Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-03-2018 21:05:33

Docteur_Poincare
Membre
Distrib. : Debian GNU/Linux 9 (stretch)
Noyau : Linux 4.9.0-6-amd64
(G)UI : Gnome 3.22.2
Inscription : 27-02-2018

Conseil sécurité

Bonjour,

Ayant récemment découvert les conséquences concrêtes auquelles peut conduire un setup mal sécurisé, j'ai décidé de blinder un peu mieux mes appareils.

Au passage, un rapide remerciement à @smolski et les éventuels autres contributeurs aux pages du wiki sur la sécurité qui sont très éclairantes.


Pour la gestion de mes mdp je voulais un truc suffisement portable pour que ce soit facilement ulisable sur mes deux machines principales (laptop et desktop), et à la fois sur W10 et linux.
Du coup ce que je fais :

1- je créé des mdp costauds avec apg
2- je créé un fichier "unsite" dans lequel je met login mdp et d'autres infos éventuelles, que je chiffre avec gpg2 (AES256, chiffrement symétrique avec passphrase) ce qui créé un fichier du style "unsite.gpg (d'ailleurs 1ere question quand je fais

rm unsite

est ce que le fichier non chiffré est bien supprimé sans moyen simple de le restaurer ?)
3- enfin pour avoir accès à tout mes fichiers chiffrés sur mes différentes machines, je synchronise un dossier les contenant tous sur GDrive et Dropbox (j'ai installé les clients des clouds sur w10, et un daemon pour debian).

Est-ce que mettre ces fichiers chiffrés sur cloud constitue une hérésie du point de vue sécurité ? Sachant surtout que avec les clients installés, quelqu'un prenant le contrôle d'une de mes machine a accès au contenu de mes clouds.

Je sais qu'il existe des solutions avec des bases de données chiffrées du style keepassx, mais je ne sais pas si c'est beaucoup plus sûr, et utilisable sur windows (pour le moment j'utilise gpg pour windows en ligne de commande).

Dernière modification par Docteur_Poincare (16-03-2018 10:03:54)

Hors ligne

#2 15-03-2018 23:23:58

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Conseil sécurité

Pour stocker des mots de passe, des coffres numériques y a plein de solutions. Moi j'utilise keepassX. Pas parce que c'est plus sécurisé que juste utiliser gpg et un tableur, mais parce que c'est plus pratique.

Oui on peut récupérer quelque chose qui a été "rm", l'emplacement mémoire est libéré mais pas effacé. Va voir du côté de "shred" pour ça.

Les clients de GDrive et dropbox (que tu dis avoir installé) sont deux logiciels privateurs qui potentiellement compromettent toute ta sécurité. Idem pour windows, on est jamais à l'abri d'un processus qui filmerai l'écran ou d'un keylogger, c'est bien plus probable que sur du logiciel libre. C'est potentiellement une faille monstrueuse d'installer n'importe quel logiciel privateur - à moins bien sûr que tu fasses une confiance aveugle à Google ou Dropbox.

Non ce n'est pas une hérésie d'utiliser du cloud pour des fichiers proprement chiffrés, à moins bien sûr que t'y mettes ta clé privée quelque part, et là c'est n'importe quoi.

Dernière modification par otyugh (15-03-2018 23:30:22)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

En ligne

#3 16-03-2018 00:21:22

raleur
Membre
Inscription : 03-10-2014

Re : Conseil sécurité

Docteur_Poincare a écrit :

est ce que le fichier non chiffré est bien supprimé sans moyen simple de le restaurer ?


Non. Le contenu est juste déréférencé, mais toujours présent sur le disque.


Il vaut mieux montrer que raconter.

Hors ligne

#4 16-03-2018 01:04:03

Docteur_Poincare
Membre
Distrib. : Debian GNU/Linux 9 (stretch)
Noyau : Linux 4.9.0-6-amd64
(G)UI : Gnome 3.22.2
Inscription : 27-02-2018

Re : Conseil sécurité

otyugh a écrit :

Pour stocker des mots de passe, des coffres numériques y a plein de solutions. Moi j'utilise keepassX. Pas parce que c'est plus sécurisé que juste utiliser gpg et un tableur, mais parce que c'est plus pratique.



Ok j'irai voir ça, si c'est effectivement plus pratique et utilisable sur n'importe quel système je vais probablement m'y mettre aussi.

otyugh a écrit :

Oui on peut récupérer quelque chose qui a été "rm", l'emplacement mémoire est libéré mais pas effacé. Va voir du côté de "shred" pour ça.


raleur a écrit :

Non. Le contenu est juste déréférencé, mais toujours présent sur le disque.



Ok j'imagine que c'est également là un avantage de keepassX que de ne pas être obligé de passer par shred à chaque fois pour éliminer les traces... Du coup je me trimbale pleins de fichiers qui contiennent mes identifiants de connexion en clair sur le disque.... c'est assez moyen.

otyugh a écrit :

Les clients de GDrive et dropbox (que tu dis avoir installé) sont deux logiciels privateurs qui potentiellement compromettent toute ta sécurité. Idem pour windows, on est jamais à l'abri d'un processus qui filmerai l'écran ou d'un keylogger, c'est bien plus probable que sur du logiciel libre. C'est potentiellement une faille monstrueuse d'installer n'importe quel logiciel privateur - à moins bien sûr que tu fasses une confiance aveugle à Google ou Dropbox.



Ok donc ce serait à priori plus propre que je vire ces clients ? Bon pour les processus qui filmeraient l'écran, là à ce niveau d'infection je ne vois pas très bien ce que je peux faire, dès lors que tu ouvres ton gestionnaire de mot de passe tu es foutu, j'imagine que là la sécurité repose essentiellement sur ma vigilance sur le net, et la qualité de ma suite de sécurité pour ne pas finir avec ce genre de bestiole dans le système.

Sur debian, j'utilise la "connexion à un serveur" avec nautilus pour GDrive et un daemon qui vient se greffer à l'explorateur de fichiers pour dropbox. J'avoue que c'est quand même bien pratique pour gérer rapidement ses fichiers sur cloud...
Non je ne fais pas particulièrement confiance aux prestataires de clouds (loin de là), mais ce qui m'inquiète le plus dans un premier temps c'est de me prémunir des intrusions de tiers malveillants...

otyugh a écrit :

(...) à moins bien sûr que t'y mettes ta clé privée quelque part, et là c'est n'importe quoi.


Effectivement lol mais fort heureusement je ne suis pas fou à ce point tongue

Hors ligne

#5 16-03-2018 01:17:26

Anonyme-8
Invité

Re : Conseil sécurité

keepassx et surtout le format de fichier kbdx peut être lu sur la majorité des plateformes directement par keepassx mais également d'autres logiciels.

#6 16-03-2018 03:57:17

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Conseil sécurité

Ok donc ce serait à priori plus propre que je vire ces clients ?


À priori s'il y a quelque chose de vallable à dire sur la sécurité en informatique c'est que : rien n'est vraiment sûr.
Plus on utilise de logiciel différents, moins c'est sûr et plus ces logiciels sont gros, moins c'est sûr. En général plus il y a de fonctionnalité moins c'est sûr, en fait.
Minimalisme est mère de sureté, le problème c'est que "booh, c'est pas convivial", et tout à fait, la sécurité n'est pas conviviale, elle est contraignante. On ne peut pas être toujours absolu, à toi de définir tes besoins et ta politique en la matière. Pour moi l'idée Windows et sécurité est incompatible, les fichiers exposé pourraient être contaminés rien qu'en y branchant une clé USB de l'un à l'autre :x

Bon pour les processus qui filmeraient l'écran, là à ce niveau d'infection je ne vois pas très bien ce que je peux faire


Dans le cas de KeepassX les mots de passent n'ont normalement jamais à apparaître en clair (on peut le faire, mais pas défaut il cache). - Cela dit c'est pas une infection exceptionnelle que de pouvoir se faire filmer son écran, d'accéder au presse-papier ou à la frappe. Au final n'importe quel petit script peut faire ça, alors pourquoi pas Skype, le machin dropbox ou autre toujours en arrière plan ?
Dieu sait qu'ils sont lancés et ont accès potentiellement à plus que ce qu'on croit - personne ne peut prouver à 100% ce que fait vraiment un logiciel, et on a pas la source.
Faut se rendre compte de la folie du truc : c'est un logiciel on peut pas savoir ce qu'il y a dedans, et même s'il a été inoffensif pendant des années, à tout moment c'est une épée de Damoclès parce que ces logiciels se mettent à jour tout seuls. Et t'en fais pas que les services Americains peuvent activer la petite backdoor pour avoir accès à tout le reste, à titre individuel.
Et si la faille existe, t'en fais pas qu'y aura d'autres que ceux qui l'avaient prévu à l'utiliser, ça s'est vu encore et encore dans l'histoire.

la qualité de ma suite de sécurité pour ne pas finir avec ce genre de bestiole dans le système.


