Le 26/06/2023 à 06h 14

(quote:2139872:Ami-Kuns)
Penser que c’était déjà le cas.

C’était un peu tombé dans l’oubli je pense

J’ai eu un Skyblog comme beaucoup d’ado à cette époque qui a durée de 2006 à 2011, il reste une petite partie sur la wayback machine, ce sont de bons souvenirs, bien sûr aujourd’hui je m’en tape complètement et j’en aurais pas re créer un.

Le 21/06/2023 à 06h 31

Gorom a dit:

Pour avoir déjà consulté les écrits de Mozilla à ce sujet, Firefox chiffre d’emblée localement les mots de passe.

Ok merci, j’avais peut-être déjà lu à ce sujet mais je n’étais plus sûr.

Concernant le mot de passe maître, il a une autre utilité peut être moins connue mais il ajoute une couche de sécurité supplémentaire au niveau du chiffrement.

Qui n’est utile que si tu partages ta session de navigation avec une personne physique, ce qui est loin d’être toujours le cas.

https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants

Concrètement sans mot de passe maître, il est très facile de récupérer les mots de passe d’un profil pour les intégrer dans un autre, il suffit juste de déplacer la base de données des mots de passe et la clé, autrement dit deux fichiers. Si le mot de passe maître est activé, il devient une composante de la clé de chiffrement et la récupération des données sera impossible sans ce mot de passe.

Si la personne a un accès physique à l’appareil, oui effectivement.

Erwan123 a dit:

Mouais, pas super épaisse la protection contre les amis trop curieux qui vont surfer sur internet “juste 2min promis pour checker mes mails” avec l’ordi d’un pote et vont aller jeter un coup d’œil par curiosité ou… plus..

Tu parles d’un modèle de menace spécifique que je n’ai pas connu depuis des années, alors je ne me sens pas concerné, je comprends l’argument mais personne de mes connaissances ne vient chez moi pour me dire “tu peux me laisser ton PC pour surf stp ?” Ils ont tous le leurs, de plus, on est tous des adultes.

Le 20/06/2023 à 17h 57

Erwan123 a dit:

. Si bien sur, il faut auparavant rentrer la 1ere fois ses identifiants Google sous Chrome, mais ensuite, normalement ne te les redemande jamais (sauf crash mais c’est très rare).

C’est bien ce que j’ai écris, les mots de passe enregistrés dans Chrome sont protégés par le mot de passe de ton compte Google, du moins avant il n’y avait que ça.

Donc le problème, c’était que si tu t’absentais sans verrouiller ta session Windows et que quelqu’un passait par la, il suffisait simplement d’ouvrir Chrome pour aller voir tous les mots de passe enregistrés dans Paramètres. (identifiant & mdp)

Il y a 10 ans, je ne sais pas s’il était déjà possible de créer des profils séparés dans Chrome, je n’enregistrerai pas mes mots de passe dans le navigateur dans un environnement de travail, mais cela dit, si un collègue passe derrière avec l’intention de voler mes mots de passe d’une session qui ne lui appartient pas, alors il y a un problème plus urgent à régler.

Google avait retorqué que de toute façon, normalement une tierce personne ne peut pas lancer ton Chrome à toi dans ta session Windows, car pour te logger dans ta session Windows, tu dois normalement créer un mot de passe Windows (ce qui facultatif sous Windows 8-10-11 d’ailleurs).

Oui c’est facultatif, leurs argument ne tenait pas.

Donc ils sous entendaient que si tu laisses ton ordi “ouvert” à n’importe qui qui passe par là quand tu t’absentes quelques minutes , et bien c’était de ta faute, pas de la faute de Chrome…

Disons que c’était l’erreur de croire que l’utilisateur sait forcément être responsable

Très très limite comme argumentation tellement limite qu’ils en sont revenu dessus. Maintenant, la visualisation des mdp dans les paramètres de Chrome est verrouillée avec le PIN ou le PASSWORD qui sert à se logger dans Windows 10-11.

On apprends de ses erreurs (enfin pas toujours ^^)

Le 20/06/2023 à 15h 48

Gorom a dit:

Le fait que les mots de passe sous Firefox soient chiffrés d’emblée me semblent déjà une bonne protection côté serveur (si Sync est activé bien entendu)

Les mots de passe sont stockés en claire si Sync n’est pas activé ? Etre connecté à un compte Mozilla fait-il une différence ?

