Un ordinateur avec un drapeau pirate sur fond rouge

Le progrès <3

Les clients LastPass victimes d’une attaque par phishing orchestrée grâce à un kit clé en main

Un ordinateur avec un drapeau pirate sur fond rouge

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Les clients LastPass ont récemment été victimes d’une vague de phishing assez bien conçue pour tromper la vigilance des personnes aguerries. Cette action s’inscrit dans une campagne plus vaste ayant visé d’autres services. Elles ont pour point commun l’utilisation d’une suite d’outils malveillants spécialisés dans l’ingénierie sociale.

En août 2022, LastPass révélait avoir été victime d’une série d’attaques. Bien que l’entreprise ait dans un premier temps caché l’ampleur de l’affaire, la réalité était sombre. Un très grand nombre d’informations avaient été volées, y compris des coffres-forts d’utilisateurs. Des données normalement chiffrées, mais les normes appliquées par LastPass n’étaient alors pas celles recommandées pour des informations aussi sensibles que les mots de passe. Un comportement largement critiqué par les chercheurs en sécurité.

En début d’année dernière, LastPass informait qu’une autre attaque avait eu lieu. Ciblant cette fois l’un des membres du personnel, elle avait permis l’infiltration de sa machine et le vol d’un coffre-fort d’entreprise. L’attaque était basée sur l’ingénierie sociale. Plus récemment, en février, une fausse application LastPass a été supprimée par Apple sur l’App Store. La semaine dernière, l’un des employés de LastPass a été victime d’un appel audio utilisant un deepfake de la voix du PDG de l’entreprise, Karim Toobba.

LastPass reste une cible de choix. Et pas seulement la société : ses clients aussi.

Nouvelle campagne visant les utilisateurs

Les 15 et 16 avril, une partie des clients a été ciblée par une campagne tablant largement sur l’ingénierie sociale.

La victime est d’abord appelée par un numéro commençant par 888. Là, un message lui annonce que son compte a été consulté depuis un nouvel appareil. Il peut faire « 1 » pour autoriser l’accès ou « 2 » pour le bloquer. Dans l’espoir, bien sûr, qu’elle fasse « 2 », en réaction à la crainte engendrée d’un piratage de ses mots de passe.

Lorsqu’elle presse « 2 », la victime se voit informée qu’un conseiller de clientèle va la rappeler. Peu après, le téléphone sonne, avec une personne se présentant effectivement comme un conseiller. L’appel est passé depuis un numéro usurpé, avec une voix dont l’accent était décrit comme américain. La victime se voit alors expliquer qu’elle va recevoir un email qui contiendra un lien de réinitialisation du compte.

L’email arrive bientôt, avec le fameux lien. La victime clique dessus et arrive sur un site se finissant par « help-lastpass[.]com ». Il s’agit d’un site frauduleux, conçu pour copier l’apparence du vrai. Si la personne entre son mot de passe, le ou les pirates le récupèrent et s’en servent pour accéder au compte. De là, ils peuvent modifier toutes les informations, dont le mot de passe bien sûr, mais également le téléphone de contact et l’adresse email.

Dans son annonce, LastPass indique avoir « travaillé dur » pour mettre fin à cette campagne de phishing, notamment en intervenant sur les domaines liés. Les utilisateurs sont invités à transmettre tout ce qui leur parait louche à l’adresse [email protected], qu’il s’agisse d’appels, de SMS ou d’emails.

En arrière-plan, un kit de piratage bien conçu

L’aspect particulier de cette campagne est qu’elle est alimentée par un kit d’hameçonnage nommé CryptoChameleon. Il a été découvert en février par la société de sécurité Lookout. C’est d’ailleurs elle qui a averti LastPass de la campagne en cours.

LastPass rappelle qu’un kit d’hameçonnage « est un logiciel d'hameçonnage en tant que service qui permet aux acteurs de la menace de créer facilement de faux sites SSO [Single sign-on, ou authentification unique, ndlr] ou d'autres sites de connexion à partir d'une marque frauduleuse (y compris des graphiques et des logos) afin d'imiter un site ou une entreprise pour laquelle l'acteur de la menace cherche à collecter des informations d'identification ».

Il s’agit d’une solution clé en main, conçue pour faciliter le phishing, en préparant toute la chaine de ce qui correspondrait, en temps normal, à un flux d’utilisation habituel. Le schéma est toujours le même, avec pour objectif ultime de faire venir la victime sur un site ressemblant trait pour trait à ce que l’on s’attend à voir. Si les pirates réussissent, le mot de passe est volé et la galère commence.

Lookout a découvert ce site il y a quelques mois. L’éditeur en a publié un billet de blog expliquant le fonctionnant et pointant ses nouvelles capacités.

Des cibles multiples

Selon les explications de Lookout, le kit initialement découvert semble avoir été conçu pour cibler les plateformes de cryptomonnaies et la FCC (Federal Communications Commission) via des appareils mobiles. Ses cibles se sont cependant multipliées rapidement.

Selon l’entreprise, Binance et Coinbase ont été ciblées ainsi que leurs utilisateurs, ainsi que ceux de Gemini, Kraken, ShakePlay, Caleb & Brown et Trezor. Plusieurs services de courriel, de stockage des mots de passe et d’authentification unique (SSO) ont également été pris pour cibles : LastPass, AOL, Gmail, iCloud, Okta, Outlook, Twitter et Yahoo.