Pour le moment j'ai l'impression que "les suites de sécurité" sont des rustines dégueulasses qui valent pas le coup. Faudrait demander à Google/Facebook quel antivirus ils utilisent dans leurs environnements de production GNU/Linux. Je serai pas étonné qu'il n'y en ait pas, plutôt des mises à jour strictes et des outils de surveillance sur le réseau par des professionnels.

Sur debian, j'utilise la "connexion à un serveur" avec nautilus pour GDrive et un daemon qui vient se greffer à l'explorateur de fichiers pour dropbox. J'avoue que c'est quand même bien pratique pour gérer rapidement ses fichiers sur cloud...


Si tu veux utiliser un cloud, la méthode la plus puriste est probablement de louer une VM et d'accéder à tes fichiers via sshfs.

NB : je suis pas dutout un pro en sécurité. Et j'ai encore à croiser quelqu'un qui me dise plus que les platitudes que je viens d'évoquer :x

Dernière modification par otyugh (16-03-2018 04:07:31)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

En ligne

#7 16-03-2018 10:11:47

Docteur_Poincare
Membre
Distrib. : Debian GNU/Linux 9 (stretch)
Noyau : Linux 4.9.0-6-amd64
(G)UI : Gnome 3.22.2
Inscription : 27-02-2018

Re : Conseil sécurité

Ok je vois. Bon je pense que je vais assez clairement virer ces clients en effet biggreen.gif, d'autant plus que je viens de prendre conscience des mœurs pour le moins douteuse de l'actuelle sphère dirigeantes  des service de cloud comme dropbox, concernant le respect de la vie privée (je suis d'ailleurs en train de regarder si partir sur spideroak ce ne serait pas mieux).

Pour le coup des suites de sécurité, c'est quoi l'argument/source qui te fait penser ça ? J'ai lu plusieurs fois sur le net que bien loin d'être infaillible, certaine suites offraient un assez bonne protection contre la plupart des scripts malveillants (connus tout du moins), et était du coup plutôt recommandées.

Hors ligne

#8 16-03-2018 10:39:22

raleur
Membre
Inscription : 03-10-2014

Re : Conseil sécurité

Docteur_Poincare a écrit :

j'imagine que c'est également là un avantage de keepassX que de ne pas être obligé de passer par shred à chaque fois pour éliminer les traces


Même shred n'est pas forcément efficace avec certains systèmes de fichiers de type COW (copy on write, ex : btrfs) ou structurés en log qui conservent les versions antérieures lors d'une écriture. La bonne solution consiste à écrire le fichier directement chiffré sur disque et jamais en clair, soit avec un système de fichiers chiffré, une surcouche de chiffrement (eCryptfs) un volume chiffré (LUKS), ou en le chiffrant explicitement lors de sa création. Pour ceux qui auraient l'idée de mettre le fichier en clair dans un tmpfs en se disant que ce n'est qu'en mémoire volatile, le contenu d'un tmpfs peut être écrit dans le swap donc s'il y a un swap sur disque il doit être chiffré aussi.

Dernière modification par raleur (16-03-2018 10:39:46)


Il vaut mieux montrer que raconter.

Hors ligne

#9 16-03-2018 11:30:14

Docteur_Poincare
Membre
Distrib. : Debian GNU/Linux 9 (stretch)
Noyau : Linux 4.9.0-6-amd64
(G)UI : Gnome 3.22.2
Inscription : 27-02-2018

Re : Conseil sécurité

raleur a écrit :

Même shred n'est pas forcément efficace avec certains systèmes de fichiers de type COW (copy on write, ex : btrfs) ou structurés en log qui conservent les versions antérieures lors d'une écriture. La bonne solution consiste à écrire le fichier directement chiffré sur disque et jamais en clair, soit avec un système de fichiers chiffré, une surcouche de chiffrement (eCryptfs) un volume chiffré (LUKS), ou en le chiffrant explicitement lors de sa création. Pour ceux qui auraient l'idée de mettre le fichier en clair dans un tmpfs en se disant que ce n'est qu'en mémoire volatile, le contenu d'un tmpfs peut être écrit dans le swap donc s'il y a un swap sur disque il doit être chiffré aussi.



