Ca fonctionne comment exactement ? Une fois le mot de passe demandé, on branche la clef et hop, on est connecté ?
Non. Tu branches la clé, tu vas sur example.com, tu dis à ton password manager de remplir le login et le password. Le site example.com te demande de prouver par deux facteurs que c’est bien toi et pas quelqu’un à l’autre bout du monde ou caché dans ton placard. Tu touches la clé usb du bout du doigt et paf, c’est bon.
C’est fou ce que l’on arrive à faire de nos jours. 
Du coup, vous m’avez convertis à la super-sécurité-informatique. 
Autre chose que je dois faire ?
Ce qui est bien avec les SMS c’est qu’il y a plein de fonctionnalités
Pour les plus courageux : le papier présenté au ccc berlin
Bref apparement c’est pas bien compliqué d’intercepter des SMS suffit d’avoir un accès au SS7 (travailler chez un opérateur ou être une entreprise VOIP) et de suivre le guide.
Le site example.com te demande de prouver par deux facteurs que c’est bien toi
Euh, ce serait pas le pwm qui te demande ça pour le coup ? Example.com n’accepte pas forcément la double authentification…
- Petit moins : On peut le déverrouiller grâce à Touch ID. Mais ça je le laisse, ça fait tellement classe devant mes potes !
Pas un énorme drame, ça. Les empreintes touchid sont stockées dans la ’secure enclave’ et ne quittent pas l’appareil. Si tu te retrouves dans une situation à risque éteint l’appareil, problem solved.
Autre chose que je dois faire ?
Si tu veux voir comment les gens qui prennent l’infosec/opsec au sérieux, tu peux par exemple lire ça : https://medium.com/berkman-klein-center/personal-international-infosec-c3ddb60a5de9
Roipoussière:
Sur mon laptop mon password manager est déverrouillé. Je donnais un exemple où le site propose cette option.
Mon téléphone à un mot de passe autre que 0000 et qui n’a rien avoir avec ma date de naissance ou autre.
D’un point de vue coût-avantages introduire un code me semble très largement perdant pour la majorité des gens. Je m’explique. Tu as deux cas possibles de perte de ton téléphone :
Le vol : Ton téléphone est un modèle plus ou moins coûteux et tu te le fait volé d’une façon x ou y. le motif du voleur (surtout si c’est un voleur organisé type pickpocket) est de re-initialiser ton téléphone pour le revendre rapidement, pas d’essayer de le cracker pour voler quelques euros sur paypal. Donc ta protection est donc sans intêret contre cette menace. Dans le cas où ce voleur serait moins professionnel et tenterait avec succès d’accéder au contenu de ton téléphone, les banques et autre paypals couvrent sans soucis les dépenses qu’il fera via les assurances intégrées, donc tu ne sera pas vraiment embêté. Tu aura juste quelques mails à faire, voir dans certains cas les transactions sont bloquées directement si elles viennent d’une ip chelou.
La perte ou l’oublie du téléphone : Ce qui arrive bien plus souvent que de se le faire voler : il tombe d’une poche au cinéma, on l’oublie sur un table à la bibliothèque ou en soirée etc. Dans ce cas soit ton téléphone est trouvé par un voleur ce qui nous ramène au cas précédent, soit il est trouvé par une âme charitable qui cherchera à te le rendre. Et dans ce cas là, si il est verrouillé cela sera impossible. Alors qu’un tél non bloqué pourra être utilisé pour contacter des amis du propriétaire afin de le rendre.
Résultat : verrouiller son téléphone n’apporte quasiment aucun avantage en cas de vol, et au contraire empêche de se le voir restitué en cas de perte, ce qui est bien plus probable qu’un vol (bien qu’on craigne plus un vol qu’un oubli alors que ça devrait être l’inverse). Et bien entendu devoir entrer un code à chaque fois est une perte de temps considérable à prendre en compte sur la durée de vie d’un téléphone. A moins d’un autre motif légitime (éviter que sa petite soeur ne vole notre téléphone ou par ce qu’on a plein de photos compromettantes) j’ai du mal à justifier rationnellement le fait de verrouiller son téléphone.
Ce qu’on veut protéger ce n’est pas l’accès au téléphone et a ses fonctions en temps que tel, mais les données qu’il contient et leur utilisation. Cela doit pouvoir se faire sans verrouillage du téléphone, ce qui permet de gagner du temps et de voir une chance de se le faire restituer en cas de perte, sans compromettre sa sécurité en cas de vol.
Même en cas de données compromettantes à cacher, je pense qu’on peut facilement se débrouiller pour les rendre non accessible sans mot de passe, sans verrouiller pour autant l’ensemble du téléphone.
Si ça peut en intéresser certains, jetez un oeil ici : https://privacytoolsio.github.io/privacytools.io/#pw (pas mal de solutions abordées).
