Bonjour,
J'ai cherché un peu, une sorte de liste des comptes à modifier en cas de défaut de sécurité, ou un vol délibéré…
Changer tous les mots de passe de vos comptes :
dropbox bank clé ssh mot de passes enregistrés accès sur des serveurs facebook twitter LinkedIn comptes mail hotmail, yahoo, gmail, skype htaccess impots code de porte code wifi code adsl free, orange, etc. sites d'achat en ligne apple store accès ftp sur d'autre sites etc.
Vous savez si une telle liste existe ?
Cordialement, Sylvain.
Le 10/10/2013 16:29, Sylvain Viart a écrit :
Bonjour,
J'ai cherché un peu, une sorte de liste des comptes à modifier en cas de défaut de sécurité, ou un vol délibéré…
Changer tous les mots de passe de vos comptes :
dropbox bank
[all jerk]
apple store accès ftp sur d'autre sites etc.
Vous savez si une telle liste existe ?
Désolé mais ma première réaction a été : c'est complètement con. Et après, ben, j'ai pas changé d'avis.
Julien
+1 On Oct 10, 2013 10:39 AM, "Julien Escario" escario@azylog.net wrote:
Le 10/10/2013 16:29, Sylvain Viart a écrit :
Bonjour,
J'ai cherché un peu, une sorte de liste des comptes à modifier en cas de défaut de sécurité, ou un vol délibéré…
Changer tous les mots de passe de vos comptes :
dropbox bank
[all jerk]
apple store accès ftp sur d'autre sites etc.
Vous savez si une telle liste existe ?
Désolé mais ma première réaction a été : c'est complètement con. Et après, ben, j'ai pas changé d'avis.
Julien
______________________________**_________________ Liste de diffusion du FRsAG http://www.frsag.org/
Sinon il y a ce site qui a une bonne liste de site où changer le mot de passe en cas de pépin : http://superlogout.com/
Le 10 octobre 2013 16:41, arnaud landry arnaud.landry@gmail.com a écrit :
+1 On Oct 10, 2013 10:39 AM, "Julien Escario" escario@azylog.net wrote:
Le 10/10/2013 16:29, Sylvain Viart a écrit :
Bonjour,
J'ai cherché un peu, une sorte de liste des comptes à modifier en cas de défaut de sécurité, ou un vol délibéré…
Changer tous les mots de passe de vos comptes :
dropbox bank
[all jerk]
apple store accès ftp sur d'autre sites etc.
Vous savez si une telle liste existe ?
Désolé mais ma première réaction a été : c'est complètement con. Et après, ben, j'ai pas changé d'avis.
Julien
______________________________**_________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 10/10/2013 16:46, Jonathan bartoua Schneider a écrit :
où changer le mot de passe en cas de pépin : http://superlogout.com/
Ah en effet. C'est mieux, je complète ma liste, merci.
Désolé mais ma première réaction a été : c'est complètement con.
Et bien, pour un client en détresse, ça peut servir. Je trouve que ça le fait bien, de l'aider avec une sorte de check list.
C'était l'idée en tout cas. ;-)
Sylvain.
Le 10/10/13 10:51 AM, Sylvain Viart a écrit :
Désolé mais ma première réaction a été : c'est complètement con.Et bien, pour un client en détresse, ça peut servir. Je trouve que ça le fait bien, de l'aider avec une sorte de check list.
Remonter un backup de son profile de navigateur (pour firefox c'est facile) et voir ce qu'il a laissé dans le password manager... paf, tout changer :)
Chiffre ton PC: Luks (Linux) ou BItlocker (Windows) ou natif sous MacOS et tu n'auras plus à te poser la question :)
2013/10/10 Sylvain Viart sylvain@ledragon.net:
Bonjour,
J'ai cherché un peu, une sorte de liste des comptes à modifier en cas de défaut de sécurité, ou un vol délibéré…
Changer tous les mots de passe de vos comptes :
dropbox bank clé ssh mot de passes enregistrés accès sur des serveurs facebook twitter LinkedIn comptes mail hotmail, yahoo, gmail, skype htaccess impots code de porte code wifi code adsl free, orange, etc. sites d'achat en ligne apple store accès ftp sur d'autre sites etc.