Gorom a dit:

ou alors tu penses à autre chose ?

Non à rien de particulier, j’ai simplement répondu à un commentaire que le mot de passe maître n’a d’intérêt que si tu partages ta session de navigation avec quelqu’un d’autre, si tu es seul chez toi par ex, ce n’est pas franchement utile et c’est fastidieux sur le long terme.

Le 20/06/2023 à 13h 31

Erwan123 a dit:

Je parle de la version Desktop Windows :

Non c’est faux. Je me rappelle très clairement il y a une dizaine d’années, après avoir lancé Chrome, on pouvait aller dans les paramètres pour consulter la liste des mots de passe (identifiants & mots de passe).

Sans être connecté au compte Google ? Si c’était il y a une dizaine d’années, alors je ne m’en souviens pas et je devais être à 100% sur Firefox.

À l’époque, Google avait affirmé que de toute façon la session utilisateur était protégée par mot de passe pour démarrer une session du système (Windows, Linux)….

C ‘est pas claire comme déclaration, tu parles de la session de l’OS ? Si l’équipe en charge chez Google pensait cela, c’était faux effectivement.

Sachifus a dit:

https://www.nirsoft.net/utils/chromepass.html

Thanks.

Le 20/06/2023 à 11h 54

ArKoS a dit:

Oui pour Chrome, c’est bien pour ça que j’attend cette évolution : “la version pour ordinateur prendra bientôt en charge l’identification biométrique pour déverrouiller l’accès aux mots de passe.”

Pour Firefox, tu peux mettre un mot de passe maître pour avoir accès aux mdp stockés.

Le mot de passe maître dans Firefox n’est utile que si tu partages ton navigateur avec quelqu’un, il ne fourni aucun protection supplémentaire côté serveur.

Erwan123 a dit:

À une époque, il n’y avait absolument aucune protection pour accéder à ce gestionnaire dans Chrome. . Et Google trouvait ça normal.

Il était protégé par le mot de passe de ton compte Google, aujourd’hui tu as le chiffrement sur l’appareil pour Android et iOS, c’est mieux, cela s’étends sur la version bureau à présent, sans oublier Passkey.

Le 11/06/2023 à 09h 25

(reply:2137335:NXI_censuré) Tu te trompes de personne, je n’ai aucun attachement particulier pour ce site et cette communauté, je n’étais pas là durant l’époque PC Inpact, j’ai participé à des débats intéressants où j’ai posté quelques pavés comme beaucoup mais ça s’arrête là, me répondre serait une perte de temps.

Le 11/06/2023 à 09h 12

(quote:2137330:NXI_censuré)
Les fanboys sont au taquet !

Un peu comme toi qui poste des pavés sur une cinquantaine de pages du matin au soir avec un compte crée ce mois-ci ?

Le 09/06/2023 à 08h 52

Cetera a dit:

Et si je suis en réalité méfiant c’est qu’il y a eu un précédent

Pegasus nécessite que l’utilisateur active un logiciel malveillant et cela ne concerne pas la grande majorité d’entre-nous. comme il s’agit de tromper, comme faire croire à une MAJ du système d’exploitation, j’admets qu’il est facile de tomber dans le paneau.

Le 09/06/2023 à 06h 15

Il est toujours possible de vous localiser sans la carte SIM par le micrologiciel et les tours cellulaires, sauf si vous utilisez le mode avion en plus, mais un adversaire ou un logiciel malveillant ne peut pas accéder comme par magie à votre microphone ou à votre caméra si vous leurs avez refuser l’accès en premier lieu. Il ne suffit pas de vouloir faire installer une backdoor au niveau matériel pour que les constructeurs s’y collent, il n’y a par exemple aucunes preuves techniques d’une backdoor dans les processeurs Intel et AMD malgré toutes les théories plus ou moins conspirationnistes, et une backdoor matériel n’a pas beaucoup de sens dans un monde où les failles zero-day existent.

