Et si on reparlait encore de sécurité des données ?, Réactions à la publication du 12/06/2016

[tenets]

Juste une question à propos de la création de DMG cryptés avec Utilitaire de Disque : depuis El Capitan, impossible de dépasser 100 Mo pour la capacité image disque.
Un tuyau éventuel pour contourner ce bridage ?

Va voir ce message : ici

Merci aranaud ! ça fonctionne effectivement.
Franchement, on se passerait bien de ce type de "bug" sur Mac !

Merci pour l'info.
Il suffirait de ralentir pour ne pas sortir des "nouveauté" peu utiles ou pire mal ficelées en soft et en hard.
En prime, ce serait bon pour la planète.
Réécoutez le "c'est nouveau, ça vient de sortir" de Coluche.

[annapurna]

quid de la synchronisation du dossier 1Password sur Dropbox? car celle-ci garde les infos en clair mais je crois que 1Password chiffre les siennes?
merci pour votre réponse et belle journée.

up

[yponomeute]

Et comment test on si son NAS est visible depuis l'extérieur?

En faisant des tests depuis l'extérieur. Par exemple avec un outil en ligne qui permet de scanner les ports ouverts https://www.grc.com/x/ne.dll?bh0bkyd2

[g4hd]

J'aimerais bien crypter UN dossier et non tout le disque de démarrage avec Filevault.
Ou bien j'ai mal compris l'utilisation de Filevalut ?

L'idée est que ce dossier soit quand même accessible de façon transparente… ce serait l'idéal.
Et comme ce dossier crypté serait sur plusieurs machines ou sites… ?

En fait, un système comme Dashlane ou 1 Password qui verrouille les mots de passe, à l'échelle d'un dossier qui pèse environ 1 Go aujourd'hui.

Merci pour vos suggestions.

[raoulito]

quid de la synchronisation du dossier 1Password sur Dropbox? car celle-ci garde les infos en clair mais je crois que 1Password chiffre les siennes?
merci pour votre réponse et belle journée.

up

dropbox crypte ses données, par exemple l'interface web est en https c'est pas par hasard...

J'aimerais bien crypter UN dossier et non tout le disque de démarrage avec Filevault.
Ou bien j'ai mal compris l'utilisation de Filevalut ?

L'idée est que ce dossier soit quand même accessible de façon transparente… ce serait l'idéal.
Et comme ce dossier crypté serait sur plusieurs machines ou sites… ?

En fait, un système comme Dashlane ou 1 Password qui verrouille les mots de passe, à l'échelle d'un dossier qui pèse environ 1 Go aujourd'hui.

Merci pour vos suggestions.

facile: créer une image disque et mettez votre répertoire dedans, placez-le en ouverture au démarrage et c'est bon

[g4hd]

J'aimerais bien crypter UN dossier et non tout le disque de démarrage avec Filevault.

facile: créer une image disque et mettez votre répertoire dedans, placez-le en ouverture au démarrage et c'est bon

J'ai appris un bon truc, ce matin ! Merci.
Jamais je n'avais fait une image-disque cryptée comme il faut.

Et merci à Lionel pour cette alerte opportune… j'ai pu vérifier ce que j'archivais dans Dropbox : ce gros dossier y était en clair > du grand n'importe quoi !!!

Ce message a été modifié par g4hd - 13 Jun 2016, 11:06.

[Lionel]

J'aimerais bien crypter UN dossier et non tout le disque de démarrage avec Filevault.

facile: créer une image disque et mettez votre répertoire dedans, placez-le en ouverture au démarrage et c'est bon

J'ai appris un bon truc, ce matin ! Merci.
Jamais je n'avais fait une image-disque cryptée comme il faut.

Et merci à Lionel pour cette alerte opportune… j'ai pu vérifier ce que j'archivais dans Dropbox : ce gros dossier y était en clair > du grand n'importe quoi !!!

Alors je n'ai pas perdu mon dimanche matin. Merci

[annapurna]

quid de la synchronisation du dossier 1Password sur Dropbox? car celle-ci garde les infos en clair mais je crois que 1Password chiffre les siennes?
merci pour votre réponse et belle journée.

up

dropbox crypte ses données, par exemple l'interface web est en https c'est pas par hasard...

J'aimerais bien crypter UN dossier et non tout le disque de démarrage avec Filevault.
Ou bien j'ai mal compris l'utilisation de Filevalut ?

L'idée est que ce dossier soit quand même accessible de façon transparente… ce serait l'idéal.
Et comme ce dossier crypté serait sur plusieurs machines ou sites… ?