Vous savez si une telle liste existe ?
Cordialement, Sylvain.
Liste de diffusion du FRsAG http://www.frsag.org/
+1 pour le chiffrement du portable complet et un super mot de passe pour la session (ou les sessions présentes en local).
Le 10 octobre 2013 19:10, Jérémie Marguerie jeremie@marguerie.org a écrit :
Chiffre ton PC: Luks (Linux) ou BItlocker (Windows) ou natif sous MacOS et tu n'auras plus à te poser la question :)
De : frsag-bounces@frsag.org [mailto:frsag-bounces@frsag.org] De la part de Olivier MARECHAL Envoyé : jeudi 10 octobre 2013 21:09 À : Jérémie Marguerie Cc : French SysAdmin Group Objet : Re: [FRsAG] liste des mots de passe à changer si on vous vole votre laptop
+1 pour le chiffrement du portable complet et un super mot de passe pour la session (ou les sessions présentes en local).
Un mot de passe de session ne sert à rien .
Le 10 octobre 2013 19:10, Jérémie Marguerie jeremie@marguerie.org a écrit :
Chiffre ton PC: Luks (Linux) ou BItlocker (Windows) ou natif sous MacOS et tu n'auras plus à te poser la question :)
A verrouiller son PC lorsque tu pars aux toilettes et que tu ne veux pas le laisser complètement ouvert ? ;)
Et sinon oui la plupart des distributions offrent l'opportunité de chiffrer à l'installation. Je ne crois pas qu'il soit possible de chiffrer à la volée ses partitions après installation (du moins pas aisément) par contre sous Linux (contrairement à Windows et MacOS). Le seul problème du chiffrement c'est que tu es sûr de ne jamais retrouver ton PC car personne ne l'allumera donc les trackers qui se connecte au net ne seront pas efficaces.
2013/10/10 Network Info Haillicourt contact@network-info.fr:
De : frsag-bounces@frsag.org [mailto:frsag-bounces@frsag.org] De la part de Olivier MARECHAL Envoyé : jeudi 10 octobre 2013 21:09 À : Jérémie Marguerie Cc : French SysAdmin Group Objet : Re: [FRsAG] liste des mots de passe à changer si on vous vole votre laptop
+1 pour le chiffrement du portable complet et un super mot de passe pour la session (ou les sessions présentes en local).
Un mot de passe de session ne sert à rien ….
Le 10 octobre 2013 19:10, Jérémie Marguerie jeremie@marguerie.org a écrit :
Chiffre ton PC: Luks (Linux) ou BItlocker (Windows) ou natif sous MacOS et tu n'auras plus à te poser la question :)
Liste de diffusion du FRsAG http://www.frsag.org/
Sauf erreur de ma part, sous Windows, sans le mot de passe de session, même en ayant un compte admin sur l'OS, on ne peux pas accéder aux boites mail Outlook/Windows Live Mail (ainsi que Thunderbird il me semble, à vérifier) ni aux mots de passe enregistrés des principaux navigateurs d'un compte.
Après, un vrai cryptage de tout le disque/partition (via le bios sur les portables avec TPM ou via Truecrypt ou l'install de l'OS) ou au moins du home si sous Linux (proposé à l'install de Mint et Ubuntu par exemple) permet d'avoir un niveau de sécurité bien supérieur et n'est pas trop contraignant à l'install mais faire ça une fois l'OS en place prends du temps et peux être plus risqué.
Dans tous les cas, mettre les mots de passe et URL sensibles mais pas faciles à retenir dans un Keepass ou similaire plutôt que d'enregistrer les mots de passe dans les navigateurs/gestionnaires de connexion Filezilla et similaires (voire même dans les classeurs Excel ou fichiers texte) sont une bonne pratique car même un utilisateur lambda peut utiliser l'outil et cela ne demande pas de mise en place lourde.
