Vous n'êtes pas identifié(e).
Dernière modification par Priareos (26-03-2023 20:44:27)
Hors ligne
site de mon association 1901
https://le-caillou.le-pic.org
Hors ligne
Hors ligne
site de mon association 1901
https://le-caillou.le-pic.org
Hors ligne
Hors ligne
site de mon association 1901
https://le-caillou.le-pic.org
Hors ligne
Hors ligne
site de mon association 1901
https://le-caillou.le-pic.org
Hors ligne
AsrockH110M-ITX/ac
4GO RAM Intel G4560
OS+données SSD Crucial MX300 525GB
Internet fibre optique, GRUB
Hors ligne
Ca signifie que root ne sert à rien?
Non, ça signifie que les droits Unix ne permet pas de protéger le système d'une modification des entrées du chargeur d'amorçage.
La modification des entrées de Grub peut aussi être protégé par un mot de passe. Les problèmes de sécurité, ils sont souvent entre la chaise et le clavier
Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
Hors ligne
De toute manière, en cas d'un accès physique au PC, la seule protection serait de chiffrer les partitions.
Exact, sans chiffrement on peut bien mettre tous les mots de passe qu’on veut, il suffit de voler les disques durs pour ensuite pouvoir piquer tout ce qui se trouve dessus.
Par contre des mots de passe forts restent utiles pour se protéger des attaques sans accès physiques à la machine.
Hors ligne
Par contre des mots de passe forts restent utiles pour se protéger des attaques sans accès physiques à la machine.
Question du coup.
Concrètement, genre moi. Mes mots de passe de mes machines sont souvent d'un caractère (par flemme ; et pas contrarianisme des gens qui mettent un passphrase dément).
À quel moment quelqu'un sans accès physique à la machine peut exploiter cette vulnérabilité ? À moins que j'installe un serveur ssh ou similaire et que je le configure mal, je vois pas trop ?
Ma posture du moment c'était "à priori aucun risque ni aucun intêret à ce niveau ; vaut mieux mettre ses efforts sur son coffre fort à mdp".
Pour moi les mots de passe système fort n'ont de sens que sur une machine chiffrée - avec un grub verrouillé.
Dernière modification par otyugh (27-04-2023 18:21:57)
Hors ligne
À quel moment quelqu'un sans accès physique à la machine peut exploiter cette vulnérabilité ? À moins que j'installe un serveur ssh ou similaire et que je le configure mal, je vois pas trop ?
Pas besoin d’un serveur SSH malheureusement, il suffit d’une faille dans un de tes logiciels avec un accès au réseau. D’où l’importance de maintenir sa Debian à jour
Hors ligne
Hors ligne
Exact, sans chiffrement on peut bien mettre tous les mots de passe qu’on veut, il suffit de voler les disques durs pour ensuite pouvoir piquer tout ce qui se trouve dessus.
Admettons qu'il y ait un chiffrement et que le chiffrement est effectué avec un seul caractère - pour reprendre le concept de otyugh - mais qu'il ne soit pas verrouillé du grub ET qu'il y ait un accès physique (ou non) de la machine.
Quant est-il ?
Hors ligne
Quant est-il ?
Ben si tu l'attaquant est motivé/informé/compétent, il passe outre assez vite ? Y a des outils pour tenter les mots de passe les plus utilisés, et les mots de passe les plus courts y seront.
Pour "grub verrouillé" je retire ma remarque ; quoique tu fasses à ce niveau, si tu déchiffres pas la partition y à priori rien qu'on puisse faire de grub. Ai parlé trop vite, concept inutile. >_<
Hors ligne
Ben si tu l'attaquant est motivé/informé/compétent, il passe outre assez vite ? Y a des outils pour tenter les mots de passe les plus utilisés, et les mots de passe les plus courts y seront.
Concrètement, il faut quoi pour être en "sécurité" ?
Pour "grub verrouillé" je retire ma remarque ; quoique tu fasses à ce niveau, si tu déchiffres pas la partition y à priori rien qu'on puisse faire de grub
Si je mets 1 seul caractère au disque chiffré et que je mets 1 seul caractère au grub, c'est bon ?
Hors ligne
Si je mets 1 seul caractère au disque chiffré et que je mets 1 seul caractère au grub, c'est bon ?
bon pour quoi ?
Je ne pense pas que la technique à 1 caractère soit à visée sécure ...mais plutôt similaire à la technique de ne pas fermer sa porte à clef pour éviter les cambriolages ...
https://www.it-connect.fr/en-2023-combi … -de-passe/
En ligne
Concrètement, il faut quoi pour être en "sécurité" ?
Dans l'absolu ? Déconnecter internet. Et encore.