En fait, un système comme Dashlane ou 1 Password qui verrouille les mots de passe, à l'échelle d'un dossier qui pèse environ 1 Go aujourd'hui.

Merci pour vos suggestions.

facile: créer une image disque et mettez votre répertoire dedans, placez-le en ouverture au démarrage et c'est bon

cela ne semble pas être le cas dans le dossier du dernier Vous et Votre Mac en kiosque...

Ce message a été modifié par annapurna - 13 Jun 2016, 12:29.

[raoulito]

cela ne semble pas être le cas dans le dossier du dernier Vous et Votre Mac en kiosque...

https://www.dropbox.com/fr/help/27
?

[be51be51]

J'ai cessé d'utiliser les NAS (il y a très longtemps déjà) quand j'ai essayé de récupérer les disques d'un raid 1 dont l'alim était tombée en rade. Les disques n'étaient pas formatés HFS+, donc impossibles à réutiliser en l'état.
Je préfère un Mac mini (avec du raid 1 en interne pour l'occasion), avec du stockage en externe si besoin.
Mais il est vrai que les NAS récents offrent des tonnes de fonctionnalités très utiles.
Et puis il y a aussi les box qui offrent une partie de ces mêmes services, accessibles tout le temps puisque toujours allumées.

J'ai eu plusieurs fois le problème, tiens pas depuis un bon moment.

Conclusion : le NAS est très bien pour la récupération de fichiers récents.
J'ai en parallèle des sauvegardes par copie intégrale, qui m'inspirent plus confiance.

Si j'ai un problème, j'aviserai.
Comme j'ai un Fusion drive, si on me vole mon micro, je ne pourrais pas racheter un matériel équivalent faire la restauration de 2,5 To de données.
Il me faudra m'adapter...

[SartMatt]

dropbox crypte ses données, par exemple l'interface web est en https c'est pas par hasard...

Oui, les données stockés sur les serveurs de Dropbox sont chiffrées. Mais ça n'a par contre strictement rien à voir avec le fait que le site web est accessible en HTTPS.

HTTPS, ça garanti juste que le chiffrement est fait pour la communication entre ton ordinateur et le serveur de Dropbox.

[Oncle Sophocle]

Désolé si cette brève va pourrir une partie du dimanche de nombreuses personnes, mais nous considérons que c'est un devoir de notre part de sensibiliser, sinon d'éduquer nos lecteurs à des règles de base de sécurité de leurs données informatiques.
(...)
Ces NAS sont donc de bonnes choses, de bonnes résolutions, mais s'ils sont vendus comme des produits faciles à installer et fiables, ce n'est hélas jamais réellement le cas.
(...)
Donc, avant d'y mettre les scans de vos pièces d'identité, vos RIB et autres avis d'imposition réfléchissez-y à deux fois. Pire, nous avons croisé à quelques reprises de superbes fichiers Word, excel ou texte intitulés, mots de passe, dans lesquels avaient été très certainement stockés tous les identifiants de connexion importants. Franchement, faire ce genre de chose est quand même tendre le bâton pour se faire frapper, non ?
(...)
Lien vers le billet original

Merci de vous inquiéter, ce n'est pas la sécurité de mes données informatiques qui peut pourrir mes dimanches.

Je n'ai aucune donnée personnelle sensible (données financières, identifiants bancaires, informations familiales, informations médicales...) sur mon disque dur, mes mots de passe sont en clair dans un carnet personnel, cryptés par Filevault et enregistrés sur une clé USB elle-même verrouillée par un mot de passe, je n'utilise pas de Trousseau ni aucun système ayant la même finalité.

Mes mots de passe les plus "durs" comportent douze caractères choisis aléatoirement parmi lettres majuscules, minuscules, chiffres et signes de ponctuation (26+26+10+7= 69 choix possibles) donnant environ 10^21 combinaisons possibles.

Je n'utlise pas de NAS, n'en ayant pas l'utilité. Par contre, je fais régulièrement des sauvegardes sur disque externe, hors connexion, des documents que je souhaite conserver.

Votre article, au delà d'agiter le chiffon rouge du piratage , soulève plusieurs questions qui méritent une analyse plus fine :

- qu'est qu'un mot passe "sûr" ?

- comment connaître la résistance d'un mot de passe aux "performances" supposées d'un système organisé pour mener des attaques par "force brute" (et conjointement, quelle serait la "performance" d'un tel système) ?

- comment les services d'hébergements sont-ils protégés ?

- dans une récente affaire (60 millions d'identifiants et mots de passe piratés sur un site de réseau social), quelle est la part de responsabilité réelle revenant à :
* la résistance des mots de passe ?
* la sécurité locale du propriétaire du mot de passe (disques, réseaux locaux...) ?
* la sécurité des transmissions ?
* la sécurité des hébergements ?

Sur ma machine, au bout de trois tentatives infructueuses d'accès à mon compte, Mac OSX me demande mon mot de passe principal. Qui des serveurs des hébergeurs externes ?

Ce message a été modifié par Oncle Sophocle - 13 Jun 2016, 14:36.

[raoulito]

dropbox crypte ses données, par exemple l'interface web est en https c'est pas par hasard...

Oui, les données stockés sur les serveurs de Dropbox sont chiffrées. Mais ça n'a par contre strictement rien à voir avec le fait que le site web est accessible en HTTPS.

HTTPS, ça garanti juste que le chiffrement est fait pour la communication entre ton ordinateur et le serveur de Dropbox.

oups, c'est ma journée des conneries

[annapurna]

cela ne semble pas être le cas dans le dossier du dernier Vous et Votre Mac en kiosque...

https://www.dropbox.com/fr/help/27
?

[SartMatt]

cela ne semble pas être le cas dans le dossier du dernier Vous et Votre Mac en kiosque...

https://www.dropbox.com/fr/help/27
?

Ça confirme bien que c'est chiffré. Avec un chiffrement jugé trop faible par l'auteur du dossier (mais l'AES-256, c'est quand même déjà pas si mal), mais chiffré quand même.

[raoulito]

https://www.dropbox.com/fr/help/27
?

cela ne semble pas être le cas dans le dossier du dernier Vous et Votre Mac en kiosque...

https://www.dropbox.com/fr/help/27
?

Ça confirme bien que c'est chiffré. Avec un chiffrement jugé trop faible par l'auteur du dossier (mais l'AES-256, c'est quand même déjà pas si mal), mais chiffré quand même.

oui en gros Icloud c'est top Du coup si vous voulez un repertoire partagé chez vous ou votre "home sharing" icloud
sinon dropbox c'est pas si mal...
enfin je decouvre avec stupeur que google et micorsoft ne cryptent ni en transit si en stockage leurs données ????

[SartMatt]

oui en gros Icloud c'est top Du coup si vous voulez un repertoire partagé chez vous ou votre "home sharing" icloud

Avec le gros défaut quand même de ne pas avoir de client sur d'autres OS que ceux d'Apple...

enfin je decouvre avec stupeur que google et micorsoft ne cryptent ni en transit si en stockage leurs données ????

Ils sont bien tous les deux en vert pour le transit, donc c'est chiffré.

Pour le stockage, comme leurs services sont très orientés web, ils ont fait le choix de la simplicité, en ne chiffrant pas. C'est pour ça que des solutions comme BoxCryptor sont "indispensables" quand on utilise Google Drive.

D'ailleurs, personnellement, même avec Dropbox, si j'y mettais des données "sensibles", je passerais par un système de chiffrement tiers : Dropbox permet de télécharger les fichiers via un navigateur web, ce qui veut dire en général que le serveur va déchiffrer le fichier avant de l'envoyer au client (l'envoi étant pour sa part re-chiffré avec une clé temporaire, vu qu'il se fait en HTTPS), et donc, ça signifie que le serveur a accès à la clé de déchiffrement. Même si ce n'est que temporairement le temps de déchiffrer le fichier demandé, ça implique que si le serveur est compromis, la clé de chiffrement peut l'être. Et si, à la limite, pour le transfert via navigateur, on peut envisager des solutions sans communiquer la clé au serveur (mais bien plus compliqué et pas compatible avec tous les navigateurs), il y a aussi des fonctionnalités qui sont clairement impossible sans que le serveur ait connaissance de la clé, comme le partage "instantané" de fichiers : pour ne pas communiquer la clé au serveur, tout partage d'un fichier obligerait à le télécharger puis à le renvoyer "en clair" (mais chiffré en HTTPS quand même) au serveur, si le partage est instantané c'est que le serveur sait déchiffrer le fichier.

[raoulito]

oui en gros Icloud c'est top Du coup si vous voulez un repertoire partagé chez vous ou votre "home sharing" icloud

Avec le gros défaut quand même de ne pas avoir de client sur d'autres OS que ceux d'Apple...

enfin je decouvre avec stupeur que google et micorsoft ne cryptent ni en transit si en stockage leurs données ????

Ils sont bien tous les deux en vert pour le transit, donc c'est chiffré.

Pour le stockage, comme leurs services sont très orientés web, ils ont fait le choix de la simplicité, en ne chiffrant pas. C'est pour ça que des solutions comme BoxCryptor sont "indispensables" quand on utilise Google Drive.

D'ailleurs, personnellement, même avec Dropbox, si j'y mettais des données "sensibles", je passerais par un système de chiffrement tiers : Dropbox permet de télécharger les fichiers via un navigateur web, ce qui veut dire en général que le serveur va déchiffrer le fichier avant de l'envoyer au client (l'envoi étant pour sa part re-chiffré avec une clé temporaire, vu qu'il se fait en HTTPS), et donc, ça signifie que le serveur a accès à la clé de déchiffrement. Même si ce n'est que temporairement le temps de déchiffrer le fichier demandé, ça implique que si le serveur est compromis, la clé de chiffrement peut l'être. Et si, à la limite, pour le transfert via navigateur, on peut envisager des solutions sans communiquer la clé au serveur (mais bien plus compliqué et pas compatible avec tous les navigateurs), il y a aussi des fonctionnalités qui sont clairement impossible sans que le serveur ait connaissance de la clé, comme le partage "instantané" de fichiers : pour ne pas communiquer la clé au serveur, tout partage d'un fichier obligerait à le télécharger puis à le renvoyer "en clair" (mais chiffré en HTTPS quand même) au serveur, si le partage est instantané c'est que le serveur sait déchiffrer le fichier.

mmhmm donc données sensibles sur icloud (qui existe pour window,s la preuve, on peut récupérer les fichiers sur l'autre ordi avec icloud pour windows..). en fait c'est surtout sur android le probleme et là il y a que les webapp apple

[Nathan]

Et comment test on si son NAS est visible depuis l'extérieur?

Pourquoi ? tu ne fais pas confiance à l'interface de gestion de ta box ???

c'est une boutade ?

Depuis quand on se crois en sécurité derrière sa box ?

La meilleur sécurité d'une machine de prod c'est lorsque elle est déconnecte de tout réseau d'avoir une autre pour le surf avec juste de quoi surfer et avant de la mettre en ligne... clone par 2 images disques pour re-ecraser régulièrement celle ci ...

ou pas de web du tout quand c'est possible ...

exemple de pillage de brevets


Apres le cloud nous pend au nez et un jour macOS (je sais pas quel nom à la con) sera dans le cloud et mon mac se connectera dessus pour l'utiliser à la maniere des Chromebook

Ce message a été modifié par Nathan - 13 Jun 2016, 22:12.

[tenets]

Depuis quand on se crois en sécurité derrière sa box ? B)

La meilleur sécurité d'une machine de prod c'est lorsque elle est déconnecte de tout réseau d'avoir une autre pour le surf avec juste de quoi surfer et avant de la mettre en ligne... clone par 2 images disques pour re-ecraser régulièrement celle ci ...

En voilà une bonne idée, mais elle est au delà de mes "compétences".
Où trouver un tuto avec une livebox ?
On nous livre une box sans les infos de paramètrage évolué ! Une honte !
Et si on mettait orange en demeure de fournir une doc ?

[SartMatt]

Et si on mettait orange en demeure de fournir une doc ?

La doc est disponible en ligne, depuis l'espace client.

Par exemple, pour une Livebox Play : http://assistance.orange.fr/medias/woopic/...ay_20151008.pdf

[Lionel]

Rappel nécessaire de temps en temps. Dans le Nas, on peut aussi penser à changer les ports par défaut (web, ftp, ssh...), ça peut déjà embêter les bots et les hackers du dimanche. Ça demande aussi des manip' dans le routeur pour l'accès extérieur. Hélas ces manip' ne sont pas toujours évidentes pour tout le monde.

Tiens, tu as un port exotique, 2000 ouvert sur ton IP.
non, désolé, changer les ports est totalement inutile.

[raoulito]

Rappel nécessaire de temps en temps. Dans le Nas, on peut aussi penser à changer les ports par défaut (web, ftp, ssh...), ça peut déjà embêter les bots et les hackers du dimanche. Ça demande aussi des manip' dans le routeur pour l'accès extérieur. Hélas ces manip' ne sont pas toujours évidentes pour tout le monde.

Tiens, tu as un port exotique, 2000 ouvert sur ton IP.
non, désolé, changer les ports est totalement inutile.

Whow... Demonstration !!

[Lionel]

Désolé mais il faut prendre conscience de certaines fausses croyances en terme de sécurité.

[No6]

En voilà une bonne idée, mais elle est au delà de mes "compétences".
Où trouver un tuto avec une livebox ?
On nous livre une box sans les infos de paramétrage évolué ! Une honte !
Et si on mettait orange en demeure de fournir une doc ?

Ridicule!
L'interface d'Orange pour ses liveBox est plutôt bien fait.
sur chaque page il y a une colonne à droite qui indique une aide sur les fonctionnalité à régler à gauche.

Ce n'est pas le rôle d'une doc de faire un cours sur des "compétences" sur les réseau.
Et pour un novice un peu curieux, les indications dans la colonne d'aide à droite sont suffisamment clair pour évoquer les notions techniques mises en oeuvre, à toi d'aller chercher dans les milliers de tutoriels et vidéo sur la toile qui traitent ses sujets.

Une compétence technique c'est un boulot ou il faut donner un minimum de soi même.
Faut arrêter de croire que tout doit être facile et simple, ça risque au contraire de te compliquer la vie.

[castor74]

Ben vous êtes gentils avec vos «compétences», mais... Vous en avez en matière d'électricité? Votre compteur est-il en bon état, bien fait, bien isolé? Votre chauffe-eau est il bien réglé, bien isolé? Vos frigos sont-ils correctement installés? Votre compteur-d'eau ne risque-t-il pas de geler cet hiver? Votre plomberie a-t-elle été bien révisée lors de la dernière intervention du plombier? Votre installation au gaz (si vous en avez une...) est-elle correctement paramétrée? Pas de risque d'explosion? Quand vous prenez votre voiture, vous savez parfaitement ce que le garagiste a fait dessus? Les freins ont-ils été vérifiés? Les suspensions aussi?
Plus largement, l'avion dans lequel vous montez, est-il bien entretenu? Pas de pièces de contrefaçons? Pas de sonde Pitot en rade?
Allons donc, presque personne à part un geek fondu de techno ne peut savoir ce qu'il faut faire pour protéger ses données à fond... Le pékin moyen patine déjà sur les termes, et ce n'est pas en lui disant qu'il «n'a qu'à» que ça va beaucoup l'aider!

[SartMatt]

Ben vous êtes gentils avec vos «compétences», mais... Vous en avez en matière d'électricité? Votre compteur est-il en bon état, bien fait, bien isolé? Votre chauffe-eau est il bien réglé, bien isolé? Vos frigos sont-ils correctement installés? Votre compteur-d'eau ne risque-t-il pas de geler cet hiver? Votre plomberie a-t-elle été bien révisée lors de la dernière intervention du plombier? Votre installation au gaz (si vous en avez une...) est-elle correctement paramétrée? Pas de risque d'explosion? Quand vous prenez votre voiture, vous savez parfaitement ce que le garagiste a fait dessus? Les freins ont-ils été vérifiés? Les suspensions aussi?
Plus largement, l'avion dans lequel vous montez, est-il bien entretenu? Pas de pièces de contrefaçons? Pas de sonde Pitot en rade?

Quand je sais pas faire, j'appelle un professionnel. C'est pas plus compliqué que ça.

Le problème, c'est qu'en informatique il y a plein de choses très simples qui font croire aux gens que tout devrait l'être (ou pire, qui leur fait croire que tout l'est !). Résultat, on se retrouve avec des gens sans aucune compétence qui configurent eux même des choses qui peuvent nécessiter quelques compétences, plutôt que d'aller appeler un professionnel pour faire correctement le boulot.

Bon cela dit, quand on voit certaines installations électriques ou de plomberie, on voit qu'il n'y a pas que dans l'informatique que des incompétents font eux même en se croyant compétents

[Lionel]

Merci SartMatt de ces explications. Je ne peux donner des cours de sécurisation poussée sans donner des cours de piratage par la même occasion. Voilà pourquoi je suis obligé de rester vague.

[castor74]

Merci SartMatt de ces explications. Je ne peux donner des cours de sécurisation poussée sans donner des cours de piratage par la même occasion. Voilà pourquoi je suis obligé de rester vague.

Certes, ça se comprend... Mais alors, si je demande l'aide d'un pro, il va me dire la même chose?

[No6]

Ben vous êtes gentils avec vos «compétences», mais... /../ Pas de sonde Pitot en rade?
Allons donc, presque personne à part un geek fondu de techno ne peut savoir ce qu'il faut faire pour protéger ses données à fond... Le pékin moyen patine déjà sur les termes, et ce n'est pas en lui disant qu'il «n'a qu'à» que ça va beaucoup l'aider!

Personne n'a écris ici ton «n'a qu'à»
j'ai fait une recherche sur l'ensemble des post ici, cela n’apparaît nulle part.

J'ai aussi du mal à voir ou tu veux en venir.
Selon toi, il vaudrait mieux ne pas évoquer les problèmes de sécurité parce d'éventuels lecteurs ne sont pas capable de comprendre ce qu'ils lisent ??

Ce message a été modifié par No6 - 14 Jun 2016, 15:34.