Le 11/10/2013 01:21, Jérémie Marguerie a écrit :
A verrouiller son PC lorsque tu pars aux toilettes et que tu ne veux pas le laisser complètement ouvert ? ;)
Et sinon oui la plupart des distributions offrent l'opportunité de chiffrer à l'installation. Je ne crois pas qu'il soit possible de chiffrer à la volée ses partitions après installation (du moins pas aisément) par contre sous Linux (contrairement à Windows et MacOS). Le seul problème du chiffrement c'est que tu es sûr de ne jamais retrouver ton PC car personne ne l'allumera donc les trackers qui se connecte au net ne seront pas efficaces.
2013/10/10 Network Info Haillicourt contact@network-info.fr:
De : frsag-bounces@frsag.org [mailto:frsag-bounces@frsag.org] De la part de Olivier MARECHAL Envoyé : jeudi 10 octobre 2013 21:09 À : Jérémie Marguerie Cc : French SysAdmin Group Objet : Re: [FRsAG] liste des mots de passe à changer si on vous vole votre laptop
+1 pour le chiffrement du portable complet et un super mot de passe pour la session (ou les sessions présentes en local).
Un mot de passe de session ne sert à rien ….
On 11/10/2013 01:48, Jean Weisbuch wrote:
Sauf erreur de ma part, sous Windows, sans le mot de passe de session, même en ayant un compte admin sur l'OS, on ne peux pas accéder aux boites mail Outlook/Windows Live Mail (ainsi que Thunderbird il me semble, à vérifier) ni aux mots de passe enregistrés des principaux navigateurs d'un compte.
C'est le cas pour les logiciels Microsoft en général (mot de passe de partage réseau, Internet Explorer, etc.) mais pas pour les logiciels tiers. Pour ces derniers un bon moyen d'y arriver consiste à activer le chiffrement NTFS (dans les propriétés, quoi) pour le dossier qui contient ton profil Firefox/Thunderbird/whatever. Cela chiffre les données avec une clé dérivée de ton mot de passe Windows, donc quelqu'un qui n'a pas ton mot de passe ne pourra pas lire ces dossiers.
Bon, par contre il me semble que les algos de chiffrement utilisés ne sont pas forcément bullet-proof, donc il faut éviter de se reposer sur ça contre des attaquants déterminés.
Le 10/10/2013 19:10, Jérémie Marguerie a écrit :
Chiffre ton PC: Luks (Linux) ou BItlocker (Windows) ou natif sous MacOS et tu n'auras plus à te poser la question :)
+1 au détail près que de nombreuses distributions GNU/Linux permettent de chiffrer les partition sans rien installer de plus et ce dès l’installation.
tout comme sous Windows : http://technet.microsoft.com/fr-fr/library/hh831412.aspx
pour OS X , rien à installer non plus, juste une configuration à faire après l'installation, mais bon chiffrer son OS avant ou après installation par défaut ça ne change pas grand chose ...
On 2013-10-10, at 3:12 PM, alarig alarig@swordarmor.fr wrote:
Le 10/10/2013 19:10, Jérémie Marguerie a écrit :
Chiffre ton PC: Luks (Linux) ou BItlocker (Windows) ou natif sous MacOS et tu n'auras plus à te poser la question :)
+1 au détail près que de nombreuses distributions GNU/Linux permettent de chiffrer les partition sans rien installer de plus et ce dès l’installation.
-- alarig http://swordarmor.fr/ <0x6B202B88.asc>_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 10/10/2013 21:17, Arnaud Landry a écrit :
tout comme sous Windows : http://technet.microsoft.com/fr-fr/library/hh831412.aspx
pour OS X , rien à installer non plus, juste une configuration à faire après l'installation, mais bon chiffrer son OS avant ou après installation par défaut ça ne change pas grand chose ...
Perso si c'est du windows, j'aurais plus parler de TrueCrypt qu'un truc de MickeySoft...mais bon : http://www.truecrypt.org/
Cdlt,
sauf que ce n'est pas natif à l'OS ^^
et si le problème est lié à la confiance envers l'éditeur , autant ne carrément pas installer l'OS et partir vers autre chose ;)
On 2013-10-10, at 3:58 PM, Jean-Yves LENHOF jean-yves@lenhof.eu.org wrote:
Le 10/10/2013 21:17, Arnaud Landry a écrit :
tout comme sous Windows : http://technet.microsoft.com/fr-fr/library/hh831412.aspx
pour OS X , rien à installer non plus, juste une configuration à faire après l'installation, mais bon chiffrer son OS avant ou après installation par défaut ça ne change pas grand chose ...