Le 01/06/2023 à 12h 39

(reply:2135293:Kazer2.0) Merci de ton retour d’expériences. On trouve certains ISO compressés en rar, et encore, j’en ai cherchés une fois pour tester un truc et je n’en ai pas trouvés.

LostSoul a dit:

En plus en tant que dev, je trouve ça normal de payer pour un logiciel que j’utilise quotidiennement. Je pige pas l’attitude inverse. Merde quoi, si vous utilisez un logiciel, le mec qui le crée a galéré donc aidez-le !

Oui, le problème est que le modèle commercial de WinRAR est foireux, permettre la version d’essai un nombre illimité de fois, c’est se tirer une balle dans le pied, quand je l’utilitisais, il me suffisait de fermer la petite fenêtre contextuelle, la vérité est que WinRAR n’a aucun intérêt en tant que logiciel payant.

Le 01/06/2023 à 06h 08

Cette amélioration dans Windows est attendu depuis longtemps et est bienvenue, mais sérieusement, hormis éventuellement certaines boîtes durant une époque j’imagine, qui a déjà payés pour WinRAR ? J’en parlais à un ami récemment, je ne connais personne autour de moi à l’avoir fait et 7zip / PeaZip le remplace à 100% depuis belles lurettes.

Le 17/05/2023 à 22h 49

(reply:2133518:Vekin) Thanks, je n’avais plus pensé à l’article de Wonderfall sur le moment, il est juste et complet, même si les mots de passe vont lentement se déprécier.

Le 17/05/2023 à 08h 42

Un bon article sur la robustesse des mots de passe : https://palant.info/2023/01/30/password-strength-explained/

Le diceware est la méthode que je choisi quand le service me laisse le choix.

Le 12/05/2023 à 10h 43

(reply:2132825:Tandhruil) Putain d’accord, c’est ce que je pointais dans mon premier commentaire, les pubs au milieu dégradent massivement l’expérience utilisateur.

Le 12/05/2023 à 07h 23

Tandhruil a dit:

mais quand ils ont sorti la version premium et ont placé des pubs au milieu des vidéos (coupées n’importe comment) bloquer les publicités est devenu obligatoire.

What ? J’ai zéro pubs sur les vidéos avec l’abo Premium, de quand ca date ?

Le 12/05/2023 à 06h 13

J’utilise Premium, mais une vidéo qui se coupe X fois avec des publicités dégrade massivement l’expérience utilisateur, une bannière en haut, et une publicité en début ou en fin de temps en temps que l’on peut couper est déjà mieux, ceci dit, cette annonce n’est généralement pas une bonne approche. Les recommendations YouTube sans le suivi de l’historiques sont les pires.

Le 11/05/2023 à 21h 36

(reply:2132739:Xanatos) De rien !

kikoo26 a dit:

Le Pixel ? Ils ont une surcouche spéciale et exclusive à la gamme Pixel.

Essaye donc d’installer AOSP à la place pour voir ce que c’est Android de base sans surcouche.

Bien que cela soit vrai, AOSP est reservé aux développeurs et une version pure ne serait pas nécessairement bon. Android Stock Google est la version officielle de AOSP prévu pour les utilisateurs et il offre généralement une bonne expérience, bien sûr AOSP et les services Google ne sont pas directement liés, il est tout à fait possible de construire un système d’exploitation basé sur AOSP sans les services google.

En comparaison, les surcouches d’autres constructeurs comme Xiaomi, Samsung, OnePlus etc sont plus intrusives et augmentent généralement la surface d’attaque, je considérerais peut-être Samsung comme le moins pire ici.

Le 11/05/2023 à 10h 55

Xanatos a dit:

Vous auriez le papier à ce sujet ?

Article d’origine :

https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker

Réponse de GrapheneOS :

https://discuss.grapheneos.org/d/4687-misleading-article-about-qualcomm-psds-xtra

https://old.reddit.com/r/privacy/comments/12yii9u/german_security_company_nitrokey_proves_that/jhojlr7/

Article de The Register + d’un développeur de Alpine Linux :

https://www.theregister.com/2023/04/27/qualcomm_covert_operating_system_claim/

https://blog.brixit.nl/nitrokey-dissapoints-me/

Le 11/05/2023 à 09h 03

kikoo26 a dit:

Est-ce qu’on compte les opérateurs de télécommunications aussi dans le pistage ?