Je ne pense pas que la technique à 1 caractère soit à visée sécure
Tout à fait.
Cela dit il y a aussi le problème des mots de passe forts qui se contournent en deux minute, d'où mes questions provoc pour savoir où il est raisonnable ou pas de passer du temps
Dans tous les cas il n'y a pas de sécurité, on peut juste se protéger contre des modèles de menace qu'il faut définir. Là par exemple je posais la question du rapport "force du mot de passe système" + "exploit via le réseau" (mon intuition c'est que ça change rien; mais je suis léger en la matière).
- Mais ça n'a rien à voir avec disons, le modèle de menace "la police prend mon PC" - dans ce cas précis, chiffrer (avec un mot de passe fort ofc) est intéressant. Mais si le modèle de menace est le petit fils un peu geek, un chiffrement avec mot de passe faible suffirait j'imagine, même si quitte à s'emmerder... Enfin bref.
Pense modèle de menace pas sécurité dans l'absolu. Parce que globalement si les services d'un état te cours après, y a pas grand chose à faire d'autre que de se déconnecter et d'attendre que ça passe !
La sécurité c'est contraignant. C'est pour ça qu'on tend à la négliger. Mais on peut aussi beaucoup se contraindre là où ça sert à rien. ^^'
Dernière modification par otyugh (28-04-2023 22:09:12)
Hors ligne
Dans l'absolu ? Déconnecter internet. Et encore.
Certes, mais l'objet de la discussion est de comprendre à quelle étape il faut ajouter un truc pour justement se sécuriser d'un autre aspect. Du coup de comprendre ces étapes et les limites de chacune d'entre-elles.
Je peux comprendre que ce sujet soit fâcheux, car il peut expliquer à des relous l'approche de faire du mal si on remonte la pente à l'envers, mais je pense qu'il faut mieux informer que de faire de la rétention d'information (dans l'espoir de faire le faire le bien).
C'est un sujet dont la posture est philosophique... je le conçois. (on peut en discuter d'ailleurs, ailleurs)
Néanmoins, je n'ai pas de réponse à mes questions (concrètement) (mais je peux me taire hein...car nous sommes en démocratie )
Edit:
Entre temps, tu as édité ton post otyugh pendant que je rédigeais ce message, et mon post semble chelou du coup.
Je pense qu'un autre topic, sur le thème de la sécurité, devrait être aborder, en partant de zéro.
Dernière modification par totoZero7 (28-04-2023 22:14:21)
Hors ligne
Hors ligne
quant à ta question elle me semble impossible à répondre parce que... Y a pas de sécurité dans l'absolu en informatique ?
C'est peut être cette question, qui demande à y être répondue correctement, qui doit être posée pour comprendre ce qu'est la sécurité pour avancer dans la compréhension de la sécurité et c'est tout l'intérêt de ma question.
Edit:
Je reformule ma pensée,
Je comprends que de dire explicitement les chose peuvent nourrir les vilains...
Mais du coup, je pose la question suivante:
Comment se prémunir d'une (des) menaces, si on n'en comprend pas leurs fonctionnements parce-que 'on ne le dit pas pour notre sécurité' ? (c'est absurde)
Dernière modification par totoZero7 (28-04-2023 22:45:48)
Hors ligne
il suffit d’une faille dans un de tes logiciels avec un accès au réseau
Et dans ce cas un mot de passe fort serait un obstacle non-trivial ?
Ça ne protégera pas contre tout, loin de là, mais évitera par exemple l’accès au compte root via sudo (mot de passe utilisateur) ou su (mot de passe root) dans le cas d’une faille permettant à l’attaquant de lancer des commandes arbitraires.
Dans cet exemple c’est surtout utile pour les systèmes avec plusieurs utilisateurs : ça évite qu’un compte utilisateur compromis se retrouve à pouvoir aller se servir chez les autres utilisateurs.
Hors ligne
c’est surtout utile pour les systèmes avec plusieurs utilisateurs
Ha ben ça je l'entends/comprends parfaitement ! C'est juste un cas assez rarissime chez les utilisateurs que je cotoie (peut-être qu'avec une pénurie de PC ça reviendra un jour !).
dans le cas d’une faille permettant à l’attaquant de lancer des commandes arbitraires.
Je trouve que sans les accès root on peut déjà "presque" tout faire. Rendre un script executable et l'executer au démarrage de la session, y a pas besoin d'être root. Ou chiffrer toutes les données de l'utilisateur et faire une fenêtre de rançon, partager en VNC l'écran et les touche pressées... on peut faire tout ça avec un accès de simple utilisateur
Dernière modification par otyugh (01-05-2023 13:59:38)
Hors ligne