Perso si c'est du windows, j'aurais plus parler de TrueCrypt qu'un truc de MickeySoft...mais bon : http://www.truecrypt.org/
Cdlt, _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 10/10/2013 22:01, Arnaud Landry a écrit :
sauf que ce n'est pas natif à l'OS ^^
et si le problème est lié à la confiance envers l'éditeur , autant ne carrément pas installer l'OS et partir vers autre chose ;)
Le souci du chiffrement natif des OS Win et Mac c'est qu'on sait qu'ils sont permissifs au travers d'application de forensic. Pas trop le temps de vous retrouver les liens qui en parlent mais ça doit pas être compliqué à trouver puis bon c'est pas comme si une loi imposait à un éditeur ou fabricant de matos de donner un moyen d'accès (master key) au gouvernement US quand ils veulent vendre sur le territoire.
Bref il reste le chiffrement luks sous Linux où il ne me semble pas avoir vu passer de news là dessus mais ça doit propablement exister.
Pour ma part je procède ainsi pour les portables :
- chiffrement des partitions par l'OS, ça bloque les voleurs de portables c'est toujours ça. - mot de passe session pour verrouiller rapidement c'est quand même pratique. J'avais tenté de chiffrer mon home sous Linux en plus de l'os mais même sur un ssd ça commençait à ramer - une fois logué, faut que je monte un conteneur Trucrypt pour accéder à mes documents, clef ssh, certificats et fichiers Keepassx - Firefox n'a pas le droit d'enregistrer de mot de passe, pour l'authentification on utilise des certificats ssl dans le navigateur. Je bloque tous les cookies tiers en dehors du domaine que je visite et les cookies et sessions du site sont purgés dès que je ferme l'onglet.
Avec cela je dors un peu plus tranquille même si y a forcément toujours moyen de pénétrer au travers de ces défenses.
Hello,
Le 11 oct. 2013 à 12:41, Wallace wallace@morkitu.org a écrit :
Le 10/10/2013 22:01, Arnaud Landry a écrit :
sauf que ce n'est pas natif à l'OS ^^
et si le problème est lié à la confiance envers l'éditeur , autant ne carrément pas installer l'OS et partir vers autre chose ;)
Le souci du chiffrement natif des OS Win et Mac c'est qu'on sait qu'ils sont permissifs au travers d'application de forensic. Pas trop le temps de vous retrouver les liens qui en parlent mais ça doit pas être compliqué à trouver puis bon c'est pas comme si une loi imposait à un éditeur ou fabricant de matos de donner un moyen d'accès (master key) au gouvernement US quand ils veulent vendre sur le territoire.
Bref il reste le chiffrement luks sous Linux où il ne me semble pas avoir vu passer de news là dessus mais ça doit propablement exister.
Enfin bon on parlais du moment ou on vous vole un portable. Si c'est pour ne pas être déchiffré par la NSA, alors je vous conseille la machine a écrire.
Pour ma part je procède ainsi pour les portables :
- chiffrement des partitions par l'OS, ça bloque les voleurs de portables c'est toujours ça.
- mot de passe session pour verrouiller rapidement c'est quand même pratique. J'avais tenté de chiffrer mon home sous Linux en plus de l'os mais même sur un ssd ça commençait à ramer
Je peux confirmer que chiffrer via l'OS est quand même un truc qui fait très sérieuxement rammer les portable (et la batterie en prends un coup).
- une fois logué, faut que je monte un conteneur Trucrypt pour accéder à mes documents, clef ssh, certificats et fichiers Keepassx
- Firefox n'a pas le droit d'enregistrer de mot de passe, pour l'authentification on utilise des certificats ssl dans le navigateur. Je bloque tous les cookies tiers en dehors du domaine que je visite et les cookies et sessions du site sont purgés dès que je ferme l'onglet.