Entre la géolocalisation permanente et non désactivable via positionnement des antennes, et l’intégralité du trafic internet, ils ont pas mal de données sur nous.

Le fabricant du micrologiciel peut aussi te géocaliser. Il y a récemment eu un article alarmiste sur Qualcomm provenant de Nitrokey, l’équipe de GrapheneOS et d’autres chercheurs en sécurité ont démystifiés le problème, il s’agissait essentiellement d’un coup de pub pour Nitrokey qui vends des Pixel + GrapheneOS a des tarifs élevés alors que tu peux le faire toi mm.

Le 05/05/2023 à 16h 01

Si ca vous intéresse, voici un récent débat sur le forum de GrapheneOS avec des questions et réponses intéressantes.

https://discuss.grapheneos.org/d/4834-what-is-your-opinion-on-the-new-passkey-release-of-google

Rassurez-vous, on est pas les seules à se poser des questions.

Pour l’instant, de loin j’aime vraiment bien l’idée de Passkey , mais c’est un concept très nouveau, bien que Google en rêve depuis 10 ans, mais personne n’était prêt à ce moment là.

Le 05/05/2023 à 08h 46

C’était simple à activer, Google m’a proposé plusieurs méthodes et j’ai choisi mon code PIN Windows Hello, méthode que j’utilises aussi pour ma banque, ca fonctionne.

Le 04/05/2023 à 17h 32

(reply:2131993:RedShader) C’est ce que je pensais, il faut activer le flag “Automatic HTTPS” pour que l’option soit visible dans les paramètres. Je me demande ce que Microsoft “test”, ça fonctionne très bien sur Chrome et Firefox, je ne sais pas ce que Microsoft attends.

Le 04/05/2023 à 16h 10

(reply:2131984:RedShader) Je ne trouve pas, c’est où exactement ?

Le 04/05/2023 à 12h 11

(reply:2131911:Billye) Ok. Brave active donc HTTPS partout par défaut si je comprends. La fonctionnalité est désactivé sur Chrome et Firefox, Edge ne propose même pas l’option, il faut allez dans edge://flags.

Billye a dit:

Il est d’ailleurs cocasse de découvrir des sites institutionnels ou de “grosses” entreprises sans certificats/https. Et il y en a !

Des exemples ?

Le 04/05/2023 à 11h 25

Billye a dit:

Brave le fait déjà les autres je sais pas …

Quoi donc ? L’absence du cadenas ? Brave l’affiche toujours si on parle bien de la même chose, remplacer le cadenas par une icone plus approprié est une proposition en cours sur Chromium que tu peux essayer sur Chrome Canary, les navigateurs n’ont pas encore fait le changement.

Le 04/05/2023 à 11h 06

(quote:2131882:127.0.0.1)
Du coup, est-ce que le bon move ca n’aurait pas été de remplacer l’icone cadenas par une icone “certificat” ou “bouclier”:

• rouge: pas de certificat (http), ou certificat révoqué/expiré.


• jaune: certificat non-EV


• vert: certificat EV

Le but ici est de faire comprendre aux utilisateurs que d’un, en cliquant sur le cadenas, ils ont accès à des paramètres comme le micro, la localisation, les capteurs de mouvements, la gestion des cookies de première partie et troisième partie etc, qu’ils peuvent modifier, et de deux, que le cadenas ne signifie pas que le site est digne de confiance, juste qu’il utilise TLS et un cerificat valide. De nombreux utilisateurs semblent ignorer selon l’étude que le bouton cadenas dans la barre URL est aussi un bouton paramètre, comme 95% des sites sont chiffrés par HTTPS, le cadenas affiché a perdu de sa valeur, et n’est plus adapté.

Les navigateurs devraient proposer par défaut la connexion automatique en HTTPS avec un message d’avertissement, ceci empêche de visiter un site non chiffré sans le vouloir, les sites en HTTPS peuvent contenir des éléments non sécurisés comme les images et sur Chromium, ses avertissements sont affichés, je ne sais plus pour Firefox. Je ne pense pas qu’il soit utile d’afficher un bouclier rouge, jaune et vert, pas besoin d’icônes redondantes si le navigateur se contente simplement d’afficher un message “non sécurisé” pour les liens en HTTP, qui sont de plus en plus rares, que le certificat soit EV ou non-EV ne devrait pas faire de différences pour l’utilisateur, c’est mon avis.