Personnellement, j’ai bitwarden + Linshare pour le partage de fichiers importants (sinon, j’utilise un compte Mediafire pour ce qui ne nécessite pas de sécurité), au besoin + VeraCrypt. Récemment, me suis mis à tester ceci : https://ssl.masterpasswordapp.com/
Mais bon après, je fais très peu d’achats en ligne (uniquement par virement…vieilles habitudes), pas d’activité à risque en général et voilà, je maintiens juste une sécurité minimale, assez optimale sans trop filer à la parano (Taurre *tousse* *tousse*). Les infos les plus importantes sont dans mon cerveau et ça, c’est pas accessible.
Les infos les plus importantes sont dans mon cerveau et ça, c’est pas accessible.
Attend quelques années…
Ce qu’on veut protéger ce n’est pas l’accès au téléphone et a ses fonctions en temps que tel, mais les données qu’il contient et leur utilisation. Cela doit pouvoir se faire sans verrouillage du téléphone, ce qui permet de gagner du temps et de voir une chance de se le faire restituer en cas de perte, sans compromettre sa sécurité en cas de vol.
A quoi tu penses, là. Tu peux faire une petite liste ? Par exemple :
C’est à ça que tu penses par exemple quand tu parles des "données qu’il contient et leur utilisation" ?
Cela doit pouvoir se faire sans verrouillage du téléphone, ce qui permet de gagner du temps et de voir une chance de se le faire restituer en cas de perte, sans compromettre sa sécurité en cas de vol.
Sur Android tu peux mettre un message personnalisé sur l’écran de déverrouillage. Moi j’ai mis mon adresse mail.
C’est à ça que tu penses par exemple quand tu parles des "données qu’il contient et leur utilisation" ?
Oui, mais j’avoue que je pensais principalement premiers (photos/sms, documents) et accès aux applications. Je vois mal un voleur de téléphone s’amuser à eplucher tes sms ou publier je ne sais quoi sur ton compte fb.
Sur Android tu peux mettre un message personnalisé sur l’écran de déverrouillage. Moi j’ai mis mon adresse mail.
D’accord, je ne savais pas, c’est plutôt pas bête comme fonctionnalité ! Je n’ai un android que depuis 2 semaines (j’étais sous windowsPhone avant) du coup je ne connais pas encore trop les fonctionnalités de ce genre.
C’est à ça que tu penses par exemple quand tu parles des "données qu’il contient et leur utilisation" ?
Oui, mais j’avoue que je pensais principalement premiers (photos/sms, documents) et accès aux applications. Je vois mal un voleur de téléphone s’amuser à eplucher tes sms ou publier je ne sais quoi sur ton compte fb.
D’accord. Donc tu vas prétendre que tu n’as aucune photo et aucun sms ou document sur ton téléphone, et que tu te déconnectes de toutes tes applications immédiatement après les avoir utilisées, et que ça te fait gagner du temps de faire ça systématiquement, comparé à avoir un code pour déverrouiller ton téléphone ?
D’accord. Donc tu vas prétendre que tu n’as aucune photo et aucun sms ou document sur ton téléphone, et que tu te déconnectes de toutes tes applications immédiatement après les avoir utilisées
Non, mais je n’ai rien de particulièrement intéressant qui justifie à mes yeux ce genre de contraintes. Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^
D’accord. Donc tu vas prétendre que tu n’as aucune photo et aucun sms ou document sur ton téléphone, et que tu te déconnectes de toutes tes applications immédiatement après les avoir utilisées
Non, mais je n’ai rien de particulièrement intéressant qui justifie à mes yeux ce genre de contraintes. Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^
Ce qui justifie à tes yeux d’étaler des bêtises aussi dangereuses que navrantes. Classe.
Bref, si vous lisez ce topic n’écoutez pas les guignols qui prétendent qu’il ne vaut pas la peine de protéger vos données, votre vie privée, vos contacts, votre compte facebook, vos photos, vos emails en mettant un code pour verrouiller votre téléphone.
C’est votre sécurité et celle de vos contacts qui est en jeu. C’est pas hyper marrant, et il y aura toujours des guignolos pour prétendre le contraire. C’est comme les vaccins : il y a les gens qui comprennent l’enjeu, et les guignolos qui s’y opposent.
Je ne pense pas que tu ai bien compris ce que j’ai dis vu ta réaction. Je n’ai jamais parlé de ne rien protéger, juste de :
Mais comme souvent sur ce genre de sujet ça part en troll rapidement…
Je conseille à ce sujet la lecture des numéros 23, 29 et 32 de Canard PC Hardware (surtout le 23 en ce qui concerne ce sujet) (5,90 € ou à votre bibliothèque préférée si elle est bien achalandée).
Les journalistes y montrent comment on peut récupérer des données personnelles et surtout ce qu’on peut en faire concrètement. Ça va du piratage de comptes (mail, bancaire) à la planification de cambriolage en passant par le chantage ou l’usurpation d’identité. Et là où ça devient drôle, c’est que des documents à priori inoffensifs (photos de vacances, par exemple) peuvent aider dans certains de ces cas.
Ce n’est pas parce qu’un document semble inutilisable qu’il est inutilisable, sauf à connaître tous les usages détournés possibles et imaginable – ce qui est évidemment impossible. Par exemple, pas mal de monde a un scan d’une pièce d’identité ou un justificatif de domicile quelconque sur son téléphone (par exemple parce qu’il a fallu le montrer pour avoir un meilleur tarif à la piscine). Ça peut aussi servir à faire de l’usurpation d’identité.
Non, mais je n’ai rien de particulièrement intéressant qui justifie à mes yeux ce genre de contraintes. Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^
Les autres personnes présentes sur ces photos sont-elles d’accord avec cet état de fait ?
Et tes contacts (noms, adresses, numéros). Et les SMS et autres messages qu’ils t’ont envoyé en présumant à tort que tu avais le bon sens de les garder pour toi ?
Avoir une approche coût-bénéfice des différentes mesures de façon un minimum intelligente.
Un téléphone se déverrouille en 1/2 seconde, je vois mal où tu peux faire mieux niveau coût/bénéfice.
Si un jour à pirate à accès à mes photos de vacances ou à ma liste de courses, je vois mal ce qu’il va pouvoir en faire…^^
Le voleur en question a peut-être eu l’intention de voler précisément ton téléphone à toi et tes données et relations professionnelles et personnelles sont en jeu.
Mais comme souvent sur ce genre de sujet ça part en troll rapidement…
Oui, c’est dingue, on se demande bien pourquoi.
Les journalistes y montrent comment on peut récupérer des données personnelles et surtout ce qu’on peut en faire concrètement. Ça va du piratage de comptes (mail, bancaire) à la planification de cambriolage en passant par le chantage ou l’usurpation d’identité. Et là où ça devient drôle, c’est que des documents à priori inoffensifs (photos de vacances, par exemple) peuvent aider dans certains de ces cas.
La question pour moi n’est pas sur ce qu’il est possible de faire mais sur la probabilité que ça arrive et l’arbitrage coût-avantage. Je pourrais te dire qu’une personne avec un minimum de ruse et entrainerait pourrait agresser une personne lambda et lui voler son portefeuille/téléphone/ordinateur portable; et prôner l’apprentissage du krav maga pour tous. Ce risque me semble d’ailleurs bien plus important (selon où tu habites, tes trajets etc) que ceux qui tu évoques. Pourtant peu de gens vont apprendre les sport de combat/moyen de défense.
Je ne veux clairement pas nier les risques qui existent, mais simplement aller un peu plus loin que les arguments classiques qu’on entend à tout bout de champ et qui mélangent un peu tous les arguments ensemble. J’identifie 4 grands types de risques :
Chaque risque à un niveau d’occurrence plus ou moins important et des conséquences plus ou moins importantes selon les individus, et ils peuvent parfois se recouper. Chaque risque peu s’éviter de différentes façon, avec un coût différent et plus ou moins important selon les individus. Les coûts et avantages peuvent être moraux/subjectifs, financiers, gain de temps, praticité/opérationnalité etc. chaque personne va les évaluer de façon différente.
Enfin on peut ajouter un second niveau qui est le risque agrégé et qui est bien plus difficile à définir à la fois en terme d’enjeu et de probabilités. Par exemple le contrôle d’un segment de marché par un monopoleur : si demain amazon tombe en panne, une partie de l’internet en sera affecté, indépendant la politique de vie privé et du niveau de sécurité associé, c’est un coût systémique.
Mon propos et de dire que je vois mal comment parler de façon un minimum intéressante de sécurité et de protection des données sans poser un cadre de ce genre en préalable. Histoire de connaitre les enjeux et de savoir de quoi l’on parle. Et d’éviter le débat trollesque entre "je n’ai rien à cacher" et "je suis sous Linux+pwm+tor+cryptage des disques+autre par ce j’ai vu un documentaire sur Aazon Swartz".
La question est aussi une question d’éducation et pas uniquement technique. Typiquement, quel genre de contenu je veux stocker sous forme numérique et quel risque associé. Du genre laisser son profil fb en visible et y mettre ses photos de vacances, ce qui est un indice pour les cambrioleurs. Ou le fait de laisser son téléphone/pc sans surveillance. Généralement les mesures "humaines" de ce type sont bien plus importante et primordiales que les mesures techniques (selon le type de risque qu’on veut éviter).
Remarque générale : quand on tire un raisonnement et qu’on en déduit des conclusions avec lesquelles presque personne n’est d’accord, trois possibilités :
Le danger, vu fréquemment, est de se croire dans le cas 2 alors qu’on est dans le cas 3.
Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte