Le Cloud, plus sécurisé que le local ?

a marqué ce sujet comme résolu.

Cette réponse a aidé l’auteur du sujet

Non. Tu branches la clé, tu vas sur example.com, tu dis à ton password manager de remplir le login et le password. Le site example.com te demande de prouver par deux facteurs que c’est bien toi et pas quelqu’un à l’autre bout du monde ou caché dans ton placard. Tu touches la clé usb du bout du doigt et paf, c’est bon.

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+0 -0
Auteur du sujet

C’est fou ce que l’on arrive à faire de nos jours. :p

Du coup, vous m’avez convertis à la super-sécurité-informatique. :D

  • J’utilise un mot de passe différent sur chaque sites
  • Je stock mes données (pas encore super confidentielles) dans le Cloud.
  • Mes données dans le Cloud sont crypter.
  • J’utilise une authentification à deux étapes pour mes comptes là où c’est possible.
  • Mon téléphone à un mot de passe autre que 0000 et qui n’a rien avoir avec ma date de naissance ou autre.
  • Petit moins : On peut le déverrouiller grâce à Touch ID. Mais ça je le laisse, ça fait tellement classe devant mes potes ! :D

Autre chose que je dois faire ? :p

Découvrez mon dernier jeux Android : Calypso 2 - Ma dernière création lors du Ludum Dare 46 -> The Last Flame

+0 -0

Ce qui est bien avec les SMS c’est qu’il y a plein de fonctionnalités

Pour les plus courageux : le papier présenté au ccc berlin

Bref apparement c’est pas bien compliqué d’intercepter des SMS suffit d’avoir un accès au SS7 (travailler chez un opérateur ou être une entreprise VOIP) et de suivre le guide.

conseil: le thé est meilleur avec un zeste de citron

+0 -0

Le site example.com te demande de prouver par deux facteurs que c’est bien toi

Euh, ce serait pas le pwm qui te demande ça pour le coup ? Example.com n’accepte pas forcément la double authentification…

"Il faut commencer par du rêve. Et les choses deviennent réelles à un moment ou un autre." - Kenny Todd, directeur des opérations pour l’ISS.

+0 -0
  • Petit moins : On peut le déverrouiller grâce à Touch ID. Mais ça je le laisse, ça fait tellement classe devant mes potes ! :D

Pas un énorme drame, ça. Les empreintes touchid sont stockées dans la ’secure enclave’ et ne quittent pas l’appareil. Si tu te retrouves dans une situation à risque éteint l’appareil, problem solved.

Autre chose que je dois faire ? :p

FougereBle

Si tu veux voir comment les gens qui prennent l’infosec/opsec au sérieux, tu peux par exemple lire ça : https://medium.com/berkman-klein-center/personal-international-infosec-c3ddb60a5de9

Roipoussière:
Sur mon laptop mon password manager est déverrouillé. Je donnais un exemple où le site propose cette option.

Édité par cepus

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+1 -0

Mon téléphone à un mot de passe autre que 0000 et qui n’a rien avoir avec ma date de naissance ou autre.

D’un point de vue coût-avantages introduire un code me semble très largement perdant pour la majorité des gens. Je m’explique. Tu as deux cas possibles de perte de ton téléphone :

  • Le vol : Ton téléphone est un modèle plus ou moins coûteux et tu te le fait volé d’une façon x ou y. le motif du voleur (surtout si c’est un voleur organisé type pickpocket) est de re-initialiser ton téléphone pour le revendre rapidement, pas d’essayer de le cracker pour voler quelques euros sur paypal. Donc ta protection est donc sans intêret contre cette menace. Dans le cas où ce voleur serait moins professionnel et tenterait avec succès d’accéder au contenu de ton téléphone, les banques et autre paypals couvrent sans soucis les dépenses qu’il fera via les assurances intégrées, donc tu ne sera pas vraiment embêté. Tu aura juste quelques mails à faire, voir dans certains cas les transactions sont bloquées directement si elles viennent d’une ip chelou.

  • La perte ou l’oublie du téléphone : Ce qui arrive bien plus souvent que de se le faire voler : il tombe d’une poche au cinéma, on l’oublie sur un table à la bibliothèque ou en soirée etc. Dans ce cas soit ton téléphone est trouvé par un voleur ce qui nous ramène au cas précédent, soit il est trouvé par une âme charitable qui cherchera à te le rendre. Et dans ce cas là, si il est verrouillé cela sera impossible. Alors qu’un tél non bloqué pourra être utilisé pour contacter des amis du propriétaire afin de le rendre.

