Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
Pages : 1
est ce que le fichier non chiffré est bien supprimé sans moyen simple de le restaurer ?)
3- enfin pour avoir accès à tout mes fichiers chiffrés sur mes différentes machines, je synchronise un dossier les contenant tous sur GDrive et Dropbox (j'ai installé les clients des clouds sur w10, et un daemon pour debian).
Est-ce que mettre ces fichiers chiffrés sur cloud constitue une hérésie du point de vue sécurité ? Sachant surtout que avec les clients installés, quelqu'un prenant le contrôle d'une de mes machine a accès au contenu de mes clouds.
Je sais qu'il existe des solutions avec des bases de données chiffrées du style keepassx, mais je ne sais pas si c'est beaucoup plus sûr, et utilisable sur windows (pour le moment j'utilise gpg pour windows en ligne de commande).
Dernière modification par Docteur_Poincare (16-03-2018 09:03:54)
Hors ligne
Dernière modification par otyugh (15-03-2018 22:30:22)
En ligne
est ce que le fichier non chiffré est bien supprimé sans moyen simple de le restaurer ?
Non. Le contenu est juste déréférencé, mais toujours présent sur le disque.
Il vaut mieux montrer que raconter.
Hors ligne
Pour stocker des mots de passe, des coffres numériques y a plein de solutions. Moi j'utilise keepassX. Pas parce que c'est plus sécurisé que juste utiliser gpg et un tableur, mais parce que c'est plus pratique.
Ok j'irai voir ça, si c'est effectivement plus pratique et utilisable sur n'importe quel système je vais probablement m'y mettre aussi.
Oui on peut récupérer quelque chose qui a été "rm", l'emplacement mémoire est libéré mais pas effacé. Va voir du côté de "shred" pour ça.
Non. Le contenu est juste déréférencé, mais toujours présent sur le disque.
Ok j'imagine que c'est également là un avantage de keepassX que de ne pas être obligé de passer par shred à chaque fois pour éliminer les traces... Du coup je me trimbale pleins de fichiers qui contiennent mes identifiants de connexion en clair sur le disque.... c'est assez moyen.
Les clients de GDrive et dropbox (que tu dis avoir installé) sont deux logiciels privateurs qui potentiellement compromettent toute ta sécurité. Idem pour windows, on est jamais à l'abri d'un processus qui filmerai l'écran ou d'un keylogger, c'est bien plus probable que sur du logiciel libre. C'est potentiellement une faille monstrueuse d'installer n'importe quel logiciel privateur - à moins bien sûr que tu fasses une confiance aveugle à Google ou Dropbox.
Ok donc ce serait à priori plus propre que je vire ces clients ? Bon pour les processus qui filmeraient l'écran, là à ce niveau d'infection je ne vois pas très bien ce que je peux faire, dès lors que tu ouvres ton gestionnaire de mot de passe tu es foutu, j'imagine que là la sécurité repose essentiellement sur ma vigilance sur le net, et la qualité de ma suite de sécurité pour ne pas finir avec ce genre de bestiole dans le système.
Sur debian, j'utilise la "connexion à un serveur" avec nautilus pour GDrive et un daemon qui vient se greffer à l'explorateur de fichiers pour dropbox. J'avoue que c'est quand même bien pratique pour gérer rapidement ses fichiers sur cloud...
Non je ne fais pas particulièrement confiance aux prestataires de clouds (loin de là), mais ce qui m'inquiète le plus dans un premier temps c'est de me prémunir des intrusions de tiers malveillants...
(...) à moins bien sûr que t'y mettes ta clé privée quelque part, et là c'est n'importe quoi.
Effectivement 
mais fort heureusement je ne suis pas fou à ce point 
Hors ligne
Ok donc ce serait à priori plus propre que je vire ces clients ?
À priori s'il y a quelque chose de vallable à dire sur la sécurité en informatique c'est que : rien n'est vraiment sûr.
Plus on utilise de logiciel différents, moins c'est sûr et plus ces logiciels sont gros, moins c'est sûr. En général plus il y a de fonctionnalité moins c'est sûr, en fait.
Minimalisme est mère de sureté, le problème c'est que "booh, c'est pas convivial", et tout à fait, la sécurité n'est pas conviviale, elle est contraignante. On ne peut pas être toujours absolu, à toi de définir tes besoins et ta politique en la matière. Pour moi l'idée Windows et sécurité est incompatible, les fichiers exposé pourraient être contaminés rien qu'en y branchant une clé USB de l'un à l'autre :x
Bon pour les processus qui filmeraient l'écran, là à ce niveau d'infection je ne vois pas très bien ce que je peux faire
Dans le cas de KeepassX les mots de passent n'ont normalement jamais à apparaître en clair (on peut le faire, mais pas défaut il cache). - Cela dit c'est pas une infection exceptionnelle que de pouvoir se faire filmer son écran, d'accéder au presse-papier ou à la frappe. Au final n'importe quel petit script peut faire ça, alors pourquoi pas Skype, le machin dropbox ou autre toujours en arrière plan ?