Le mieux, c'est toujours ne pas enregister les mdp (pas facile...) et aussi se baser avec des OTP pour tout accès "vpn / mail /etc"...
Après les "gens" qui collent des datas sur du "clowd" (dropbox / facebooque / twitter / linkedin / hotmail &co ...) faut quand même penser que leur mdp ne permettrons pas d'avoir des data sécurisés... sauf si on le chiffres a coup de GPG par ex....
Donc... en clair si vous chiffrez vos disques et que vous mettez vos données dans le divers clowd, il faut rayer la mention inutiles, vos données sont déjà dans les sauvagardes de la NSA, et de nos services de renseigments (idem avec les mails chez gmail / outlook 365 et ses amis).
Xavier
Le 11/10/2013 12:56, Xavier Beaudouin a écrit :
Enfin bon on parlais du moment ou on vous vole un portable. Si c'est pour ne pas être déchiffré par la NSA, alors je vous conseille la machine a écrire.
Exact c'est ce qu'aurais fait la Russie pour certains haut niveau secret défense depuis cet été.
Je peux confirmer que chiffrer via l'OS est quand même un truc qui fait très sérieuxement rammer les portable (et la batterie en prends un coup).
Sur lucks j'ai pas trouvé, en tout cas pas de manière significative que ça soit niveau batterie ou charge cpu.
- une fois logué, faut que je monte un conteneur Trucrypt pour accéder à mes documents, clef ssh, certificats et fichiers Keepassx
- Firefox n'a pas le droit d'enregistrer de mot de passe, pour l'authentification on utilise des certificats ssl dans le navigateur. Je bloque tous les cookies tiers en dehors du domaine que je visite et les cookies et sessions du site sont purgés dès que je ferme l'onglet.
Le mieux, c'est toujours ne pas enregister les mdp (pas facile...)
une question d'habitude mais avec un keepass c'est assez rapide Ctrl B pour récupérer le login Ctrl C pour le mot de passe et hop, y a aussi un Ctrl V qui est sensé remplir les champs de la fenêtre de l'arrière plan tout seul mais ça marche pas sur tous les sites du coup je l'utilise pas.
et aussi se baser avec des OTP pour tout accès "vpn / mail /etc"...
Le OTP sur ces services oui j'aimerais bien faut que je creuse un peu.
Après les "gens" qui collent des datas sur du "clowd" (dropbox / facebooque / twitter / linkedin / hotmail &co ...) faut quand même penser que leur mdp ne permettrons pas d'avoir des data sécurisés... sauf si on le chiffres a coup de GPG par ex....
Ha c'est sur que si on est cohérent on fait rien dans le cloud ce qui est notre cas, enfin si on a un espace de synchro par ssh sur notre infra pour ce qui est des fichiers du truecrypt qu'on veut avoir sur nos différents postes. Ce serveur est lui aussi chiffré sur ses partitions et on sait où il est physiquement et qui y a accès.
Le fait de chiffrer et poser dans un cloud nsa c'est quand même donner ses infos certes chiffrés aux américains, libre à eux de s’entraîner dessus ou attendre qu'une faille apparaisse, qu'une erreur de l'utilisateur (genre même mot de passe utilisé ailleurs) ou autre pour pouvoir lire. Si déjà récupérer les données devient compliqué (genre attendre que tu te pointes à la douane pour te prendre ton portable), là il faut déjà plus de motivation.
Donc... en clair si vous chiffrez vos disques et que vous mettez vos données dans le divers clowd, il faut rayer la mention inutiles, vos données sont déjà dans les sauvagardes de la NSA, et de nos services de renseigments (idem avec les mails chez gmail / outlook 365 et ses amis).
Quand j'ai vu que les gendarmes FR ont une master clef sur Gmail pour lire ce qu'ils veulent en cas de réquisition ça laisse imaginer le champs des possibilités. Ils leur suffit de valider le domaine mail pro raccroché à Gmail pour avoir accès à toutes les bal. Faut être cohérent du début à la fin c'est un fait, le seul élément qui est pénible c'est les smartphones, j'ai arrêté Apple pour cette raison et d'autres, sur Android j'ai mis une cyanogen, j'ai quand même mis les applis Google pour finalement laisser installer que maps. J'ai supprimé toute synchro du téléphone et pas accroché de compte Google dessus. Mais je doute que ça soit suffisent du coup y a pas de données persos et encore moins pro dessus.