Résultat : verrouiller son téléphone n’apporte quasiment aucun avantage en cas de vol, et au contraire empêche de se le voir restitué en cas de perte, ce qui est bien plus probable qu’un vol (bien qu’on craigne plus un vol qu’un oubli alors que ça devrait être l’inverse). Et bien entendu devoir entrer un code à chaque fois est une perte de temps considérable à prendre en compte sur la durée de vie d’un téléphone. A moins d’un autre motif légitime (éviter que sa petite soeur ne vole notre téléphone ou par ce qu’on a plein de photos compromettantes) j’ai du mal à justifier rationnellement le fait de verrouiller son téléphone.

Ce qu’on veut protéger ce n’est pas l’accès au téléphone et a ses fonctions en temps que tel, mais les données qu’il contient et leur utilisation. Cela doit pouvoir se faire sans verrouillage du téléphone, ce qui permet de gagner du temps et de voir une chance de se le faire restituer en cas de perte, sans compromettre sa sécurité en cas de vol.


Même en cas de données compromettantes à cacher, je pense qu’on peut facilement se débrouiller pour les rendre non accessible sans mot de passe, sans verrouiller pour autant l’ensemble du téléphone.

Édité par Demandred

“Your manuscript is both good and original. But the part that is good is not original, and the part that is original is not good.” Samuel Johnson

+0 -7

Si ça peut en intéresser certains, jetez un oeil ici : https://privacytoolsio.github.io/privacytools.io/#pw (pas mal de solutions abordées).

Personnellement, j’ai bitwarden + Linshare pour le partage de fichiers importants (sinon, j’utilise un compte Mediafire pour ce qui ne nécessite pas de sécurité), au besoin + VeraCrypt. Récemment, me suis mis à tester ceci : https://ssl.masterpasswordapp.com/

Mais bon après, je fais très peu d’achats en ligne (uniquement par virement…vieilles habitudes), pas d’activité à risque en général et voilà, je maintiens juste une sécurité minimale, assez optimale sans trop filer à la parano (Taurre *tousse* *tousse*). Les infos les plus importantes sont dans mon cerveau et ça, c’est pas accessible. :P

Édité par Arius

Assez occupé IRL — MP au besoin. Je ne mords pas (toujours)

+0 -0

Ce qu’on veut protéger ce n’est pas l’accès au téléphone et a ses fonctions en temps que tel, mais les données qu’il contient et leur utilisation. Cela doit pouvoir se faire sans verrouillage du téléphone, ce qui permet de gagner du temps et de voir une chance de se le faire restituer en cas de perte, sans compromettre sa sécurité en cas de vol.

Demandred

A quoi tu penses, là. Tu peux faire une petite liste ? Par exemple :

  • Les photos ?
  • Les SMS ?
  • Les données des applications genre WhatsApp, Gmail ?
  • Les accès aux comptes des applications genre Twitter, Facebook ?
  • Les accès aux sites auxquels tu es connecté par ton navigateur mobile ?

C’est à ça que tu penses par exemple quand tu parles des "données qu’il contient et leur utilisation" ?

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+1 -0

Cela doit pouvoir se faire sans verrouillage du téléphone, ce qui permet de gagner du temps et de voir une chance de se le faire restituer en cas de perte, sans compromettre sa sécurité en cas de vol.

Sur Android tu peux mettre un message personnalisé sur l’écran de déverrouillage. Moi j’ai mis mon adresse mail.

"Il faut commencer par du rêve. Et les choses deviennent réelles à un moment ou un autre." - Kenny Todd, directeur des opérations pour l’ISS.

+1 -0

C’est à ça que tu penses par exemple quand tu parles des "données qu’il contient et leur utilisation" ?

Oui, mais j’avoue que je pensais principalement premiers (photos/sms, documents) et accès aux applications. Je vois mal un voleur de téléphone s’amuser à eplucher tes sms ou publier je ne sais quoi sur ton compte fb.

Sur Android tu peux mettre un message personnalisé sur l’écran de déverrouillage. Moi j’ai mis mon adresse mail.

D’accord, je ne savais pas, c’est plutôt pas bête comme fonctionnalité ! Je n’ai un android que depuis 2 semaines (j’étais sous windowsPhone avant) du coup je ne connais pas encore trop les fonctionnalités de ce genre.

“Your manuscript is both good and original. But the part that is good is not original, and the part that is original is not good.” Samuel Johnson

+0 -0

C’est à ça que tu penses par exemple quand tu parles des "données qu’il contient et leur utilisation" ?