C’est d’ailleurs à travers l’enregistrement d’un nom de domaine suspect lié à Okta – fcc-okta[.]com – que Lookout a découvert le kit. La méthode rappelait celle d’un groupe de pirates nommé Scattered Spider, pour lequel la CISA (Cybersecurity and Infrastructure Security Agency) américaine avait lancé un avertissement peu avant.

Un kit à tout faire (et malin)

Lookout a découvert plusieurs aspects « novateurs » dans la manière dont sont conçues les campagnes automatisées. Par exemple, le site frauduleux est protégé par un captcha conçu à l’aide de hCaptcha. Pour les malandrins, l’ajout de ce mécanisme a deux bénéfices. D’abord, il bloque les tentatives automatiques d’analyse du site, ce qui ralentit sa découverte. Ensuite, il peut fournir une impression de légitimité à la victime, augmentant d’autant l’efficacité de l’attaque.

Second constat, nettement plus grave : le site est conçu pour tenir compte des méthodes modernes de connexion, notamment l’authentification multifactorielle (MFA). Les chercheurs ont ainsi découvert une console d’administration. Ils n’ont pas pu y accéder, mais ont pu voir son code JavaScript et son CSS, permettant de reconstituer « une grande partie de ses fonctionnalités ».

Ils en ont ainsi déduit que chaque fois qu’une victime arrive sur le faux site et entre des informations, une nouvelle ligne apparaît dans un tableau. Une fois l’identifiant et le mot de passe envoyés, le pirate peut alors choisir vers quelle option orienter la victime. Pendant ce temps, la page de connexion demande à cette dernière d’attendre, pendant que le pirate se connecte sur le vrai site avec les informations.

C’est là que le contournement de la MFA intervient. Si le compte est protégé, le pirate peut utiliser de multiples options pour faire afficher chez la victime un nouvel écran avec le facteur supplémentaire. Si c’est un code reçu par email ou SMS, il pourra l’entrer. Un code généré par une application de type OTP (Authenticator) ? Même tarif.

Comme avec le captcha, des informations supplémentaires sont affichées pour faire grimper le niveau de crédibilité de la demande. Dans le cas du code reçu par SMS par exemple, le pirate va montrer les quatre derniers chiffres du numéro de téléphone et demander à la victime si elle souhaite recevoir un code à six ou sept chiffres.

Dans tous les cas, le jeton de connexion est transmis au pirate, qui peut alors s’en servir pour déverrouiller le compte authentique de la victime. Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème.

Et ça marche

D’après les chercheurs, le kit CryptoChameleon a permis avec succès de dérober des informations à une centaine de personnes. Ils disent avoir pu accéder, pendant un court laps de temps, aux journaux situés sur un serveur de contrôle et de commande (C2 ou C&C). « Un pourcentage élevé des informations d'identification collectées par ces sites ressemble à des adresses électroniques légitimes, des mots de passe, des jetons OTP, des URL de réinitialisation de mot de passe, des photos de permis de conduire et bien d'autres choses encore », ajoutent-ils.

L’hébergement a également évolué. En novembre et décembre 2023, les faux sites étaient essentiellement hébergés chez Hostwinds et Hostinger. En janvier et février 2024, ils étaient surtout chez l’hébergeur russe RetnNet (213.178.155[.]194). Selon les chercheurs, les faux sites sont d’ailleurs restés plus longtemps en ligne chez RetnNet. Le 17 février, nouveau déménagement, cette fois chez QWARTA. Le 22 février, rebelote, chez OOO Westcall.

Lookout a pu discuter avec plusieurs victimes. Le schéma était toujours le même, avec une combinaison d’appels téléphoniques et de SMS pour inspirer confiance. Un rôle suffisamment travaillé pour être crédible, une situation apte à générer de la peur (« votre compte a été piraté »), une proposition d’aide. Dans la plus pure tradition de l’ingénierie sociale, comme nous l’évoquions récemment dans notre article sur les risques de détournement des projets open source, dans le sillage de l’affaire XZ Utils.

En dépit cependant des similitudes avec le groupe Scattered Spider, les chercheurs disent avoir repéré assez de différences pour ne pas leur attribuer ces attaques. Ils ont notamment relevé d’importantes différences dans l’infrastructure de contrôle. Rien d’étonnant selon Lookout, les imitations étant courantes dans ce milieu, tout particulièrement quand une méthode se révèle efficace. Et elle semble l’avoir été.

Commentaires (40)


"Si la personne entre son mot de passe, le ou les pirates le récupèrent et s’en servent pour accéder au compte. De là, ils peuvent modifier toutes les informations, dont le mot de passe bien sûr, mais également le téléphone de contact et l’adresse email"
-> si je comprends bien, avoir la double authentification suffit à rendre ce genre d'attaque inopérante ? Ça devrait limiter la casse, tout de même ?
Lire plus loin dans l'article:

une fois le mot de passe entrée, la victime est mise en attente, le temps de tester l'info en question, et si besoin de demander à la victime des infos supplémentaire, comme un numéro OTP à fournir, etc.
Modifié le 19/04/2024 à 18h19

Historique des modifications :

Posté le 19/04/2024 à 18h19


Lire plus loin dans l'article:

une fois le mot de passe entrée, la victime est mise en attente, le temps de tester l'info en question, et si besoin de faire afficher à la victimes des infos supplémentaire, comme un numéro OTP à fournir, etc.