Le 04/05/2023 à 08h 47

vexal a dit:

tout comme un certificat avec vérification d’identité signifie juste qu’on sait qui a demandé le certificat pas que cette personne est une personne de confiance (même si cela améliore fortement la confiance).

Exemple concret avec Trustcor.

Chromium et Firefox ont supprimés le certificat. Possibilité aussi de le désactiver dans les paramètres Android, en attendant sa révocation total.

Le 04/05/2023 à 07h 33

J’ai lu la new sur leurs blog hier soir, je pense que ce n’est pas une mauvaise idée, en effet HTTPS n’indique pas qu’un site est fiable et une icône style “paramètre” serait mieux adapté.

Dans le même temps, les navigateurs devraient tous activer HTTPS pour tous les sites par défaut, il est incomphréhensible que Edge ne propose toujours pas l’option avec une bascule dans ses paramètres.

Le 29/04/2023 à 19h 55

TheKillerOfComputer a dit:

Dans ce cas ce sont des ordinateurs portables… Car monter une tour avec W11, c’est limite hérétique.

Dans une configuration normal, il n’y a aucune différence notable entre W10 et W11 en jeu, chez moi ça tourne très bien (le reste aussi en passant, enfin je n’ai pas tout testé). Le reste dépends entièrement des goûts.

Le 29/04/2023 à 14h 45

misocard a dit:

Mais sinon, oui on se retrouve face au problème de ce genre de plateformes. C’est pour ça que j’achète sur GOG en priorité, c’est juste que parfois on a pas le choix c’est uniquement dispo sur steam (ou équivalents).

Une petite parenthèse sur GOG, mon expérience avec le service client a été désastreux tandis que je n’ai jamais eu de problèmes avec celui de Steam, j’ai demandé de l’aide pour des bugs et 2 fois pour un remboursement et on ne m’a jamais répondu, donc maintenant, je réfléchi bien avant de prendre sur GOG, que c’est un jeu que je suis sûr de garder.

Le 20/03/2023 à 22h 40

Théséevous, le nouveau slogan pour dire non.

Le 07/03/2023 à 12h 38

Ce problème, est-ce parce que WhatsApp peut s’utiliser comme application téléphonique par défaut ?

Le 04/03/2023 à 20h 21

TheKillerOfComputer a dit:

Je ne serai pas étonné que certains des appels téléphoniques que mon propre smartphone bloque viennent parfois d’eux.

C’est le cas, les FAI font aussi du démarchages téléphoniques, généralement tu as une option pour refuser dans les options de ton compte, mais la formulation peut sciemment être tourné bizarrement pour que tu fasses l’inverse de ce que tu veux.

Le 04/03/2023 à 18h 57

SebGF a dit:

Conseil pour quand t’es occupé : si c’est important, ça laissera un message sur répondeur ou ça insistera.

Tu as des numéros indésirables qui insistent même quand tu as décroché et qui te laissent des messages vocaux où il ne se passe rien.

Le 02/03/2023 à 09h 42

(reply:2122222:::1) La liste blanche est effectivement une solution efficace, mais tout dépends grandement des cas d’utilisation cependant, si tu attends l’appel d’un employeur ou d’un client, utiliser la liste blanche devient problématique.

Le 31/01/2023 à 13h 07

(reply:2117800:misocard) Blender est un concurrent très sérieux à la suite Autodesk et un peu Zbrush, il est très performant et de plus en plus utilisé dans le milieu pro.

Gimp n’est pas comparable, Photoshop est largement au dessus et Krita convient très bien pour du digital painting, Photoshop est plus éclectique. Il y a Inkscape comme alternative à Illustrator, très correcte pour l’avoir testé. Je n’ai pas encore vu une alternative viable à After Effects pour le moment.

Le 28/01/2023 à 15h 23

Mihashi a dit:

Si on fait les choses à moitié aussi…

L’importance de faire des sauvegardes, surtout si ça concerne son taf et autres documents importants.

Le 28/01/2023 à 13h 01

(reply:2117213:Idiogène) Je ne suis pas sûr d’avoir pigé

Le 28/01/2023 à 12h 19

(reply:2116643:carbier) Les liens que j’ai posté ne sont pas techniques.

Les gens qui veulent réduire les données collectés à leurs sujet doivent adopter un modèle de menace, pour cela il faut définir la menace et l’erreur courante est de cibler les grandes entreprises technologiques, le premier lien explique pourquoi ça ne fonctionne pas. Une autre erreur courante est de supposer que la télémétrie des fournisseurs de services est invasive, sans expliquer ce que la télémétrie collecte, c’est du sophisme. Sans un modèle de menace, tu prends des mesures sans comprendre pourquoi, pire, tu fini dans la paranoïa sur le long terme.

Les acteurs de le menace ne sont pas statiques, ils s’adaptent au modification que tu apportes, en exemples : bloquer les cookies tiers pour tous les sites encourage l’adoption de la prise de l’empreinte numérique qui n’offre aucun contrôle, essayer d’usurper l’empreinte numérique ne fonctionne pas parce qu’elle est toujours identifiable dans l’API JS, resist.fingerprint dans Firefox ne fonctionne pas non plus, plus tu apportes des changements à des paramètres obscures, plus tu te démarques et plus tu réduis la confidentialité en apportant plus de moyens de te suivre, effacer les données des sites à la fermeture permet par contre de réduire le suivi persistant.

Le théâtre de la sécurité / vie privée encourage les mauvaises choses en donnant un faux sentiment de réussite, au lieu de définir un modèle de menace claire, il y a juste de la fantaisie et la justification que faire quelque chose est mieux que de ne rien faire.

Les recommandations générale doivent être solides, vérifiés par des pairs et donner des sources, les insécurités de Madaidan est un bon exemple, il explique que c’est général et qu’il ne prends pas en compte le modèle de menace de l’utilisateur, malgré cela, ses recommandations sont objectives, vérifiés et méritent d’être utilisé dans un modèle de menace. Les recommandations et conseils par le site posté par NIX contiennent beaucoup d’éléments obsolètes, trompeurs et dangereux, par exemple, il n’est pas utile de changer son mot de passe tous les X mois, un Antivirus n’assure pas la sécurité comme le blocage de quelques trackers n’assure pas de réduire le suivi, énumérer la méchanceté ne fonctionne pas, c’est au mieux un palliatif qui réduit faiblement l’exposition sur l’instant T, l’Antivirus est aussi complètement inefficace sur Android et iOS en raison de la conception de sécurité de base, Android est soumis aux politiques SELinux qui consiste à un contrôle approprié que ce peuvent faire chaque applications avec le principe du moindre privilège, chaque applications est confiné dans son propre processus et n’ont pas accès aux données du système, comme l’Antivirus est considéré comme une application, elle n’a pas les privilèges nécessaires, même si elle les avait, elle ne ferait rien pour améliorer la sécurité.

Un autre lien que j’apprécie, sur les deux types de vie privée en ligne : https://seirdy.one/posts/2022/06/25/two-types-of-privacy/

Voici un exemple sans modélisation de la menace :

Jacques : J’utilise le même mot de passe pour tous les sites parce que c’est facile à mémoriser.

Roger : Utilise un gestionnaire qui mémorisera chaque mot de passe unique à ta place.

Jacques : Ok je vais utilisé un gestionnaire très médiatisé comme LastPass, sauf que mince, leurs serveurs ont subis une fuite massive de données et LastPass n’a pas été honnête avec ses clients.

Roger : Ok alors utilises un gestionnaire open-source et audité comme Bitwarden (leurs base de données peut toujours fuité).

Jacques : Ok, mais mince j’ai oublié mon mot de passe maître parce que je n’ai pas eu le réflexe de le noter et l’enregistrer.

Roger : Ok alors note toi-les sur un calepin.

Jacques : Oui mais ma maison a pris feu et mon calpin a brulé.

Etc etc…. On peut allez loin.

PS : Je n’ai plus le lien, mais un jour je suis tombé sur un article de blogue très intéressant, sur le risque de stocker toutes ses données privées sur son outil numérique, même si elles sont stockés de façon sécurisés, le mec a justement été victime d’un incendie, son smartphone a grillé et comme il n’avait pas de sauvegardes, il a tout perdu, ses mots de passes etc.

Le 26/01/2023 à 12h 12

Ce genre de sensibilisation ne fonctionne pas, outre la mise en forme terrible, l’utilisateur risque d’être rebuté par l’image alarmiste et politique qu’elle renvoie, il est beaucoup plus sain d’avoir une approche pratique de la sécurité / confidentialité, établissez un modèle de menace claire qui fonctionne dans votre quotidien et ne supposez pas que les pratiques des uns seront forcément bonnes pour vous, vous devez faire vos propres recherches, et ce n’est pas en lisant des slogans sérieusement teintés de sophisme et de FUD que vous allez le faire.

Lisez plutôt ses liens :

https://privsec.dev/posts/knowledge/threat-modeling/
https://www.privacyguides.org/basics/threat-modeling/
https://opsec101.org/

Le 26/01/2023 à 07h 02

Site non sécurisé, ok, je l’ouvre dans Application Guard et là il m’autorise HTTPS, la première chose que je vois, la mise en forme ne me donne pas envie de parcourir l’entièrement du site, c’est mal foutu et mal lisible, ensuite, je vois un deuxième problème que je vois souvent ailleurs : Aucune modélisation des menaces, à l’inverse, je vois de l’émotionnel, de la fantaisie et la justification que faire quelque chose est forcément bien, apporter des conseils pour de meilleurs pratiques est une bonne chose, encore que ses conseils peuvent devenir obsolètes, mais mon avis est que ce genre de site web surfe essentiellement sur l’image de marque et le marketing, bien sûr, les gens qui ne savent pas ce que c’est une modélisation des menaces seront facilement dupés.

Le 26/01/2023 à 06h 53

(quote:2116433:dvr-x)
C’est clairement un des problèmes je trouve en effet. A voir avec le temps si ca s’améliore.. C’est quand même assez récente encore.

Ca va s’améliorer je pense, et en effet c’est encore récent.

(quote:2116521:dvr-x)
Sous linux c’est aussi un joyeux bordel entre les deb, les flatpak, snap, appimage, etc… tout n’est pas rose non plus.

Je suis d’accord c’est un joyeux bordel sans parler que tous les paquets n’ont pas le même mode de désinstallation.

Le 25/01/2023 à 08h 18

J’aime bien ce Winget à la sauce Linux, c’est pratique et les paquets sont vérifiés, le seule problème, c’est qu’il peut y avoir des retards dans les MAJ

Le 22/01/2023 à 14h 58

Petite parenthèse parce que je vois s’en plaindre, les caractères spéciaux ne sont pas nécessaires pour créer des mots de passes robustes, vous pouvez opter pour une phrase de passe avec la méthode Diceware, c’est bien aussi dans les situations où vous devez le mémoriser et le taper au clavier.

Le 21/01/2023 à 16h 56

Ozwel a dit:

Yes c’est un PIN. Après je n’ai jamais regardé l’implémentation exacte. En tout cas les mécanismes anti-bruteforce sont là et ce code n’est pas utilisé pour l’authentification dans le backend, il sert juste à débloquer le secret stocké “quelque part”.

Ok !

Pour la différence chiffré/crypté : je suis moins sûr de mon coup après lecture de ce site que je tenais pour référence : https://chiffrer.info/ Pour moi des données cryptées signifie qu’elles ont été chiffrées mais que la clé n’existe plus. C’est “crypté” = on peut s’amuser à décrypter si on veut (déchiffrer quand on n’a pas la clé) mais si c’était chiffré avec une clé en béton armé, il est probable que ce soit game over.

C’est la première fois que je lis cette théorie mais ce n’est pas inintéressant, cela dit, je me dis qu’employer “crypter” pour ce cas de figure n’amène qu’essentiellement du doute, ton lien est intéressant au passage, fourni des explications et révèle plus ou moins d’où vient ce mot “crypter”, de mon côté, j’ai rapidement comparé “crypter” à une traduction déformé de “Encrypt”, un genre de franglais si tu veux, qui a ensuite été popularisé par les médias.