Oui, mais j’avoue que je pensais principalement premiers (photos/sms, documents) et accès aux applications. Je vois mal un voleur de téléphone s’amuser à eplucher tes sms ou publier je ne sais quoi sur ton compte fb.

Demandred

D’accord. Donc tu vas prétendre que tu n’as aucune photo et aucun sms ou document sur ton téléphone, et que tu te déconnectes de toutes tes applications immédiatement après les avoir utilisées, et que ça te fait gagner du temps de faire ça systématiquement, comparé à avoir un code pour déverrouiller ton téléphone ?

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+4 -0

D’accord. Donc tu vas prétendre que tu n’as aucune photo et aucun sms ou document sur ton téléphone, et que tu te déconnectes de toutes tes applications immédiatement après les avoir utilisées

Non, mais je n’ai rien de particulièrement intéressant qui justifie à mes yeux ce genre de contraintes. Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^

“Your manuscript is both good and original. But the part that is good is not original, and the part that is original is not good.” Samuel Johnson

+0 -4

D’accord. Donc tu vas prétendre que tu n’as aucune photo et aucun sms ou document sur ton téléphone, et que tu te déconnectes de toutes tes applications immédiatement après les avoir utilisées

Non, mais je n’ai rien de particulièrement intéressant qui justifie à mes yeux ce genre de contraintes. Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^

Demandred

Ce qui justifie à tes yeux d’étaler des bêtises aussi dangereuses que navrantes. Classe.

Bref, si vous lisez ce topic n’écoutez pas les guignols qui prétendent qu’il ne vaut pas la peine de protéger vos données, votre vie privée, vos contacts, votre compte facebook, vos photos, vos emails en mettant un code pour verrouiller votre téléphone.

C’est votre sécurité et celle de vos contacts qui est en jeu. C’est pas hyper marrant, et il y aura toujours des guignolos pour prétendre le contraire. C’est comme les vaccins : il y a les gens qui comprennent l’enjeu, et les guignolos qui s’y opposent.

Vous aimez le frontend ? Il y a un tas de petites tâches faciles si vous voulez contribuer à ZdS : https://github.com/zestedesavoir/zds-site/issues?q=is%3Aissue+is%3Aopen+label%3AC-Front

+8 -1

Je ne pense pas que tu ai bien compris ce que j’ai dis vu ta réaction. Je n’ai jamais parlé de ne rien protéger, juste de :

  • Identifier précisément les différents types de risques et arrêter de tout mélanger et se faire peur en jouant au social rebel qui crypte ses données sans trop savoir pourquoi.
  • Avoir une approche coût-bénéfice des différentes mesures de façon un minimum intelligente.

Mais comme souvent sur ce genre de sujet ça part en troll rapidement…

“Your manuscript is both good and original. But the part that is good is not original, and the part that is original is not good.” Samuel Johnson

+0 -4

Je conseille à ce sujet la lecture des numéros 23, 29 et 32 de Canard PC Hardware (surtout le 23 en ce qui concerne ce sujet) (5,90 € ou à votre bibliothèque préférée si elle est bien achalandée).

Les journalistes y montrent comment on peut récupérer des données personnelles et surtout ce qu’on peut en faire concrètement. Ça va du piratage de comptes (mail, bancaire) à la planification de cambriolage en passant par le chantage ou l’usurpation d’identité. Et là où ça devient drôle, c’est que des documents à priori inoffensifs (photos de vacances, par exemple) peuvent aider dans certains de ces cas.

Ce n’est pas parce qu’un document semble inutilisable qu’il est inutilisable, sauf à connaître tous les usages détournés possibles et imaginable – ce qui est évidemment impossible. Par exemple, pas mal de monde a un scan d’une pièce d’identité ou un justificatif de domicile quelconque sur son téléphone (par exemple parce qu’il a fallu le montrer pour avoir un meilleur tarif à la piscine). Ça peut aussi servir à faire de l’usurpation d’identité.

Édité par SpaceFox

Non, mais je n’ai rien de particulièrement intéressant qui justifie à mes yeux ce genre de contraintes. Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^

Demandred

Les autres personnes présentes sur ces photos sont-elles d’accord avec cet état de fait ?

Avoir une approche coût-bénéfice des différentes mesures de façon un minimum intelligente.

Un téléphone se déverrouille en 1/2 seconde, je vois mal où tu peux faire mieux niveau coût/bénéfice.

Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^

Le voleur en question a peut-être eu l’intention de voler précisément ton téléphone à toi et tes données et relations professionnelles et personnelles sont en jeu.

Mais comme souvent sur ce genre de sujet ça part en troll rapidement…

Oui, c’est dingue, on se demande bien pourquoi.

"Il faut commencer par du rêve. Et les choses deviennent réelles à un moment ou un autre." - Kenny Todd, directeur des opérations pour l’ISS.

+4 -0

Les journalistes y montrent comment on peut récupérer des données personnelles et surtout ce qu’on peut en faire concrètement. Ça va du piratage de comptes (mail, bancaire) à la planification de cambriolage en passant par le chantage ou l’usurpation d’identité. Et là où ça devient drôle, c’est que des documents à priori inoffensifs (photos de vacances, par exemple) peuvent aider dans certains de ces cas.

La question pour moi n’est pas sur ce qu’il est possible de faire mais sur la probabilité que ça arrive et l’arbitrage coût-avantage. Je pourrais te dire qu’une personne avec un minimum de ruse et entrainerait pourrait agresser une personne lambda et lui voler son portefeuille/téléphone/ordinateur portable; et prôner l’apprentissage du krav maga pour tous. Ce risque me semble d’ailleurs bien plus important (selon où tu habites, tes trajets etc) que ceux qui tu évoques. Pourtant peu de gens vont apprendre les sport de combat/moyen de défense.

Je ne veux clairement pas nier les risques qui existent, mais simplement aller un peu plus loin que les arguments classiques qu’on entend à tout bout de champ et qui mélangent un peu tous les arguments ensemble. J’identifie 4 grands types de risques :

  • Risque qu’une autorité officielle de surveillance accède à vos (meta ?) données
  • Utilisation des données pour de la pub et revente (google, fb)
  • Vol des données par un tiers mal intentionné, qui peut se faire via un accès physique (vol du terminal ou cambriolage) ou un accès distant (sans accés physique au terminal)
  • Risque de mauvais contrôle de ses données (photos de soirée mal publiée, petite soeur qui tombe sur tes sms coquins, ce genre de trucs)

Chaque risque à un niveau d’occurrence plus ou moins important et des conséquences plus ou moins importantes selon les individus, et ils peuvent parfois se recouper. Chaque risque peu s’éviter de différentes façon, avec un coût différent et plus ou moins important selon les individus. Les coûts et avantages peuvent être moraux/subjectifs, financiers, gain de temps, praticité/opérationnalité etc. chaque personne va les évaluer de façon différente.

Enfin on peut ajouter un second niveau qui est le risque agrégé et qui est bien plus difficile à définir à la fois en terme d’enjeu et de probabilités. Par exemple le contrôle d’un segment de marché par un monopoleur : si demain amazon tombe en panne, une partie de l’internet en sera affecté, indépendant la politique de vie privé et du niveau de sécurité associé, c’est un coût systémique.

Mon propos et de dire que je vois mal comment parler de façon un minimum intéressante de sécurité et de protection des données sans poser un cadre de ce genre en préalable. Histoire de connaitre les enjeux et de savoir de quoi l’on parle. Et d’éviter le débat trollesque entre "je n’ai rien à cacher" et "je suis sous Linux+pwm+tor+cryptage des disques+autre par ce j’ai vu un documentaire sur Aazon Swartz".

La question est aussi une question d’éducation et pas uniquement technique. Typiquement, quel genre de contenu je veux stocker sous forme numérique et quel risque associé. Du genre laisser son profil fb en visible et y mettre ses photos de vacances, ce qui est un indice pour les cambrioleurs. Ou le fait de laisser son téléphone/pc sans surveillance. Généralement les mesures "humaines" de ce type sont bien plus importante et primordiales que les mesures techniques (selon le type de risque qu’on veut éviter).

“Your manuscript is both good and original. But the part that is good is not original, and the part that is original is not good.” Samuel Johnson

+0 -3

Remarque générale : quand on tire un raisonnement et qu’on en déduit des conclusions avec lesquelles presque personne n’est d’accord, trois possibilités :

  1. Le raisonnement est faux.
  2. Le raisonnement et les conclusions sont bonnes, c’est les autres qui ont tord parce qu’ils n’ont jamais réfléchi par eux-mêmes.
  3. Le raisonnement est bon, mais les prémisses sont fausses (et donc il mène à des conclusions fausses).

Le danger, vu fréquemment, est de se croire dans le cas 2 alors qu’on est dans le cas 3.

Édité par SpaceFox

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte