Articles précédents : Logiciel
- [73] Nouvelle version majeure de bash
- [4] Le projet Eclipse Web Tools Platform a démarré !
- [29] Sortie de la première version stable de OpenSSI
- [7] PDFMap v2.0 est sorti, dans toutes les bonnes crémeries !
- [40] FreeMind : décapsuleur de cerveau
- [37] Quelques précisions sur la bibliothèque de traitement d'images 'INRIA'
- [55] iRATE ou pirate ?
- [11] InkScape 0.39 et OpenClipart
- [77] Une bibliothèque graphique de l'INRIA Sophia-Antipolis sous GPL
- [4] Muse 0.7.0 est sorti, MuseScore progresse
Liens connexes
- Projet sur Freshmeat (378 hits)
- Homepage du Projet (713 hits)
- Changelog (191 hits)
- Mailing list (237 hits)
Dépêche modérée par
Dépêche éditée par
Logiciel : pam_usb 0.3.1 dans les bacs
Posté par Andrea Luzzardi (page perso, ). Modéré le 02 août 2004.
La plus grande nouveauté sur cette branche 0.3.x est l'utilitaire usbhotplug qui permet de démarrer l'économiseur d'écran (xlock) dès que la clé USB est retirée et de l'arrêter une fois que la bonne clé USB a été remise (NdM : l'authentification de la "bonne" clé USB est basée sur l'algorithme cryptographique DSA).
L'action à effectuer lors de l'insertion et du retrait de la clé USB est configurable : en effet usbhotplug permet de démarrer un script shell quand la clé est insérée et un deuxième script dès qu'elle est enlevée.
Cette dernière version inclut des changements au niveau de la gestion mémoire, ce qui devrait augmenter sa fiabilité.
Des modifications ont été apportées à la documentation qui visent à la rendre plus simple. La traduction de celle-ci (notamment en français) devrait venir dans les prochaines semaines.
![[en]](../../../images/en.png)
Projet sur Freshmeat (378 hits)-
Homepage du Projet (713 hits)
-
Changelog (191 hits)
-
Mailing list (237 hits)
> Lire les commentaires (33 commentaires, moyenne: 2,8).
c'est bien sympa comme idée
je me pose une question sur la stratégie de mise en place : est-ce que ça implique qu'on peut ne plus donner le mdp aux utilisateurs?
Et est-ce que ça peut demander au contraire un mdp qui correspond à la clé?
-
[^]Re: c'est bien sympa comme idée
Posté par Bernard Massot () le 03/08/2004 à 16:56. (lien). Évalué à 4.Réponse valant pour nombre d'autres postes du même genre dans cette news : http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html(...) !
Ce n'est pas le problème de pam_usb de rajouter un autre système d'authentification. Il s'intègre de façon tout à fait normale à PAM, point barre (RTFM PAM pour les détails techniques).
Sécurité ?
C'est clair que s'il n'y a plus de mot de passe demandé, la clé usb c'est comme un badge avec un code barre ! Tu te la fait voler, tu es trés mal !
-
[^]Re: Sécurité ?
Posté par Grégory Legarand (page perso, ) le 03/08/2004 à 07:25. (lien). Évalué à 4.Ahlala, ça me rappelle les cours de sécurité tout ça.
En fait, pour l'instant, la sécurité est basée sur "qui tu es" et "ce que tu sais", soit ton nom d'utilisateur et ton mot de passe. En plus de ça, on cherche de plus en plus à prendre en compte le "ce que tu possède", comme ce machin-bidule-clef-USB.
Pour l'instant, ces trois composantes sont assez simples, mais ça peut exister en plus complexe: identification par empreinte digital ou iris de l'oeil (qui tu es, car unique), mot de passe (difficile de trouver autre chose là) et badge magnétique/electronique.-
[^]Re: Sécurité ?
Posté par Croconux () le 03/08/2004 à 08:31. (lien). Évalué à 8.mais ça peut exister en plus complexe: identification par empreinte digital ou iris de l'oeil
Ah, la biométrie. C'est un truc super hype et pas trop utilisable. Effectivement il s'agit de données uniques mais le gros problème c'est qu'elles peuvent légèrement varier. Tu portes des lentilles? de lunettes? Ah bah ça marche plus. Tu as une inflammation à un oeil? Idem. En fait l'avantage c'est que le risque de faux positifs est très faible. Le gros problème c'est que le risque de faux négatif est important. Ca agace très vite de ne pas pouvoir bosser parce que ce satané bidule d'authentication te dis que tu n'es pas toi. Qui ne se souviens pas de la pub avec le gars enrhumé qui ne peut pas rentrer chez lui parce que l'authentification est basée sur la voix et qu'il parle du nez.
Pour le empreintes digitales, il me semble que les boites qui vendent ça ont oublié pourquoi la police les utilise : Parce qu'on les laisse trainer sur tout ce qu'on touche!!! C'est pas beau comme système de sécurité? L'équivalent du mot de passe grifonné sur un post-it placé en évidence sur le moniteur.-
[^]La sécurité de la biometrie telle qu'on l'utilise est en question.
Posté par djano () le 03/08/2004 à 09:25. (lien). Évalué à 5.Oui mais ce n'est pas le seul probleme.
Notamment les empreintes digitales:
Un chercheur japonnais a reproduit une empreinte digitale avec de la gelatine. Resultat: il trompait 70% des appareils charges de faire la verification.
On ne sait peut-etre pas encore comment contourner les autres techniques biometriques, mais il est tout a fait envisageable que l'on y arrive un jour ou l'autre : Pensez a la greffe d'yeux que l'on voit dans minority report.
La problematique securitaire est aussi le fait que l'on confonde le "qui tu es" et le "ce que tu sais". La biometrie devrait seulement etre utilisee pour tester le "qui tu es". Cela resoudrait les problemes ci-dessus.
L'avantage serait de rendre plus difficile de prouver qui l'on est et empecherait les attaques en "brute force".
Malheureusement les inconvenients cites ci-dessus sont un frein important a cela.-
[^]Re: La sécurité de la biometrie telle qu'on l'utilise est en question.
Posté par djano () le 03/08/2004 à 09:28. (lien). Évalué à 2.Je n'avais pas tout lu!
regardez ce post ci-dessous:
http://linuxfr.org/2004/08/03/16960.html#455041(...)
-
-
[^]Re: Sécurité ?
Posté par KiKouN (Jabber id, ) le 03/08/2004 à 09:27. (lien). Évalué à 1.Pour contourner ces problèmes, on pourrai mélanger les solutions, du style, premier login, tu rentre ton mdp et ton empreinte digitale. Après, pour quelques heures, seule ton empreinte suffit.
Où bien, tu rentre ton mdp et ton empreinte digitale ou autre pour valider ta clé usb pendant la journée. Si tu perds ta clé pendant la journée, tu vas sur un autre poste et tu d'identifie avec la même méthode que pour valider ta clé afin de la désactivée.
Puis de temps en temps, un ptit contrôle ?rétinein? pour être sûr. Le but étant de faciliter le login ou l'identification pendant la journée ou en plein milieu d'une séance de travail. Donc on peut prendre de le temps de bien s'identifier avant.--
KiKouN, Bucheron-Geek-
[^]Re: Sécurité ?
Posté par Nap () le 03/08/2004 à 17:55. (lien). Évalué à 2.le système le plus en vogue dans le genre c'est le check on card, carte à puce + biométrie
ton empreinte digitale remplace le PIN, et en plus ça résoud le problème déontologique d'un stockage centralisé des données biométrique (c'est la carte qui fait la vérification).
-
-
-
-
[^]Re: Sécurité ?
Posté par imbolcus (page perso, ) le 03/08/2004 à 08:03. (lien). Évalué à 5.moi, je vois ca dans la doc :
"Additional: To login, you have to put the USB device and type your password.
If you want to use this mode, add the following line before the auth required pam_unix.so line:
auth required pam_usb.so"
Autrement dit, ca doit repondre aux question concernant le mdp.
je suis sur que les auteurs ont ete confronte a cette question il y a bien longtemp...
Imbolcus-
[^]Re: Sécurité ?
Posté par imbolcus (page perso, ) le 03/08/2004 à 08:06. (lien). Évalué à 6.j'ai vu ca aussi :
"Key encryption
In some cases you may want to encrypt the private key. By doing this, every time you authenticate your authentication program will prompt for password to unlock the key. This is useful when for example you go to a unsafe place and someone might copy your key. Without decrypting the private key it's not possible to log on."
Imbolcus
-
[^]Re: Sécurité ?
Posté par Andrea Luzzardi (page perso, ) le 04/08/2004 à 14:55. (lien). Évalué à 3.Effectivement, l'auteur (moi) a déjà été confronté à ce problème :)
Comme l'a dit Imbolcus, il y a plusieurs solutions pour protéger la
copie et le vol de la clé USB:
- mode additional: non seulement il faut la clé, mais aussi le
password du compte demandé (implementé dès la première release, 0.1-beta1)
- cryptage de la clé privée: la clé sera cryptée en 3des/twofish/autre grâce à l'utilitaire usbadm fourni avec, pour pouvoir se logguer il faudra entrer ce password. (implementé dans la 0.2-rc1)
- access list de serial numbers: seules les clés dont le serial number est dans la liste pourront se logguer (implementé dans la 0.1-beta1).
Ces trois solutions peuvent être couplées entre elles et d'autres sécuritées seront implementées dans le futur.
Pour ce qui concerne les empreintes digitales, il y a des clés USB biometric. Je n'ai pas encore eu la possibilité d'en acheter une pour essayer (vu les prix), mais tôt ou tard je me pencherai sur cette solution (j'éspère que les donations au projet pourront m'aider à m'en procurer une)
J'ai aussi vu des commentaires qui parlaient de PINs.
Certaines clés USB supportent le montage avec password. Ces clés coûtent à peu près le même prix que les clés normales.
J'en acheterai une dans les semaines à venir pour poivoir rajouter le support PIN.
-
Peut-être une exellente idée...
Ne serait-ce pas une bonne idée si l'autentification était faite en utilisant le lecteur d'empreinte digitale que l'on commence à trouver sur quelques clés USB ? Cela résoudrait le problème d'absence de saisie de mot de passe...
Bien entendu, ce n'est valable que si ce genre de clés se généralise, mais le contraire m'étonnerait...
-
[^]Re: Peut-être une exellente idée...
Posté par Grégory Legarand (page perso, ) le 03/08/2004 à 07:27. (lien). Évalué à 1.Ca ne serait pas suffisant (enfin, ça l'est pour une utilisation basique à la maison), car on peut supposer que quelqu'un peut te forcer à t'authentifier (ou trouver une méthode pour te piquer ton empreinte digitale, à la James Bond).
-
[^]Re: Peut-être une exellente idée...
Posté par Rin Jin (page perso, ) le 03/08/2004 à 07:36. (lien). Évalué à 2.car on peut supposer que quelqu'un peut te forcer à t'authentifier
C'est le probléme de toute identification, et contre ça, pas de solutions simple.--
"On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone-
[^]Re: Peut-être une exellente idée...
Posté par Gauthier () le 03/08/2004 à 08:59. (lien). Évalué à 7.Généralement pour ce type de problème, on prévoit une sorte de fake code qui permet de prévenir de façon discrète que l'on s'est identifié sous la contrainte . On peut également imaginer la connection dans ce cas à un environement totalement fictif qui reproduit le vrai système d'information, mais avec des fausses données.
-
[^]Re: Peut-être une exellente idée...
Posté par Rin Jin (page perso, ) le 03/08/2004 à 09:34. (lien). Évalué à 4.Oui, mais ici il est question de remplacer l'identification par mots de passe par une identification par empreinte digitale. Dans ce cas, je ne vois pas trop ce que l'on peut faire[1].
Sinon, le genre de systéme que tu décris doit, je pense, fonctionner correctement. Et je ne vois d'ailleurs pas trop par quoi on pourrais remplacer l'identification par mot de passe, c'est, je pense, celle qui pose le moins de probléme.
[1] une idée, peut-être stupide, me vient en tapant ce commentaire: peut-être pourrait-on envisager l'index pour l'authentification réelle et le majeur pour l'identification falsifié telle que tu la décrit. Mais cela ne pourrait fonctionner si la personne de mauvaise volonté sait quel doigt est utilisé (et si cette personne est un peu observatrice)--
"On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone
-
-
-
[^]Re: Peut-être une exellente idée...
Posté par Colin Leroy (page perso, ) le 03/08/2004 à 09:54. (lien). Évalué à 2.ou trouver une méthode pour te piquer ton empreinte digitale
Genre, avec une scie? :)-
[^]Re: Peut-être une exellente idée...
Posté par thaodalf () le 03/08/2004 à 13:50. (lien). Évalué à 3.c'est a cause de ca que maintenant les personnes portant des valises sensibles n'ont plus de menote entre leur poigné et leur valise. il y a eu un nombre trop important de main coupé.
la nouvelle technique consiste à mettre un fil de kevlar, ou autre matériaux super dur, entre ta valise et toi. Le fil passe dans ta manche de veste, remonte vers le cou et descend vers ta taille pour y faire un tour.
le truc c'est que c'est plus dur de coupé un torse qu'une main :)-
[^]Re: Peut-être une exellente idée...
Posté par maston28 (page perso, ) le 03/08/2004 à 16:54. (lien). Évalué à 1.mouais mouais...
la on parle de protection des empreintes digitales, mais moi, si je devais accéder à cette fameuse machine protégée avec pam_usb, voila ce que je ferais :
1- je vais sur knoppix.org, je dl une iso et je la grave.
2- je mets le cd dans la machine
3- je reboote sur la knoppix.
la morale de cette histoire ? je m'appelle pas james bond, j'ai pas découpé de main ou fais une copie de l'iris du monsieur, et pourtant j'ai accès au système....
si avec ca je me tape pas une bombe sexuelle à la fin du film...!! ;)-
[^]Re: Peut-être une exellente idée...
Posté par Rin Jin (page perso, ) le 03/08/2004 à 17:18. (lien). Évalué à 2.Comme toujours, si l'admin de la machine a bien fait les choses, tu ne pourras ni booter sur le cd ni accéder au bios. Et si les données sont si importantes, il y a de fortes chances pour que tu ne puisses même pas approcher la machine.
La sécurité, c'est bien beau, mais si je peux voler la machine, tu ne pourra pas m'empécher de récupérer les données (sauf évidemment si tu crypte les données vraiment importantes). Alors le coup de la Knoppix...
je m'appelle pas james bond (...) si avec ca je me tape pas une bombe sexuelle à la fin du film...!! ;)
Si tu t'appelais James Bond, tu n'aurais pas à attendre la fin fu film :c)--
"On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone
-
[^]Re: Peut-être une exellente idée...
Posté par KiKouN (Jabber id, ) le 03/08/2004 à 17:19. (lien). Évalué à 2.Mouai, bin si tu faire ça. Je vais voir le directeur de l'administrateur réseau, on se fait pote et je me retrouve administrateur réseau à la place de l'administrateur réseau et avec un contrat.
Bon sinon, pam_usb peut convenir à certain, pas à d'autre et au lieu de gueuler la dessus, on devrait être content que l'on puisse au moins choisir entre plusieurs modes d'identification.--
KiKouN, Bucheron-Geek
-
[^]Re: Peut-être une exellente idée...
Posté par tgl () le 03/08/2004 à 17:23. (lien). Évalué à 2.Pour une machine isolée, ça n'a pas nu grand intérêt. Mais je pense que ça devient plus raisonnable dans le cas d'un réseau en entreprise par exemple. Souvent, on est dans le cas ou n'importe qui a accès au stations, mais pas n'importe qui au serveur, sur lequel sont les homedir des utilisateurs. Si quelqu'un laisse sa machine lockée, avec la clef pam_usb dans sa poche le temps de sa pause café, bah tu pourras certes rebooter sa machine sur une knoppix, mais tu pourras pas pour autant accéder à ses données.
-
-
-
-
Des authentifications
L'effficacité de telles solutions est trompeuse. L'authentification basée sur un objet possédé est bien moindre que celle d'un mot de passe contenu dans le seul cerveau de l'utilisateur.
Je ne suis pas un spécialiste de la sécurité mais il me semble que la publicité faite à ces nouveaux moyens d'authentification et particulièrement à la biométrie ressort plus de l'imposture que d'un véritable progrès technique.
L'avis d'un spécialiste sur la biométrie :
http://www.zdnet.fr/techupdate/securite/0,39020976,39125546,00.htm(...)
-
[^]Re: Des authentifications
Posté par sk () le 03/08/2004 à 08:12. (lien). Évalué à 3.L'authentification par possession n'est pas une fin en soi, tout au plus un complément à une authentification par mot de passe. Cependant, de là à dire que ca ne sert a rien, il y a tout un monde. D'ailleurs, pour faire le lien avec la news, il me semble justement que le mode par défaut de mode d'authentification de pam_usb est "clé branchée et mot de passe".
Sans la clé une méthode de bruteforcage de mot de passe est totalement inefficace, c'est quand même un plus, non ?-
[^]Re: Des authentifications
Posté par tgl () le 03/08/2004 à 09:51. (lien). Évalué à 4.Surtout que sans parler même de brute force, les mots de passes se récupèrent par bien d'autres moyens assez simples.
Faut voir que pas mal de gens utilisent les prénoms ou dates de naissance de leur enfant, ce genre de chose, et que donc deviner le mot de passe d'un collègue peut etre assez simple, pour peu qu'on ait vaguement aperçu en gros ça ressemblait quand il le tape. Et puis y'a le social engineering aussi, avec des trucs aussi simple que de demander au téléphone ou par email son mdp à quelqu'un en se faisant passer pour l'administrateur système.
Bref, cette clef USB, moi je la vois surtout comme une bonne façon de protéger les utilisateurs contre leur propre naïveté.
-
c'est bien beau mais ...
des qu'on a acces a la machine, on a acces a tout :
- dans le boot loader on peut passer l'option init=/bin/sh au noyau pour devenir root
- si le boot loader est verrouilller, on peut booter en root a l'aide d'une disquette/cd/clef usb bootable
- si le bios est verrouillé, on peut toujours effacer le mdp en boujeant un jumper/retirant la pile ou en recuperant tout simplement le DD
Bref une vrai autentification securise, c'est utile a distance, or il me semble pas que l'usb fonctionne via le reseau...
-
[^]Re: c'est bien beau mais ...
-
[^]Re: c'est bien beau mais ...
Posté par Croconux () le 03/08/2004 à 12:30. (lien). Évalué à 5.des qu'on a acces a la machine, on a acces a tout
C'est aussi ce qu'on m'a dit lors de mon premier cours de sécurité : Si l'attaquant à un accès physique à la machine pas la peine de chercher plus loin, c'est mort.
Ca me rappelle le portable qui figurait sur une pub Surcouf il y a un an. Il incluait un lecteur d'empreintes digitales pour authentifier les utilisateurs. Totalement inutile puisqu'il suffit de voler le portable et de virer la pile du bios pour retourner aux réglages d'usine. Mais bon il y a surement des directeurs informatique qui trouvent ça génial (ceux qui lisent 01).
-
[^]Re: c'est bien beau mais ...
Posté par Stéphane Salès (page perso, ) le 03/08/2004 à 13:04. (lien). Évalué à 1.ou en recuperant tout simplement le DD
c'est vrai ... qui va se rendre compte que le DD a disparu ... personne!-
[^]Re: c'est bien beau mais ...
Posté par Olivier (page perso, ) le 03/08/2004 à 13:45. (lien). Évalué à 2.Si jamais ton voleur donne plutôt dans le vol industriel que dans dans le vol à la tire, tu n'as qu'à utiliser un système de fichiers encodés comme CFS (je l'aime bien) ou TFS (il doit en exister d'autres).
http://www.crypto.com/software,(...) apt-get install cfs, etc.
<joke>Il faut alors enlever les post-it avec les mots de passe qui sont collés sur l'écran</joke>
Petite question, connaissez-vous un site de recettes *nix spécial paranos qui soit en accord avec la législation française par exemple sur le type d'encodage (lire nombre de bits) ?-
[^]Re: c'est bien beau mais ...
Posté par Xavier Teyssier (Jabber id, page perso, ) le 04/08/2004 à 08:24. (lien). Évalué à 2.Petite question, connaissez-vous un site de recettes *nix spécial paranos qui soit en accord avec la législation française par exemple sur le type d'encodage (lire nombre de bits) ?
Pour le chiffrement, si tu utilises GnuPG ou OpenSSL, tu n'as plus de limites. Voir : http://linuxfr.org/2002/08/07/9196.html(...)
-
-
-
[^]Re: c'est bien beau mais ...
Posté par Andrea Luzzardi (page perso, ) le 04/08/2004 à 15:08. (lien). Évalué à 1.Je crois que tu n'as pas saisi le but de pam_usb.
Le but de ce projet n'est pas de sécuriser une machine:
dès qu'on y a accès physique, on peut y accèder comme on veut.
Puisque quoi qu'il arrive l'accès physique sera pas sécurisé, pourquoi perdre du temps à taper le password ?
C'est la qu'intervient pam_usb. Il n'est en aucun cas plus sécurisé que le password, vu l'accès physique, mais te permet de te logguer plus facilement et plus rapidement sur ta propre machine.
Cependant, la sécurité a été le but principale pendant le dévéloppement: l'authentification se fait par des clé DSA, qui peuvent être cryptées, une ACL de serial numbers est disponible et plusieurs moyens d'identifications sont disponibles.
En dehors de l'utilisation doméstique, son utilisation est intéressante aussi au sein d'une entreprise, d'un laboratoire, d'un internet café, etc. car les gens ne s'amusent pas à demonter la machine dans des endroits pareils pour remettre à zero le password du bios :)
De plus, il inclut des utilitaires sympas tel que usbhotplug, qui permet de bloquer l'écran quand tu enlèves la clé usb, et de le débloquer dès que tu remet la bonne clé usb.
Cette page a été générée par Templeet en 0.1622s (dont 0.0402 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.