Dieu sait qu'ils sont lancés et ont accès potentiellement à plus que ce qu'on croit - personne ne peut prouver à 100% ce que fait vraiment un logiciel, et on a pas la source.
Faut se rendre compte de la folie du truc : c'est un logiciel on peut pas savoir ce qu'il y a dedans, et même s'il a été inoffensif pendant des années, à tout moment c'est une épée de Damoclès parce que ces logiciels se mettent à jour tout seuls. Et t'en fais pas que les services Americains peuvent activer la petite backdoor pour avoir accès à tout le reste, à titre individuel.
Et si la faille existe, t'en fais pas qu'y aura d'autres que ceux qui l'avaient prévu à l'utiliser, ça s'est vu encore et encore dans l'histoire.
la qualité de ma suite de sécurité pour ne pas finir avec ce genre de bestiole dans le système.
Pour le moment j'ai l'impression que "les suites de sécurité" sont des rustines dégueulasses qui valent pas le coup. Faudrait demander à Google/Facebook quel antivirus ils utilisent dans leurs environnements de production GNU/Linux. Je serai pas étonné qu'il n'y en ait pas, plutôt des mises à jour strictes et des outils de surveillance sur le réseau par des professionnels.
Sur debian, j'utilise la "connexion à un serveur" avec nautilus pour GDrive et un daemon qui vient se greffer à l'explorateur de fichiers pour dropbox. J'avoue que c'est quand même bien pratique pour gérer rapidement ses fichiers sur cloud...
Si tu veux utiliser un cloud, la méthode la plus puriste est probablement de louer une VM et d'accéder à tes fichiers via sshfs.
NB : je suis pas dutout un pro en sécurité. Et j'ai encore à croiser quelqu'un qui me dise plus que les platitudes que je viens d'évoquer :x
Dernière modification par otyugh (16-03-2018 03:07:31)
En ligne
, d'autant plus que je viens de prendre conscience des mœurs pour le moins douteuse de l'actuelle sphère dirigeantes des service de cloud comme dropbox, concernant le respect de la vie privée (je suis d'ailleurs en train de regarder si partir sur spideroak ce ne serait pas mieux).Hors ligne
j'imagine que c'est également là un avantage de keepassX que de ne pas être obligé de passer par shred à chaque fois pour éliminer les traces
Même shred n'est pas forcément efficace avec certains systèmes de fichiers de type COW (copy on write, ex : btrfs) ou structurés en log qui conservent les versions antérieures lors d'une écriture. La bonne solution consiste à écrire le fichier directement chiffré sur disque et jamais en clair, soit avec un système de fichiers chiffré, une surcouche de chiffrement (eCryptfs) un volume chiffré (LUKS), ou en le chiffrant explicitement lors de sa création. Pour ceux qui auraient l'idée de mettre le fichier en clair dans un tmpfs en se disant que ce n'est qu'en mémoire volatile, le contenu d'un tmpfs peut être écrit dans le swap donc s'il y a un swap sur disque il doit être chiffré aussi.
Dernière modification par raleur (16-03-2018 09:39:46)
Il vaut mieux montrer que raconter.
Hors ligne
Même shred n'est pas forcément efficace avec certains systèmes de fichiers de type COW (copy on write, ex : btrfs) ou structurés en log qui conservent les versions antérieures lors d'une écriture. La bonne solution consiste à écrire le fichier directement chiffré sur disque et jamais en clair, soit avec un système de fichiers chiffré, une surcouche de chiffrement (eCryptfs) un volume chiffré (LUKS), ou en le chiffrant explicitement lors de sa création. Pour ceux qui auraient l'idée de mettre le fichier en clair dans un tmpfs en se disant que ce n'est qu'en mémoire volatile, le contenu d'un tmpfs peut être écrit dans le swap donc s'il y a un swap sur disque il doit être chiffré aussi.
Du coup c'est bien ça non ? avec keepassx les fichiers .kdbx sont chiffrés à la création et jamais en clair (d'ailleurs je n'ai pas trouvé le moyen de paramétrer moi même l'algo de chiffrement avec keepassx)
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
Pour le coup des suites de sécurité, c'est quoi l'argument/source qui te fait penser ça ? J'ai lu plusieurs fois sur le net que bien loin d'être infaillible, certaine suites offraient un assez bonne protection contre la plupart des scripts malveillants (connus tout du moins), et était du coup plutôt recommandées.
Moi ce qui me crève les yeux c'est le bol de nouille qu'est tout antimalware : c'est lourd, c'est lent, c'est compliqué, ça bloque les autre processus, et parfois même, c'est source de problème de sécurité en eux-même.
...Ça ressemble vachement à un malware l'antimalware, en fait.
Faisant du dépannage informatique chez les gens (des Michu hein), j'ai 50% de mes interventions qui consistent modifier les règles d'un antivirus ou installer un moindre mal à la place ; parce que ça leur a bloqué leur accès internet, ou bloqué leur port d'envoi de mail, des trucs vraiment basiques qu'on se demande comment ça arrive au XXI. Et globalement j'ai l'impression que les entreprises d'antivirus sont du racket organisé des personnes crédules et vulnérables qui payeront 100€/an pour un cadenas vert et des chiffres factice sur le nombre de malware bloqué, sans parler des pub et des rappels non-voulus, des produits dérivés imposés...
