ne pouvez pas les visualiser. Le cerveau humain n'est pas câblé pour associer huit nombres à une forme 2D. Un éditeur visuel où vous faites glisser les coins et voyez le résultat n'est pas un luxe; c'est la seule manière saine d'explorer toute l'étendue de cette propriété.
Les ombres, c'est encore pire. Le système d'élévation de Material Design superpose plusieurs ombres avec des décalages, flous et opacités différents pour simuler une profondeur réaliste. Un simple composant carte dans Material UI utilise trois valeurs box-shadow empilées. Obtenir le bon résultat à la main, c'est comme mélanger des couleurs de peinture en lisant des codes hexadécimaux; techniquement possible, pratiquement absurde. Un éditeur d'ombres par couches avec aperçu en temps réel fait la différence entre "cette ombre n'a pas l'air juste" et "cette ombre ressemble à un objet physique".
Les dégradés CSS sont les plus sous-exploités des trois. Les dégradés linéaires sont partout. Les radiaux apparaissent occasionnellement. Mais les dégradés coniques, spécifiés dans la spécification CSS Images Level 3, restent quasiment inconnus alors qu'ils sont supportés par tous les navigateurs modernes. Ils peuvent produire des diagrammes circulaires, des roues chromatiques et des balayages angulaires sans une seule ligne de JavaScript ou de SVG. Avoir les trois types de dégradés dans un seul éditeur révèle des combinaisons auxquelles la plupart des développeurs ne pensent jamais.
Le coût caché de ce qui reste branché
Petite parenthèse sur l'économie de l'énergie. Le foyer français moyen dépense environ 1 500 euros par an en électricité, et la plupart des gens n'ont aucune idée des appareils qui en sont responsables. Un radiateur de 2000 W qui tourne 8 heures par jour coûte environ 50 à 60 euros par mois aux tarifs français moyens. Un PC gamer laissé allumé 24h/24 peut ajouter 30 à 40 euros. Même une seule ampoule à incandescence remplacée par une LED fait économiser environ 10 euros par an.
Le calcul est simple : watts multipliés par heures multipliés par tarif au kWh. Mais le faire pour chaque appareil de votre maison est suffisamment fastidieux pour que presque personne ne le fasse. Nous avons construit un calculateur de coût électrique qui décompose le tout par jour, semaine, mois et année. Les résultats ont tendance à changer les comportements.
Deux autres outils du quotidien, parce que les petites frictions s'accumulent. L'échelle de GPA 4.0 est typiquement américaine et particulièrement déroutante pour les étudiants internationaux; crédits pondérés, conversions de notes par lettres et échelles différentes d'un pays à l'autre transforment une simple moyenne en casse-tête. Et partager l'addition au restaurant (calculateur de pourboire) ne devrait pas nécessiter une négociation de groupe, surtout quand les normes de pourboire varient énormément d'un pays à l'autre (15 % aux États-Unis, 0 % au Japon, service compris en France).
Un mot sur la vie privée
Chaque outil mentionné ici s'exécute entièrement dans votre navigateur via la Web Crypto API et du JavaScript standard. Aucun appel serveur, aucune analyse de vos saisies, aucun compte. Vos mots de passe, vos données de santé et vos expériences CSS restent sur votre machine. Ce n'est pas une fonctionnalité que nous mettons en avant; c'est la seule manière dont ces outils devraient fonctionner. Le fait que la plupart des alternatives vous obligent à envoyer des données sensibles à un serveur pour effectuer un simple calcul, voilà la vraie histoire.