Le vendredi 11 octobre 2013 12:56:45, Xavier Beaudouin kiwi@oav.net a écrit:
Je peux confirmer que chiffrer via l'OS est quand même un truc qui fait très sérieuxement rammer les portable (et la batterie en prends un coup).
Je sais pas quel algorithme pourrait faire tellement ramer un ordi récent pour du chiffrage de disque, car sur un vulgaire PC de poche tournant à 8 Mhz (oui, Mégahertz !) avec un logiciel tel que Secdev (qui chiffre une partition virtuelle en IDEA 128 bits), le ralentissement n'est sensible que lors de l'enregistrement de fichiers de plusieurs centaines de Ko...
A+ Jacques.
Salut, Le 11 oct. 2013 à 15:50, Jacques Belin jbelin@oryva.net a écrit :
Le vendredi 11 octobre 2013 12:56:45, Xavier Beaudouin kiwi@oav.net a écrit:
Je peux confirmer que chiffrer via l'OS est quand même un truc qui fait très sérieuxement rammer les portable (et la batterie en prends un coup).
Je sais pas quel algorithme pourrait faire tellement ramer un ordi récent pour du chiffrage de disque, car sur un vulgaire PC de poche tournant à 8 Mhz (oui, Mégahertz !) avec un logiciel tel que Secdev (qui chiffre une partition virtuelle en IDEA 128 bits), le ralentissement n'est sensible que lors de l'enregistrement de fichiers de plusieurs centaines de Ko...
Imaginons que tu chiffre tout ton disque dur (certains OS : Windows / MacOS, le font par défaut...) alors quand tu t'amuses a lire les libs ... et bien ton ordi : lis les data sur les HD et après les déchiffrent.
Donc a la fin tu a l'impression que ca ramme parce que ça augmente la latence (et puis aussi ca mange du CPU).
Apres, dans ton PC de poche, je pense aussi que ton chiffrement aussi a un cout en terme de latence.
...
Xavier
Salut,
Xavier Beaudouin wrote on Fri, Oct 11, 2013 :
Le 11 oct. 2013 à 15:50, Jacques Belin jbelin@oryva.net a écrit : Imaginons que tu chiffre tout ton disque dur (certains OS : Windows / MacOS, le font par défaut...) alors quand tu t'amuses a lire les libs ... et bien ton ordi : lis les data sur les HD et après les déchiffrent.
Donc a la fin tu a l'impression que ca ramme parce que ça augmente la latence (et puis aussi ca mange du CPU).
En pratique, la lib est lue une fois et reste en cache si t'as assez de ram (en clair), donc le coût est pas scandaleusement élevé sauf si tu es très limité à ce niveau.
J'ai jamais fait de transition pas luks->luks sur le même hardware, mais je suis très content des perfs que j'ai pu observer avec. S'il y a un seul point que je regrette c'est que quand on chiffre tout l'OS, c'est très compliqué de dropper le mot de passe de chiffrement du disque au verrouillage de session (cryptsetup luksSuspend/luksResume) sans pas mal de boulot de coordination (la doc officielle luks dit de ne jamais couper le chiffrement sur la partoche qui contient cryptsetup; en pratique luksSuspend passe si on s'assure que "ça" reste en ram (via par exemple memlockd), mais c'est à vos risques et périls :D) (et j'ai pas encore réussi à le faire passer en veille et en ressortir vivant en suivant le même principe, mais je compte bien y arriver un jour)
-
alarig -
arnaud landry -
Aurelgadjo -
Dominique Martinet -
Etienne Dechamps -
Jacques Belin -
Jean Weisbuch -
Jean-Yves LENHOF -
Jonathan bartoua Schneider -
Julien Escario -
Jérémie Marguerie -
Network Info Haillicourt -
Olivier MARECHAL -
Sylvain Viart -
Wallace -
Xavier Beaudouin