On dit qu’une chaîne de TV est “crypté” dans le cas où elle est payante et où tu ne paies pas, ce qui a probablement dû conforter dans l’idée que “crypter” est un terme valide en sécurité informatique puisque dans la tête des gens, “crypter” revient à “brouiller” donc “cacher” donc ce qui semble “sécuriser puisque inaccessible”, c’est ainsi que je le vois.

Le 21/01/2023 à 14h 10

Ozwel a dit:

Je ne vois pas bien quel est le problème avec le code PIN que tout le monde ici semble conspuer.

On peut citer Windows Hello comme code PIN, je m’en sers pour valider ma connexion au compte MS et même au démarrage du Windows.

Sur un iPhone par exemple, c’est 10 essais avec des délais d’attente entre chaque essais qui augmentent. Au 10ème essai raté on supprime la clé et ainsi toutes les données de l’iPhone sont cryptées à jamais (oui oui “cryptées” et pas chiffrées), on n’a plus qu’à relancer une nouvelle session vide avec une nouvelle clé.

Merci pour cette info ! Je ne sais plus comment c’est sur Android, avec le Titan M pour mon cas mais je crois que c’est similaire, en tout cas la puce est censé rendre une attaque par brute force extrêmement difficile et empêcher pleins d’autres trucs, par ex, la puce détruit les données si un changement anormal est détecté comme un changement brutal de la température, réduisant de beaucoup la plupart des attaques par canal latéral, avoir accès aux clés de signature de Google pour le micrologiciel du Titan M n’est pas suffisant pour éxecuter son propre micrologiciel malveillant etc, je suis quasi sûr que l’alternative d’Apple fait pareille.

PS : Quelle est la différence dans ce contexte entre chiffré et crypté ?

Pour les banques je n’ai jamais essayé de m’amuser mais il me semble qu’on a 3 essais avant que des mécanismes bien relous se mettent en branle (courrier papier qui met 10 ans à arriver chez la banque postale). 3 essais sur 1 millions de possibilités (voire 100 millions chez les banques qui demandent 8 chiffres) c’est proche de l’impossible. L’OSINT est certainement plus efficace sur un mot de passe que sur un PIN donc ce n’est pas un argument recevable à moins de pouvoir tenter des dizaines de PIN avant d’être freiné ou bloqué.

Oui le digicode des banques est un code PIN, c’est bien ca ?

Le 21/01/2023 à 11h 56

(reply:2115876:BlueSquirrel) Merci pour ta correction et pour tes commentaires instructifs

SebGF a dit:

c’est l’envoi d’un lien pour le réinitialiser sur le portail du site avec une durée limitée pour faire l’action.

Par ce moyen, le password n’est en principe pas divulgué.

D’accord ! Je n’ai pas d’exemples en tête que j’ai moi-même vécu mais je comprends le boulon.

Le 21/01/2023 à 10h 25

SebGF a dit:

Pas obligatoire en clair, ça peut être une donnée qu’ils déchiffrent pour la renvoyer.

Même si en soit ça n’est pas une bonne pratique non plus.

L’autre problème est qu’actuellement, il n’existe aucune solution simple et universelle pour envoyer un mot de passe provisoire autre que par mail que l’utilisateur ne changera pas forcément et c’est pire par SMS. Les fournisseurs de services concernés devraient cesser cette pratique et demander dès le départ à ce que l’utilisateur créer lui-même son mot de passe pour recevoir un mail de confirmation, ce n’est toujours pas le top et ça ne signifie pas que le mot de passe haché est stocké de façon sécurisé (en partant du principe qu’il est bien haché), mais c’est mieux.

Le 20/01/2023 à 19h 27

TexMex a dit:

J’ai utilisé Keypass un moment. Et sa seigneurie a décrété que c’était naze. Mais bien bien naze.

Qui a décrété que KeePass est mauvais ? Y’a t-il de sérieux problèmes ? Je n’ai pas utilisé KeePass depuis un bon moment et je ne suis pas renseigné sur le sujet.

Je l’ai même acheté en lifetime (c’est dire pour un Tex).

Je ne comprends pas le principe de l’abonnement lifetime, pour moi, au mieux c’est du pipo, au pire c’est s’enfermer dans un abo avec difficulté de partir.