Pour les codes de ce type, passe encore mais je me demande si les Passkeys et Yubikeys permettent de se prémunir de ce genre de détournement.

Raromatai

Pour les codes de ce type, passe encore mais je me demande si les Passkeys et Yubikeys permettent de se prémunir de ce genre de détournement.
Encore un peu plus loin dans l'article :
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."

LordZurp

Encore un peu plus loin dans l'article :
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."
J'ai hâte de lire un récit où des utilisateurs utilisant une authentification par clé copieraient leur clé privée dans un formulaire Web.

Berbe

J'ai hâte de lire un récit où des utilisateurs utilisant une authentification par clé copieraient leur clé privée dans un formulaire Web.
De ma compréhension du sujet, il y a un échange de clé publique et de clés privée entre le dispositif physique et le site web. Donc pour que cette attaque d'homme du milieu fonctionne, il faudrait qu'elle se fasse dès l'inscription du dispositif physique, donc lors de la première fois et toutes les suivantes.

Et la clé privée ne sort jamais dans un formulaire web.
Modifié le 20/04/2024 à 12h02

Historique des modifications :

Posté le 20/04/2024 à 08h24


De ma compréhension du sujet, il y a un échange de clé publique et de clés privée entre le dispositif physique et le site web. Donc pour que cette attaque d'homme fonctionne, il faudrait qu'elle se fasse dès l'inscription du dispositif physique, donc lors de la première inscription.

Et la clé privée ne sort jamais dans un formulaire web.

LordZurp

Encore un peu plus loin dans l'article :
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."
Ah, merci et ça m'apprendra à lire trop vite
(erreur de comm)
Modifié le 19/04/2024 à 22h33

Historique des modifications :

Posté le 19/04/2024 à 22h32


Encore un peu plus loin dans l'article :
"Notez que le kit ne semble pas être prévu pour gérer des moyens d’authentification plus sophistiqués comme la biométrie ou les clés d’accès (passkeys). Ces dernières ont justement été conçues pour éviter ce genre de problème."

Posté le 19/04/2024 à 22h32


Oui et non. En théorie évidemment, il ne faut pas cliquer sur un lien inconnu. En pratique, dans le cas d'une reinitialisation de mot de passe, on reçoit quasi toujours un mail avec un lien, contenant un token unique, donc compliqué de faire autre chose que cliquer dessus.

On se méfiance d'un tel lien lorsqu'il est "inattendu", beaucoup moins lorsqu'il est attendu, et dans ce cas, très compliqué de faire autre chose que cliquer dessus. Et encore, je ne parle pas des " protections" style safelinks qui embrouillent encore plus la lecture des liens

ilink

« Non demandé » c’était assez clair 👀😁🫣
Oui, mais en sois ici, elle l'était, indirectement
Modifié le 19/04/2024 à 21h24

Historique des modifications :

Posté le 19/04/2024 à 21h20


Il y a une chose que je ne saisie pas. Avec un gestionnaire de mot de passe (même LastPass...) un "simili site" devrait être repéré immédiatement puisqu'il ne sera pas reconnu par le gestionnaire. Si l'utilisateur passe outre et va chercher manuellement les informations de connexion du site dans son coffre fort, difficile alors de le classer dans les personnes aguerries non ?

Le schéma était toujours le même, avec une combinaison d’appels téléphoniques et de SMS pour inspirer confiance. Un rôle suffisamment travaillé pour être crédible, une situation apte à générer de la peur (« votre compte a été piraté »), une proposition d’aide.


Petit pense-bête : Aucune entreprise ne vous appellera jamais en cas d'anomalie. Pareil aucun intérêt pour une boite de vous aider alors que vous n'avez rien demandé.

Ces gestionnaires de mots de passe cloudés, c'est une aberration totale : Un gestionnaire de mot de passe doit être local, c'est une évidence !
Comment tu gères la synchronisation entre appareils en local ?

fred42

Comment tu gères la synchronisation entre appareils en local ?
Keepass peut synchroniser une base sur un cloud (dropbox, icloud, onedrive...) ou NAS.

La différence avec LastPass ou autre est que l'authentification (par ex mdp / certificat / biométrie) est systématiquement faite en local, ce qui sort de ton PC est uniquement le coffre chiffré (a priori) sécurisé.

fred42

Comment tu gères la synchronisation entre appareils en local ?
Ctrl c
Ctrl v

Assez facile, on apprend ça en cours de techno en 6ème.

Pinailleur

Ctrl c
Ctrl v

Assez facile, on apprend ça en cours de techno en 6ème.
Et tu fais passer comment ton presse papier entre 2 appareils ? Par exemple un PC et un smartphone ?

Le format de ta base de donnée n'étant pas forcément un fichier texte éditable, il faut que tu passes par l'interface de ton outil sur chacun des appareils. C'est tout sauf évident comme problème. Ta réponse est inutilement méprisante.

En plus, quand j'étais en sixième, l'informatique n'était pas enseignée et le copier-coller était à peine inventé (vers 4'20 : vidéo de démonstration de souris et de copie de texte par Douglas Engelbart le 9 décembre 1968 à l'institut de recherche Stanford)

fred42

Et tu fais passer comment ton presse papier entre 2 appareils ? Par exemple un PC et un smartphone ?

Le format de ta base de donnée n'étant pas forcément un fichier texte éditable, il faut que tu passes par l'interface de ton outil sur chacun des appareils. C'est tout sauf évident comme problème. Ta réponse est inutilement méprisante.

En plus, quand j'étais en sixième, l'informatique n'était pas enseignée et le copier-coller était à peine inventé (vers 4'20 : vidéo de démonstration de souris et de copie de texte par Douglas Engelbart le 9 décembre 1968 à l'institut de recherche Stanford)
Tu branches ton smartphone. Ou tu te connectes sur ton partage réseau si t'as Windows ou MacOS, même Linux tu l'as facilement. Ou tu branches une clé USB entre deux ordinateurs.

Le format de ta base n'est jamais un fichier texte éditable, je prend en exemple la référence du coffre local : keepass. Tu as un fichier, c'est tout.

Donc désolé de te contredire, c'est assez évident, il y a peu de cas où tu ne peux vraiment pas faire de copier d'un appareil à l'autre. Par exemple sur iPhone, mais là si tu voulais du local t'as fais le mauvais choix de smartphone dans ce cas. Ma réponse n'est pas méprisante mais sarcastique. C'est un problème assez simple.

D'autant que, pour répondre à ton autre commentaire https://next.ink/134916/les-clients-lastpass-victimes-dune-attaque-par-phishing-orchestree-grace-a-un-kit-cle-en-main/#comment-archor-2132170 tu peux toujours créer des nouveaux comptes sur un autre appareils, c'est juste que la base y sera la plus récente et donc tu devras la copier sur ton autre appareil ensuite. Et est-ce que les gens créer vraiment beaucoup de nouveaux comptes ? J'ai vérifié chez moi, ils n'ont pas modifié leur base depuis 6 mois le plus récente, un an le plus vieux.

Il y a plus de gens aujourd'hui qui connaissent le Copier / coller que de gens qui l'ignorent.

Pinailleur

Tu branches ton smartphone. Ou tu te connectes sur ton partage réseau si t'as Windows ou MacOS, même Linux tu l'as facilement. Ou tu branches une clé USB entre deux ordinateurs.

Le format de ta base n'est jamais un fichier texte éditable, je prend en exemple la référence du coffre local : keepass. Tu as un fichier, c'est tout.

Donc désolé de te contredire, c'est assez évident, il y a peu de cas où tu ne peux vraiment pas faire de copier d'un appareil à l'autre. Par exemple sur iPhone, mais là si tu voulais du local t'as fais le mauvais choix de smartphone dans ce cas. Ma réponse n'est pas méprisante mais sarcastique. C'est un problème assez simple.

D'autant que, pour répondre à ton autre commentaire https://next.ink/134916/les-clients-lastpass-victimes-dune-attaque-par-phishing-orchestree-grace-a-un-kit-cle-en-main/#comment-archor-2132170 tu peux toujours créer des nouveaux comptes sur un autre appareils, c'est juste que la base y sera la plus récente et donc tu devras la copier sur ton autre appareil ensuite. Et est-ce que les gens créer vraiment beaucoup de nouveaux comptes ? J'ai vérifié chez moi, ils n'ont pas modifié leur base depuis 6 mois le plus récente, un an le plus vieux.

Il y a plus de gens aujourd'hui qui connaissent le Copier / coller que de gens qui l'ignorent.
Désolé, je pinailles mais :
- tu fais comment quand tu ne t'y connais pas assez en informatique pour penser à mettre ton coffre Keepass sur un service cloud ?
=> si tu passes par uniquement un copier-coller, tu perds un temps de dingue si tu n'as pas de PC, et il faut trouver un moyen sécurisé pour partager ton coffre fort de tel à tel ou de tel à tablette
=> si tu passes par un cloud maison... tu passes par le cloud

- tu fais comment pour partager des mdp avec un proche ?

potn

Désolé, je pinailles mais :
- tu fais comment quand tu ne t'y connais pas assez en informatique pour penser à mettre ton coffre Keepass sur un service cloud ?
=> si tu passes par uniquement un copier-coller, tu perds un temps de dingue si tu n'as pas de PC, et il faut trouver un moyen sécurisé pour partager ton coffre fort de tel à tel ou de tel à tablette
=> si tu passes par un cloud maison... tu passes par le cloud

- tu fais comment pour partager des mdp avec un proche ?
Pourquoi tu me poses la question à moi ? Je ne suis pas celui qui a mentionné de synchroniser le coffre sur un service cloud que je sache.
si tu passes par uniquement un copier-coller, tu perds un temps de dingue si tu n'as pas de PC, et il faut trouver un moyen sécurisé pour partager ton coffre fort de tel à tel ou de tel à tablette


« un temps de dingue » ?!? :mdr: Entre téléphone et tablette tu partages en bluetooth, ça m'a pris 20 secondes là.
si tu passes par un cloud maison... tu passes par le cloud


Non.
tu fais comment pour partager des mdp avec un proche ?


Tu ne partages pas ou alors tu partages le mot de passes par un canal sécurisé.

Pinailleur

Pourquoi tu me poses la question à moi ? Je ne suis pas celui qui a mentionné de synchroniser le coffre sur un service cloud que je sache.
si tu passes par uniquement un copier-coller, tu perds un temps de dingue si tu n'as pas de PC, et il faut trouver un moyen sécurisé pour partager ton coffre fort de tel à tel ou de tel à tablette


« un temps de dingue » ?!? :mdr: Entre téléphone et tablette tu partages en bluetooth, ça m'a pris 20 secondes là.
si tu passes par un cloud maison... tu passes par le cloud


Non.
tu fais comment pour partager des mdp avec un proche ?


Tu ne partages pas ou alors tu partages le mot de passes par un canal sécurisé.
Pourquoi tu me poses la question à moi ?


Parce que je me suis trompé, désolé. ^^
« un temps de dingue » ?!? :mdr: Entre téléphone et tablette tu partages en bluetooth, ça m'a pris 20 secondes là.


Le Bluetooth, c'est pas sécurisé... En plus, c'est probablement plus que 20 secondes si tu comptes tout de la navigation vers le fichier à partager, le partage Bluetooth, la validation côté autre appareil, le déplacement au bon endroit, etc...
Non


Comment ça, non ? Ou alors, pour toi, passer par un auto-hébergement est synonyme de ne pas passer par le cloud ?
Tu ne partages pas ou alors tu partages le mot de passes par un canal sécurisé.


Comment fais-tu pour partager les MDP des abonnements à Internet, les courses, Netflix etc avec ton/ta compagne sans galèrer stp ? Parce qu'avant que j'utilise un gestionnaire de mdp en cloud, on faisait juste pas, ce qui mettait l'autre en situation délicate en cas de problème.

potn

Pourquoi tu me poses la question à moi ?


Parce que je me suis trompé, désolé. ^^
« un temps de dingue » ?!? :mdr: Entre téléphone et tablette tu partages en bluetooth, ça m'a pris 20 secondes là.


Le Bluetooth, c'est pas sécurisé... En plus, c'est probablement plus que 20 secondes si tu comptes tout de la navigation vers le fichier à partager, le partage Bluetooth, la validation côté autre appareil, le déplacement au bon endroit, etc...
Non


Comment ça, non ? Ou alors, pour toi, passer par un auto-hébergement est synonyme de ne pas passer par le cloud ?
Tu ne partages pas ou alors tu partages le mot de passes par un canal sécurisé.


Comment fais-tu pour partager les MDP des abonnements à Internet, les courses, Netflix etc avec ton/ta compagne sans galèrer stp ? Parce qu'avant que j'utilise un gestionnaire de mdp en cloud, on faisait juste pas, ce qui mettait l'autre en situation délicate en cas de problème.
Le Bluetooth, c'est pas sécurisé... En plus, c'est probablement plus que 20 secondes si tu comptes tout de la navigation vers le fichier à partager, le partage Bluetooth, la validation côté autre appareil, le déplacement au bon endroit, etc...


La portée est très faible, assez pour être considéré comme sécurisé pour du lambda. Et ça m'a pris 20 sec à faire tout ce que tu dis. Le transfert n'a duré que 3 secondes. Ensuite sur l'appareil de réception, lancer l'appli, cliquer sur ouvrir et naviguer vers le fichier c'est très rapide aussi, je ne vois pas dans quel monde tu prend dix minutes à faire ça. Sachant qu'une fois le chemin défini, pas besoin de le refaire même si tu re-copie la base depuis ailleurs (en tout cas j'ai pas eu besoin).
Comment ça, non ? Ou alors, pour toi, passer par un auto-hébergement est synonyme de ne pas passer par le cloud ?


Un cloud maison n'est pas un cloud. Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.
Comment fais-tu pour partager les MDP des abonnements à Internet, les courses, Netflix etc avec ton/ta compagne sans galèrer stp ? Parce qu'avant que j'utilise un gestionnaire de mdp en cloud, on faisait juste pas, ce qui mettait l'autre en situation délicate en cas de problème.


Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.

Pinailleur

Le Bluetooth, c'est pas sécurisé... En plus, c'est probablement plus que 20 secondes si tu comptes tout de la navigation vers le fichier à partager, le partage Bluetooth, la validation côté autre appareil, le déplacement au bon endroit, etc...


La portée est très faible, assez pour être considéré comme sécurisé pour du lambda. Et ça m'a pris 20 sec à faire tout ce que tu dis. Le transfert n'a duré que 3 secondes. Ensuite sur l'appareil de réception, lancer l'appli, cliquer sur ouvrir et naviguer vers le fichier c'est très rapide aussi, je ne vois pas dans quel monde tu prend dix minutes à faire ça. Sachant qu'une fois le chemin défini, pas besoin de le refaire même si tu re-copie la base depuis ailleurs (en tout cas j'ai pas eu besoin).
Comment ça, non ? Ou alors, pour toi, passer par un auto-hébergement est synonyme de ne pas passer par le cloud ?


Un cloud maison n'est pas un cloud. Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.
Comment fais-tu pour partager les MDP des abonnements à Internet, les courses, Netflix etc avec ton/ta compagne sans galèrer stp ? Parce qu'avant que j'utilise un gestionnaire de mdp en cloud, on faisait juste pas, ce qui mettait l'autre en situation délicate en cas de problème.


Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.
Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.


Excuses-moi, tu as raison : l'auto-hebergement n'est pas du cloud. Par contre, c'est clairement pas à la portée de tout le monde.



Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.


Justement, c'est avec ma compagne que je partages certains de mes mdps, comme celui du Drive des courses, par exemple. Avoir un compte chacun pour ça est inutile et improductif.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.



Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉
Modifié le 24/04/2024 à 15h59

Historique des modifications :

Posté le 24/04/2024 à 15h58


Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.


Excuses-moi, par "cloud maison", tu as raison : l'auto-hebergement n'est pas du cloud. Par contre, c'est clairement pas à la portée de tout le monde.



Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.

Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.

Justement, c'est avec ma compagne que je partages certains de mes mdps, comme celui du Drive des courses, par exemple. Avoir un compte chacun pour ça est inutile et improductif.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.



Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉

potn

Définissons un cloud ? Le cloud c'est l'ordinateur de quelqu'un d'autre, par extension un ordinateur dont tu n'as pas la maîtrise. Donc un cloud maison n'est pas un cloud dans ce sens car tu en as la maîtrise.


Excuses-moi, tu as raison : l'auto-hebergement n'est pas du cloud. Par contre, c'est clairement pas à la portée de tout le monde.



Tu partages ton mdp d'abonnement Internet avec quelqu'un ? C'est très bizarre comme besoin.
Les courses ? Genre un compte Carrefour ? Pourquoi ne pas avoir chacun le sien ?
Netflix t'es pas supposé partager ton compte puisque tout le monde doit vivre dans le même foyer, sinon tu utilises l'abonné supplémentaire qui a son propre compte et donc mot de passe. Si c'est ton/ta compagne alors où est le problème ? Tu mets toi-même le mot de passe dans l'application.


Justement, c'est avec ma compagne que je partages certains de mes mdps, comme celui du Drive des courses, par exemple. Avoir un compte chacun pour ça est inutile et improductif.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.



Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉
Par contre, c'est clairement pas à la portée de tout le monde.


Je suis on ne peut plus d'accord :D En revanche, ce que je suggère parfois par rapport à ça, c'est de se rapprocher d'une association ou d'un CHATON pour utiliser des services en lignes, par exemple NextCloud, et du coup la synchronisation peut être faite par ce moyen, plus pratique. Mais là on est sur du cloud effectivement, cela dit j'ai plus confiance en eux qu'à un Amazon ou autre.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.


Donc pas besoin de partager le mot de passe, tu peux le renseigner, c'est ce que je disais. Idem pour les autres mot de passes finalement puisque visiblement vous êtes dans le même foyer.
Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉


Je n'ai pas dit le contraire, ce n'est pas moi qui ait dit que c'était une aberration :mdr:
En revanche, qu'il n'y ait que trois grosses boîtes que tout le monde utilise c'est forcément une mauvaise idée. Donc là on est sur du : l'idée est bonne, la mise en place est mauvaise. D'où l'importance de ne pas choisir le gros service que tout le monde utilise, voire d'avoir son propre service d'une façon ou d'une autre (auto-hébergement, cloud associatif, ...)
Modifié le 25/04/2024 à 10h42

Historique des modifications :

Posté le 25/04/2024 à 10h41


Par contre, c'est clairement pas à la portée de tout le monde.


Je suis on ne peut plus d'accord :D En revanche, ce que je suggère parfois par rapport à ça, c'est de se rapprocher d'une association ou d'un CHATON pour utiliser des services en lignes, par exemple NextCloud, et du coup la synchronisation peut être faite par de moyen, plus pratique. Mais là on est sur du cloud effectivement, cela dit j'ai plus confiance en eux qu'à un Amazon ou autre.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.


Donc pas besoin de partager le mot de passe, tu peux le renseigner, c'est ce que je disais. Idem pour les autres mot de passes finalement puisque visiblement vous êtes dans le même foyer.
Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉


Je n'ai pas dit le contraire, ce n'est pas moi qui ait dit que c'était une aberration :mdr:
En revanche, qu'il n'y ait que trois grosses boîtes que tout le monde utilise c'est forcément une mauvaise idée. Donc là on est sur du : l'idée est bonne, la mise en place est mauvaise. D'où l'importance de ne pas choisir le gros service que tout le monde utilise, voire d'avoir son propre service d'une façon ou d'une autre (auto-hébergement, cloud associatif, ...)

Pinailleur

Par contre, c'est clairement pas à la portée de tout le monde.


Je suis on ne peut plus d'accord :D En revanche, ce que je suggère parfois par rapport à ça, c'est de se rapprocher d'une association ou d'un CHATON pour utiliser des services en lignes, par exemple NextCloud, et du coup la synchronisation peut être faite par ce moyen, plus pratique. Mais là on est sur du cloud effectivement, cela dit j'ai plus confiance en eux qu'à un Amazon ou autre.
Le compte Netflix, on le partage puisqu'on a un compte pour le foyer.


Donc pas besoin de partager le mot de passe, tu peux le renseigner, c'est ce que je disais. Idem pour les autres mot de passes finalement puisque visiblement vous êtes dans le même foyer.
Tout ça pour dire que les solutions de gestion de mots de passe en cloud, c'est pas si idiot que ça. 😉


Je n'ai pas dit le contraire, ce n'est pas moi qui ait dit que c'était une aberration :mdr:
En revanche, qu'il n'y ait que trois grosses boîtes que tout le monde utilise c'est forcément une mauvaise idée. Donc là on est sur du : l'idée est bonne, la mise en place est mauvaise. D'où l'importance de ne pas choisir le gros service que tout le monde utilise, voire d'avoir son propre service d'une façon ou d'une autre (auto-hébergement, cloud associatif, ...)
Tu as bien raison de pinailler : tu portes bien ton pseudo. 😉 :chinois:

fred42

Et tu fais passer comment ton presse papier entre 2 appareils ? Par exemple un PC et un smartphone ?

Le format de ta base de donnée n'étant pas forcément un fichier texte éditable, il faut que tu passes par l'interface de ton outil sur chacun des appareils. C'est tout sauf évident comme problème. Ta réponse est inutilement méprisante.

En plus, quand j'étais en sixième, l'informatique n'était pas enseignée et le copier-coller était à peine inventé (vers 4'20 : vidéo de démonstration de souris et de copie de texte par Douglas Engelbart le 9 décembre 1968 à l'institut de recherche Stanford)
Démarche qui nécessite quelques connaissances en informatique mais qui fonctionne chez moi :
-mettre en place un nextcloud sur un serveur local (un raspberry pi peut suffire)
- installer un client nextcloud sur tous les appareils qui vont utiliser Keepass
- créer un coffre fort Keepass sur un pc dans un dossier
- paramétrer nextcloud pour inclure le dossier qui contient Keepass dans les partages = synchro mise en place.

Bonus :
- possibilité de partager avec un autre compte nextcloud (sur le même serveur)
- instant un serveur wireguard sur le raspberry pi pour pouvoir synchroniser le coffre Keepass lorsque à distance

Ferrex

Démarche qui nécessite quelques connaissances en informatique mais qui fonctionne chez moi :
-mettre en place un nextcloud sur un serveur local (un raspberry pi peut suffire)
- installer un client nextcloud sur tous les appareils qui vont utiliser Keepass
- créer un coffre fort Keepass sur un pc dans un dossier
- paramétrer nextcloud pour inclure le dossier qui contient Keepass dans les partages = synchro mise en place.

Bonus :
- possibilité de partager avec un autre compte nextcloud (sur le même serveur)
- instant un serveur wireguard sur le raspberry pi pour pouvoir synchroniser le coffre Keepass lorsque à distance
Oui, mais ma question était à quelqu'un qui disait :
Ces gestionnaires de mots de passe cloudés, cest une aberration totale : Un gestionnaire de mot de passe doit être local, c'est une évidence !


Un nextcloud reste un cloud et je ne suis pas sûr que la plupart des gens sait gérer la sécurité d'un nextcloud mieux que des professionnels ce qui est un problème.

fred42

Comment tu gères la synchronisation entre appareils en local ?
Je ne crée des comptes que depuis mon pc principal, et avec kdeconnect je selectionne le fichier des mots de passe et je fais "partager -> envoyer vers un périphérique" et ça arrive sur mon portable et/ou mon smartphone
Modifié le 20/04/2024 à 13h23

Historique des modifications :

Posté le 20/04/2024 à 13h22


Je ne crée des comptes que depuis mon pc principal, et avec kdeconnect je selectionne le fichier des mots de passe et je fais "partager -> envoyer vers un périphérique" et ça arrive sur mon portable et/ou mon smartphone

Dj

Je ne crée des comptes que depuis mon pc principal, et avec kdeconnect je selectionne le fichier des mots de passe et je fais "partager -> envoyer vers un périphérique" et ça arrive sur mon portable et/ou mon smartphone
C'est une solution, mais elle limite pas mal l'utilisation : si tu n'es pas chez toi où est ton PC principal (à supposer que c'est un fixe que tu ne trimballes pas), tu ne peux pas créer de nouveaux comptes quand tu es en déplacement pendant plusieurs jours/semaines.

fred42

C'est une solution, mais elle limite pas mal l'utilisation : si tu n'es pas chez toi où est ton PC principal (à supposer que c'est un fixe que tu ne trimballes pas), tu ne peux pas créer de nouveaux comptes quand tu es en déplacement pendant plusieurs jours/semaines.
Je le crée sur le smartphone/pc portable et le fichier modifié devient le principal, et donc je le re-transfert vers le pc.

Mais dans mon cas ça n'arrive jamais

Dj

Je le crée sur le smartphone/pc portable et le fichier modifié devient le principal, et donc je le re-transfert vers le pc.

Mais dans mon cas ça n'arrive jamais
Tu évoques donc une sorte de pseudo « synchro » manuelle de type fichier complet, par copie volontaire d’un périphérique à l’autre.
Désolé mais on est selon moi, là dans un cas d’utilisation qui me paraît des plus limités et la méthode des plus artisanales. Et qui dit méthode artisanale en systèmes d’information, signifie généralement risque d’erreur amplifié.

Cas d’utilisation des plus limités car une base de secrets/informations sensibles, ça vit. Parce que des éléments s’ajoutent, parce que des éléments existants sont modifiés. Dans un domaine pro particulier ultra sécurisé et restrein en termes d’évolutions, j’imagine que cela peut se concevoir, mais de toute manière dans ce cas on adopte des outils plus adaptés de type cyberark (sans leur faire de pub).

Pour une utilisation plus banale, et vivante, je trouve ton système des plus approximatifs.
Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.
N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?


Labsyb

Tu évoques donc une sorte de pseudo « synchro » manuelle de type fichier complet, par copie volontaire d’un périphérique à l’autre.
Désolé mais on est selon moi, là dans un cas d’utilisation qui me paraît des plus limités et la méthode des plus artisanales. Et qui dit méthode artisanale en systèmes d’information, signifie généralement risque d’erreur amplifié.

Cas d’utilisation des plus limités car une base de secrets/informations sensibles, ça vit. Parce que des éléments s’ajoutent, parce que des éléments existants sont modifiés. Dans un domaine pro particulier ultra sécurisé et restrein en termes d’évolutions, j’imagine que cela peut se concevoir, mais de toute manière dans ce cas on adopte des outils plus adaptés de type cyberark (sans leur faire de pub).

Pour une utilisation plus banale, et vivante, je trouve ton système des plus approximatifs.
Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.
N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?


Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.


Je ne suis pas @Pinailleur

Perso le contenu de mon coffre change régulièrement, juste que 99% du temps j'ai pas besoin d'avoir une version hyper récente sur mon smartphone

Dj

Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.


Je ne suis pas @Pinailleur

Perso le contenu de mon coffre change régulièrement, juste que 99% du temps j'ai pas besoin d'avoir une version hyper récente sur mon smartphone
Je ne suis pas @Pinailleur


Oups toutes mes confuses :chinois:
Modifié le 21/04/2024 à 14h04

Historique des modifications :

Posté le 21/04/2024 à 14h03


Oups toutes mes confuses :glasses:

Posté le 21/04/2024 à 14h04


Oups toutes mes confuses :chinois:

Labsyb

Tu évoques donc une sorte de pseudo « synchro » manuelle de type fichier complet, par copie volontaire d’un périphérique à l’autre.
Désolé mais on est selon moi, là dans un cas d’utilisation qui me paraît des plus limités et la méthode des plus artisanales. Et qui dit méthode artisanale en systèmes d’information, signifie généralement risque d’erreur amplifié.

Cas d’utilisation des plus limités car une base de secrets/informations sensibles, ça vit. Parce que des éléments s’ajoutent, parce que des éléments existants sont modifiés. Dans un domaine pro particulier ultra sécurisé et restrein en termes d’évolutions, j’imagine que cela peut se concevoir, mais de toute manière dans ce cas on adopte des outils plus adaptés de type cyberark (sans leur faire de pub).

Pour une utilisation plus banale, et vivante, je trouve ton système des plus approximatifs.
Tu indiques que les changements de coffre les plus récents datent de 6 mois sur ta base installée? Je trouve ça curieux.
N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?


N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?



Ça c'est pour moi. Si, le système est utilisé puisque des synchronisations ont lieu plusieurs fois par semaines, donc l'application est bien ouverte et la base déverouillée régulièrement.

C'est juste que visiblement, dans ma famille les utilisateurs lambdas ne créent ni ne modifient pas de données pendant de longues périodes. Ce qui pose la question « pourquoi ? »

Ma réponse : parce qu'ils n'en n'ont pas besoin. Ils ont leur mots de passe de spotify-like et netflix-like et youtube-like etc. ainsi que leurs accès administratifs (impôts, ameli, ...) leur email et voilà.

Conclusion, leur cas fonctionne très bien avec la méthode "artisanale" où l'on copie / colle son coffre si on l'a modifié. C'est un peu le meilleur cas que je peux imaginer qui convient avec le no-cloud. Parce que oui on peut mettre un nextcloud chez soi (ET NON, nextcloud chez soi n'est pas un cloud), mais aucun utilisateur lambda ne le fera et ne peut probablement pas le faire.
Modifié le 22/04/2024 à 11h36

Historique des modifications :

Posté le 22/04/2024 à 11h35


N’est ce pas parce que le coffre/système n’est en réalité tout simplement pas utilisé ?



Ça c'est pour moi. Si, le système est utilisé puisque des synchronisations ont lieu plusieurs fois par semaines, donc l'application est bien ouverte et la base déverouillée régulièrement.

C'est juste que visiblement, dans ma famille les utilisateurs lambdas ne créent ni ne modifient pas de données pendant de longues périodes. Ce qui pose la question « pourquoi ? »

Ma réponse : parce qu'ils n'en n'ont pas besoin. Ils ont leur mots de passe de et etc. leurs codes administratifs pour les impôts, ameli, leur email et voilà.

Conclusion, leur cas fonctionne très bien avec la méthode "artisanale" où l'on copie / colle son coffre si on l'a modifié. C'est un peu le meilleur cas que je peux imaginer qui convient avec le no-cloud. Parce que oui on peut mettre un nextcloud chez soi (ET NON, nextcloud chez soi n'est pas un cloud), mais aucun utilisateur lambda ne le fera et ne peut probablement pas le faire.

Ça faisait longtemps qu´il n´y avait pas eu une embrouille avec LastPass, j´étais inquiet.

Me voilà rassuré.

Mais faut qu´ils donnent des nouvelles plus souvent, sinon on pourrait finir par croire qu´ils ont mis la clé sous la porte après la logique fuite ventre à terre de leur dernier client. :D
Ca tombe bien, Lastpass n'est pas responsable de quoique ce soit ici.

Patch

Ca tombe bien, Lastpass n'est pas responsable de quoique ce soit ici.
Ça tombe bien, je n'ai pas écrit qu'ils étaient responsables ici.

Patch

Ca tombe bien, Lastpass n'est pas responsable de quoique ce soit ici.
En général, le prestataire piraté ne pirate pas les données de ses clients. :)

Les pirates, c'est les autres (pour paraphraser Jean-Paul Sartre).
Fermer