Du coup c'est bien ça non ? avec keepassx les fichiers .kdbx sont chiffrés à la création et jamais en clair (d'ailleurs je n'ai pas trouvé le moyen de paramétrer moi même l'algo de chiffrement avec keepassx)

Hors ligne

#10 16-03-2018 11:44:35

raleur
Membre
Inscription : 03-10-2014

Re : Conseil sécurité

Je ne connais pas keepassx.

Il vaut mieux montrer que raconter.

Hors ligne

#11 17-03-2018 04:05:01

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Conseil sécurité

Docteur_Poincare a écrit :

Pour le coup des suites de sécurité, c'est quoi l'argument/source qui te fait penser ça ? J'ai lu plusieurs fois sur le net que bien loin d'être infaillible, certaine suites offraient un assez bonne protection contre la plupart des scripts malveillants (connus tout du moins), et était du coup plutôt recommandées.



Moi ce qui me crève les yeux c'est le bol de nouille qu'est tout antimalware : c'est lourd, c'est lent, c'est compliqué, ça bloque les autre processus, et parfois même, c'est source de problème de sécurité en eux-même.
...Ça ressemble vachement à un malware l'antimalware, en fait.

Faisant du dépannage informatique chez les gens (des Michu hein), j'ai 50% de mes interventions qui consistent modifier les règles d'un antivirus ou installer un moindre mal à la place ; parce que ça leur a bloqué leur accès internet, ou bloqué leur port d'envoi de mail, des trucs vraiment basiques qu'on se demande comment ça arrive au XXI. Et globalement j'ai l'impression que les entreprises d'antivirus sont du racket organisé des personnes crédules et vulnérables qui payeront 100€/an pour un cadenas vert et des chiffres factice sur le nombre de malware bloqué, sans parler des pub et des rappels non-voulus, des produits dérivés imposés...

Tiens ben, justement étant si défiant envers les antivirus j'ai même essayé sous windows avec mon ordinateur de >7 ans qui sert exclusivement à jouer avec des copains.
Alors j'ai juste désactivé l'antivirus, en m'attendant à devoir tout réinstaller bientôt. Ben ça tourne depuis un an, j'attends encore, parce que sauf de la réactivité et moins de "mise à jour de base de donnée de malware" bloquant l'accès à toute la maison, j'ai pas encore vu de malware visible - et si j'envoie du Spamme Russe, c'est carrément plus respectueux de ma connexion que les mises à jour de l'anti-malware.

Alors merde à la fin tongue
Personnellement j'ai renoncé à la sécurité sous windows : c'est un milieu hostile, je vais pas sacrifier mon confort d'utilisation pour un cadenas vert. Perso.

Quant à la sécurité sous GNU/Linux, je préfère fréquenter les bons paquets, les bons sites, les bonnes personnes et avoir les bonnes pratiques que d'avoir un processus de scan continu qui sera jamais absolu pour me "décharger" de tout ça. Fin je dis ça. Jusqu'à ce qu'on trouve un antimalware que des gens compétents me conseillent. Genre la communauté de sécurité de Debian... x)

Dernière modification par otyugh (17-03-2018 04:12:26)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

En ligne

#12 17-03-2018 10:43:49

Docteur_Poincare
Membre
Distrib. : Debian GNU/Linux 9 (stretch)
Noyau : Linux 4.9.0-6-amd64
(G)UI : Gnome 3.22.2
Inscription : 27-02-2018

Re : Conseil sécurité

plus.png. Pour la sécurité sur linux, en effet c'est bien connu que 99.9% des failles sont situées entre la chaise et le clavier wink

Pour windows ouais je sais que c'est clairement pas synonyme de sécurité. Mais bon, après je pèche peut être un peu de naïveté (je suis pas professionnel de l'info et de la sécurité), mais je me soumets essentiellement aux recommandations de l'ANSSI (j'ai fait mon brave naab et j'ai suivi leur MOOC que je trouve franchement pas mal pour les profanes tongue ). Dedans ils conseillent quand même d'opter pour une suite de sécurité récente et à jour. Avec ma copine on s'est pris Bitdefender total security 2018, ça couvre 5 appareils pendant un an... (80 centimes par appareil et par mois on s'est dit que c'était pas la mort) et on a la chance d'avoir des machines récentes qui tournent sur SSD : j'ai fait des benchs, j'arrive pas à mesurer de changement au niveau de la vitesse d’exécution des processus.

Je me sers un minimum de Windows (disons le : que pour le gaming, Lightroom et Photoshop), mais je veux simplement que cet OS ne constitue pas une faille béante dans ma sécurité (par exemple qu'un hackeur obtienne des infos/données sensibles en commettant une attaque sur W10, qui pourrait lui servir pour foutre la merde ailleurs).

Dernière modification par Docteur_Poincare (17-03-2018 10:47:34)

Hors ligne

#13 17-03-2018 17:05:48

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Conseil sécurité

Docteur_Poincare a écrit :

(80 centimes par appareil et par mois on s'est dit que c'était pas la mort) et on a la chance d'avoir des machines récentes qui tournent sur SSD : j'ai fait des benchs, j'arrive pas à mesurer de changement au niveau de la vitesse d’exécution des processus.


Ça fait ~50€ par an pour cinq machines quand même, mais je comprends l'idée.

Je comprends. Je ne suis pas non plus expert de sécurité, et il est *évident* que pour une entreprise ça vaut le coup ne serais-ce que pour des garanties de contrat, antimalware ou pas.

Cela dit je pense aussi que cet argent serait mieux placé chez framasoft, laquadraturedunet ou la fsfe, ou n'importe quel projet libre qui manquent de fond justement pour faire expertiser par des pro de la sécurité leur logiciel - et faire profiter de cette sécurité à tout le monde plutôt "qu'à toi" en payant une entreprise opaque - qui peut-être fait bien son travail, y a aucun moyen de savoir.
J'espère que tu vois où ça bloque pour moi - je ne sais pas si on accepterai un dératiseur qui refuse de nous montrer quel produit il utilise, même à un autre professionnel, au nom du "secret de fabrication" ; et s'il développe sa propre formule miracle, qui refuse de la partager avec les autres au nom de son monopole. Bref.

Ça serait beau "qu'on" soit prêt à payer 1€ par mois et par machine ne serais-ce qu'à un des logiciels libre qu'on utilise.  - et je trouve ça "triste" qu'on le fasse pour des trucs fermés au nom du fait que eux, ils t'obligent à le faire sad

Dernière modification par otyugh (17-03-2018 17:23:56)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

En ligne

#14 17-03-2018 17:17:55

MicP
Membre
Inscription : 29-02-2016

Re : Conseil sécurité

Bonjour

Vous pouvez aussi aller faire un tour de temps en temps sur la page web du CERT

Hors ligne

#15 17-03-2018 22:29:07

chad
Membre
Lieu : Saint Brieuc
Distrib. : debian 10
Noyau : 4.19.0-9-amd64
(G)UI : LXDE
Inscription : 05-02-2017

Re : Conseil sécurité

sous windôws l'antivirus integré commence à etre efficace sous windo$s 10

windows defender il est léger par nature

intel i5-4200u
8go de ram ddr3

Hors ligne

#16 17-03-2018 23:58:33

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Conseil sécurité

l'antivirus integré commence à etre efficace


Quelle manière objective as-tu d'affirmer ça sans tomber dans le slogan publicitaire ? Si ce machin faisait que bouffer du CPU et afficher un cadenas vert, tu le saurais ?


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

En ligne

#17 18-03-2018 12:52:13

Docteur_Poincare
Membre
Distrib. : Debian GNU/Linux 9 (stretch)
Noyau : Linux 4.9.0-6-amd64
(G)UI : Gnome 3.22.2
Inscription : 27-02-2018

Re : Conseil sécurité

otyugh a écrit :

Quelle manière objective as-tu d'affirmer ça sans tomber dans le slogan publicitaire ? Si ce machin faisait que bouffer du CPU et afficher un cadenas vert, tu le saurais ?



Tu peux toujours trouver ce genre de bench https://www.av-test.org/en/antivirus/ho … .8-164847/, mais c'est vrai que scientifiquement parlant c'est difficile de faire du contrôle qualité avec du code qui n'est pas libre.

Hors ligne

#18 18-03-2018 16:28:52

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Conseil sécurité

c'est difficile de faire du contrôle qualité avec du code qui n'est pas libre.


C'était un peu ce que je voulais dire ^^'
Autre point crucial à mon avis, l'antitivirus peut seulement te donner un avertissement, ce qui veut dire que n'importe qui peut passer outre la "sécurité". Comme d'hab la formation de l'utilisateur est bien plus cruciale que d'installer un antivirus, à priori.

Dernière modification par otyugh (18-03-2018 16:33:17)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

En ligne

Pied de page des forums