Tiens ben, justement étant si défiant envers les antivirus j'ai même essayé sous windows avec mon ordinateur de >7 ans qui sert exclusivement à jouer avec des copains.
Alors j'ai juste désactivé l'antivirus, en m'attendant à devoir tout réinstaller bientôt. Ben ça tourne depuis un an, j'attends encore, parce que sauf de la réactivité et moins de "mise à jour de base de donnée de malware" bloquant l'accès à toute la maison, j'ai pas encore vu de malware visible - et si j'envoie du Spamme Russe, c'est carrément plus respectueux de ma connexion que les mises à jour de l'anti-malware.
Alors merde à la fin
Personnellement j'ai renoncé à la sécurité sous windows : c'est un milieu hostile, je vais pas sacrifier mon confort d'utilisation pour un cadenas vert. Perso.
Quant à la sécurité sous GNU/Linux, je préfère fréquenter les bons paquets, les bons sites, les bonnes personnes et avoir les bonnes pratiques que d'avoir un processus de scan continu qui sera jamais absolu pour me "décharger" de tout ça. Fin je dis ça. Jusqu'à ce qu'on trouve un antimalware que des gens compétents me conseillent. Genre la communauté de sécurité de Debian... x)
Dernière modification par otyugh (17-03-2018 03:12:26)
En ligne
. Pour la sécurité sur linux, en effet c'est bien connu que 99.9% des failles sont situées entre la chaise et le clavier 
). Dedans ils conseillent quand même d'opter pour une suite de sécurité récente et à jour. Avec ma copine on s'est pris Bitdefender total security 2018, ça couvre 5 appareils pendant un an... (80 centimes par appareil et par mois on s'est dit que c'était pas la mort) et on a la chance d'avoir des machines récentes qui tournent sur SSD : j'ai fait des benchs, j'arrive pas à mesurer de changement au niveau de la vitesse d’exécution des processus.Dernière modification par Docteur_Poincare (17-03-2018 09:47:34)
Hors ligne
(80 centimes par appareil et par mois on s'est dit que c'était pas la mort) et on a la chance d'avoir des machines récentes qui tournent sur SSD : j'ai fait des benchs, j'arrive pas à mesurer de changement au niveau de la vitesse d’exécution des processus.
Ça fait ~50€ par an pour cinq machines quand même, mais je comprends l'idée.
Je comprends. Je ne suis pas non plus expert de sécurité, et il est *évident* que pour une entreprise ça vaut le coup ne serais-ce que pour des garanties de contrat, antimalware ou pas.
Cela dit je pense aussi que cet argent serait mieux placé chez framasoft, laquadraturedunet ou la fsfe, ou n'importe quel projet libre qui manquent de fond justement pour faire expertiser par des pro de la sécurité leur logiciel - et faire profiter de cette sécurité à tout le monde plutôt "qu'à toi" en payant une entreprise opaque - qui peut-être fait bien son travail, y a aucun moyen de savoir.
J'espère que tu vois où ça bloque pour moi - je ne sais pas si on accepterai un dératiseur qui refuse de nous montrer quel produit il utilise, même à un autre professionnel, au nom du "secret de fabrication" ; et s'il développe sa propre formule miracle, qui refuse de la partager avec les autres au nom de son monopole. Bref.
Ça serait beau "qu'on" soit prêt à payer 1€ par mois et par machine ne serais-ce qu'à un des logiciels libre qu'on utilise. - et je trouve ça "triste" qu'on le fasse pour des trucs fermés au nom du fait que eux, ils t'obligent à le faire 
Dernière modification par otyugh (17-03-2018 16:23:56)
En ligne
Hors ligne
Pentium CPU G2020 @ 2.90GHz × 2
3.7 Go DDR2
Hors ligne
l'antivirus integré commence à etre efficace
Quelle manière objective as-tu d'affirmer ça sans tomber dans le slogan publicitaire ? Si ce machin faisait que bouffer du CPU et afficher un cadenas vert, tu le saurais ?
En ligne
Quelle manière objective as-tu d'affirmer ça sans tomber dans le slogan publicitaire ? Si ce machin faisait que bouffer du CPU et afficher un cadenas vert, tu le saurais ?
Tu peux toujours trouver ce genre de bench https://www.av-test.org/en/antivirus/ho … .8-164847/, mais c'est vrai que scientifiquement parlant c'est difficile de faire du contrôle qualité avec du code qui n'est pas libre.
Hors ligne
c'est difficile de faire du contrôle qualité avec du code qui n'est pas libre.
C'était un peu ce que je voulais dire ^^'
Autre point crucial à mon avis, l'antitivirus peut seulement te donner un avertissement, ce qui veut dire que n'importe qui peut passer outre la "sécurité". Comme d'hab la formation de l'utilisateur est bien plus cruciale que d'installer un antivirus, à priori.
Dernière modification par otyugh (18-03-2018 15:33:17)
En ligne
Pages : 1