En effet, quand je me connecte sur mon compte Google (ou même Microsoft) pour la première fois sur une machine qui n’est pas habituelle, ça m’envois un SMS avec un code que je dois rentrer, sinon je ne peux tout simplement pas me connecter à mon compte.
Et c’est même pire sur Mac. Sur mon Mac Mini, je suis connecté à mon compte iCloud. Mais des fois (et c’est assez souvent), lorsque je veux me rendre dans mes emails, il faut que je rentre un code. Et ce code, il m’est envoyé sur mon Mac ou sur mon iPhone.
Je dois donc cliquer sur "Autoriser" sur mon Mac/iPhone, et je dois ensuite entrer le code qui m’est donné.
C’est très chiant, mais au moins, c’est un peu plus sécurisé.
C’est la base des bonnes pratiques. Après, le protocole SMS fait que tout est en clair, donc c’est pas idéal. Intercepter un SMS coûte cher, mais si tu as de bonne raison de croire qu’un agent étatique voudrait intercepter ton 2FA par SMS, ne le fait pas par SMS. Le top c’est une clé du genre Yubikey. En plus ça coûte pas cher.
En gros, si t’as pas envie de prendre de risque avec tes services cloud, dans l’ordre d’urgence de choses à faire :
Utiliser un password manager
Activer le 2FA partout, SMS si vous avez pas de clé physique
Pour le reste (notamment opsec), chiffrez vos données. Tous vos disques, backup, clés USB, téléphones, tablettes. N’utilisez pas telegram pour vos communications, préférez Signal ou WhatsApp. Pas de clé SSH sans passphrase. N’allez pas pisser sans locker votre ordinateur. Sachez locker votre ordinateur au clavier sans réfléchir. Si vous utilisez une authentification biométrique sur un appareil, éteignez l’appareil dès que risquez d’interagir avec les autorités, par exemple dans un aéroport.
Enfin là, je sais pas si c’est vraiment utile d’aller jusqu’ici.
Ok, sur nos PC, on à certains fichiers confidentiel (factures, banque, travail, …), mais est-ce vraiment utile tout ça ?
Et puis la question que je me pose : C’est pas trop casse pied de devoir tout chiffrer et déchiffrer, entrer un code, vérification par l’iris, empreintes digitales a chaque fois que l’on veut accéder à quelque chose ?
(bon, pour le contrôle de l’iris et l’empreinte digitale, j’exagère un peu, mais c’est l’effet que ça me fait de parler de toutes ces sécurité )
Ok, sur nos PC, on à certains fichiers confidentiel (factures, banque, travail, …), mais est-ce vraiment utile tout ça ?
Certains documents, comme les fiches d’imposition ou les fiches de salaires, doivent idéalement être gardés à vie afin de faire valoir tes droits correctement. Les papiers originaux c’est bien mais ça se perd, ça peut être brûlés ou abîmés par une inondation.
Puis la fonction de recherche numérique c’est bien.
Bref, les numériser n’est pas une mauvaise idée.
Et puis la question que je me pose : C’est pas trop casse pied de devoir tout chiffrer et déchiffrer, entrer un code, vérification par l’iris, empreintes digitales a chaque fois que l’on veut accéder à quelque chose ?
À priori tu n’accèdes pas à tes documents très confidentiels en permanence. Suffisament peu souvent pour que cela soit acceptable.
Pose la question à Podesta, le directeur de campagne d’HRC. Ou à Jennifer Lawrence. Entre autres. Je pense qu’ils ont quelques regrets d’avoir gardé des choses sur des services cloud (respectivement GMail et iCloud) sans avoir activé la 2FA.
Mon password manager est également sur mon téléphone. D’ailleurs je ne peux pas me logger sur mon password manager sur mon laptop sans confirmer la requête depuis mon téléphone. (Si quelqu’un entre le login et la passphrase de mon password manager dans un navigateur ou quelque part d’autre, une notification se déroule sur mon téléphone avec un bouton "Approuver", je délock mon téléphone et j’appuie sur le bouton pour confirmer que c’est moi.)
Si je devais vraiment perdre accès, j’avertirai un de mes contact d’urgence. Je dirai à cette personne d’aller sur mon password manager et d’entrer son email, en demandant accès à mes mots de passe. Après quelques jours, si je n’ai pas récupéré entre temps mon mot de passe "maitre" et annulé cette demande d’accès, la personne en question pourra accéder à tous les mots de passe contenu dans mon ’coffre’.
Si je veux me connecter à un site web, disons ZdS, depuis mon téléphone, je clique sur le champ ’password’, mon password manager le détecte et me demande mon password maitre, je l’entre, je clique sur le login que je veux utiliser pour ce site (il est assez malin pour me proposer ceux que j’utilise à cette URL), et il auto-remplit les champs. Je valide et hop je suis là.
J’ai actuellement > 650 mots de passe dans mon coffre. J’en utilise pas 2 mêmes. Ça parait parano, mais ça demande un tout petit peu de discipline, un tout petit peu d’habitude et presque 0 effort.
Pour ma part j’utilise Keepass, disponible en français et Open source (mais il est en local sur l’ordi et non en ligne. Un avantage pour certain, un inconvénient pour d’autre)
C’est pour cette raison que le local est mieux a mon avis, car tu as moins de risque de te faire attaquer toi en particulier.
Ensuite, si tu met un bon et long mot de passe, ce sera très compliquée pour le pirate d’accéder à ta base (par exemple Keepass crypte en AES qui n’est pas crakable, ou du moins ça prend trop de temps). Alors sa seule solution sera une attaque par force brute, et donc avec un long mot de passe, il lui faudra plusieurs années avant d’accéder à ta base.
Si par exemple je suis en voyage et je me fais voler mon téléphone. Je vais avoir besoin de communiquer par mail pour me débrouiller sans. Comment je fais pour ouvrir ma boîte mail ?
De manière plus générale, comment fonctionne le pw manager sur ton tél, il y a un service web derrière ? Si oui il a accès à tous tes mots de passe ?
Et concrètement, je n’ai pas compris comment ça se passe pour se connecter sur ZdS depuis un autre ordi : l’appli sur le tél me donne mon mot de passe pour chaque site et je tape le mot de passe à la main ?
Concernant les pw managers en local, comment vous faites à chaque fois que vous utilisez un autre ordi ?
Non. Ce qui facilite le travail des pirates, c’est que tu utilises le même mot de passe à plusieurs endroits, ou une feinte bateau du genre ’3 premières lettres du nom du site, bout de password commun partout, année actuelle’. Ou que tu n’utilises pas de 2FA là où tu peux, typiquement tes emails (oui, reset password t’envoie un email…).
Ce qui rend le travail des pirates difficiles, c’est que tu utilises jamais de password 2x, que chaque password fasse 32 caractères mélangeant un peu tout le clavier, qu’il ne puisse pas savoir quel password manager tu utilises ni même si tu en utilises un, etc.
Si par exemple je suis en voyage et je me fais voler mon téléphone. Je vais avoir besoin de communiquer par mail pour me débrouiller sans. Comment je fais pour ouvrir ma boîte mail ?
Tu ne peux pas. Tu peux avoir imprimé des codes de secours que tu as ailleurs, ou avoir ton laptop avec toi avec une session de tes emails. Tu peux connaitre 2 mots de passe : celui du password manager et celui d’une boite mail secrète que tu n’utilises que comme backup pour ce cas précis.
En vrai si tu te fais voler ton téléphone en voyage tu vas voir la police, hein. La première chose que tu fais c’est pas trouver un cyber café pour envoyer un email.
Aussi, c’est un compromis. Si j’ai le choix entre perdre temporairement accès à mes emails, ou ne jamais perdre accès à mes emails en étant d’accord que d’autres gens y accèdent, j’ai fait mon choix.
De manière plus générale, comment fonctionne le pw manager sur ton tél, il y a un service web derrière ? Si oui il a accès à tous tes mots de passe ?
Oui il y a un service web derrière. C’est end-to-end, comme mes emails par exemple. Quand tu te connectes à ton password manager, il t’envoie tes mots de passe chiffrés, puis localement tu les déchiffres. Tu en ajoutes un, il se chiffre, il est envoyé au serveur. Compromettre un disque dur du serveur ne permet pas de compromettre les mots de passe. Il faudrait également modifier les appliques, avoir la passphrase signant les applications, avoir le password google ou apple pour publier la mise à jour de l’application, etc. La surveillance à large échelle existe, mais faut pas déconner.
Et concrètement, je n’ai pas compris comment ça se passe pour se connecter sur ZdS depuis un autre ordi : l’appli sur le tél me donne mon mot de passe pour chaque site et je tape le mot de passe à la main ?
Je ne me souviens pas de la dernière fois que j’ai utilisé l’ordinateur de quelqu’un. Je ne prêterais d’ailleurs pas mon ordinateur ou mon téléphone.
Si par exemple je suis en voyage et je me fais voler mon téléphone. Je vais avoir besoin de communiquer par mail pour me débrouiller sans. Comment je fais pour ouvrir ma boîte mail ?
Plus sérieusement, généralement, les services qui proposent une authentification en deux étapes proposent aussi de télécharger des codes à imprimer.
Par exemple, si je souhaite me connecter à mon compte Google et que je n’ai pas mon téléphone (perdu, cassé, volé), et bien j’utilise un des codes que j’ai imprimé.
Ca remplace le téléphone.
J’ai aussi vu (mais je sais plus où) qu’il existais des sortes de clef USB qui nous permettent de nous identifier comme on le ferais avec le téléphone. Il faut que je me renseigne un peu plus dessus.
J’ai aussi vu (mais je sais plus où) qu’il existais des sortes de clef USB qui nous permettent de nous identifier comme on le ferais avec le téléphone. Il faut que je me renseigne un peu plus dessus.
Connectez-vous pour pouvoir poster un message.
Connexion
Pas encore membre ?
Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte
Sur mon Mac Mini, je suis connecté à mon compte iCloud. Mais des fois (et c’est assez souvent), lorsque je veux me rendre dans mes emails, il faut que je rentre un code. Et ce code, il m’est envoyé sur mon Mac ou sur mon iPhone.
