Journal Vol de smartphone et données personnelles

Posté par .
20
11
jan.
2012

Bonjour,

Je me suis fait voler mon smartphone. Jusque là, rien d'extraordinaire. J'ai naturellement bloqué la ligne et changé tous mes mots de passe, mais il semble que le voleur ait eu accès aux mails, soit parce qu'ils étaient stockés sur la carte SD, soit parce qu'il a réussi à accéder à la mémoire interne du téléphone. En effet, "quelqu'un" a tenté de remettre à zéro un de mes mots de passe, et j'ai reçu une demande de confirmation par mail.

Avec les ordinateurs, je suis parano et je chiffre les disques durs, mais je n'ai pas l'impression que l'on puisse faire ça avec Android, en dehors de quelques hacks nécessitant de rooter le téléphone, et qui n'ont pas l'air terriblement au point. D'où ma question: qu'utilisez-vous pour sécuriser vos données ? La seule solution est-elle de renoncer à utiliser les fonctionnalités d'un smartphone jusqu'à ce que ce genre de protections soient en place ?

  • # Mieux vaut prévenir que guérir !

    Posté par . Évalué à -8.

    Fallait peut-être y réfléchir avant ...

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Mieux vaut prévenir que guérir !

      Posté par (page perso) . Évalué à 10.

      J'en connais qui pourraient dire ça à leurs parents...

      • [^] # Re: Mieux vaut prévenir que guérir !

        Posté par . Évalué à -10.

        Je trouve assez irrespectueux que tu considères qu'il n'a pas le droit de vivre car il s'est fait voler son mobile. Ton propos pue tout simplement l'eugénisme, et je suis surpris qu'il ne soit pas modéré.

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

  • # Ce message

    Posté par . Évalué à -10.

    aurait plus sa place dans un forum...

    • [^] # Re: Ce message

      Posté par . Évalué à 10.

      Il soulève tout de même un problème intéressant, ça peut être une bonne idée d'en discuter ici.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Ce message

        Posté par . Évalué à -2.

        Quel problème ? Celui de ne pas exposer ses données et celles de son entourage sur un type de périphérique donc on lit quotidiennement la menace qu'il représente pour la vie privée des gens ? Sérieusement, c'est le même non-problème qu'avec les sauvegardes que tu n'as pas faites malgré la bon sens et la pratique : ce n'est pas quand ça te pète à la figure qu'il faut venir faire ton peuchère ...

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

        • [^] # Re: Ce message

          Posté par . Évalué à 5.

          Faire des sauvegardes, c'est facile. Sécuriser les données de son téléphone semble plus difficile, si j'en crois l'absence de solution exploitable pour mon téléphone. Les solutions données ici sont soit pour une version très récente d'Android, soit supposent que le vilain voleur n'a pas coupé la connexion (dans le cas du remote wipe). Je n'ai pas vu tes suggestions.

          Alors, certes, j'ai déconné si à un moment j'ai coché une option disant de stocker les mails sur la carte SD, mais en dehors de quelques semaines de mails, je n'ai pas exposé grand chose de mon entourage.

          • [^] # Re: Ce message

            Posté par (page perso) . Évalué à 3.

            prey répond à la problématique et est opensource. le site semble en panne à cet instant.

            • [^] # Re: Ce message

              Posté par . Évalué à 3.

              avant on appelait ça linuxfrisé.

            • [^] # Re: Ce message

              Posté par . Évalué à 5.

              j'ai regardé, installé, testé et je trouve qu'il ne répond pas tant que ça au problème.

              En particulier, je trouve qu'il est important d'avoir un moyen de wiper le telephone à distance.
              Prey me semble beaucoup moins bien qu'un truc comme https://market.android.com/details?id=com.androidlost

              Ce dernier fait beaucoup moins classe, surtout sur le site, mais dans les deux cas, au final, il faut avoir confiance en le fournisseur du service.

              Le must serait une solution open-source que je puisse installer sur un serveur perso !

            • [^] # Re: Ce message

              Posté par . Évalué à 1.

              Prey, c'est bien, sauf si le voleur commence par enlever couper la connexion... là, le remote wipe est difficile.

  • # Watchdroid

    Posté par . Évalué à 10. Dernière modification le 11/01/12 à 13:57.

    Sur Android (mais il existe sans doute la même chose sur iPhone) il y a des applis type watchdroid qui permettent de contrôler le téléphone à distance par SMS et de faire un wipe complet. Bon certes, il faut être rapide et le faire avant que le voleur ne change la SIM ou n'extraie la SD Card... mais c'est toujours ça.

    • [^] # Re: Watchdroid

      Posté par . Évalué à 2.

      Il me semble qu'avec androidlost tu peux être prévenu du changement de sim et donc continuer à pouvoir commander le téléphone à distance et donc pouvoir effacer les données...

  • # gpg

    Posté par . Évalué à 7.

    Sur maemo, j'enregistre certaines conversations. Generalement celle avec des services clients (en les prévenant qu'ils sont enregistrés). Pour proteger ces données extremement personelles (j'ai pas envie que l'on sache que je suis en relation avec Dentelles et Gambettes), je chiffre en assymetrique avec gpg. Le téléphone ne contient que ma clef publique. Quand j'ai besoin d'exploiter ces enregistrements, je les transfère sur mon ordinateur où je les déchiffre.

    Ce n'est pas généralistable à tous les usages, en particulier ceux où l'on à besoin d'acceder aux données sur le terminal, j'en suis conscient.

    • [^] # Re: gpg

      Posté par . Évalué à 3.

      (j'ai pas envie que l'on sache que je suis en relation avec Dentelles et Gambettes)

      raté maintnenant tout le monde le sait (merci google)

      :p

      • [^] # Re: gpg

        Posté par . Évalué à 5.

        Ouais, ben cest malin, maintenant quand je cherche dentelles et gambettes, chèvre en dentelles, ou gambettes de plus de 75 ans, je tombe sur linuxfr !

        • [^] # Re: gpg

          Posté par (page perso) . Évalué à 2.

          La première suggestion marche, mais pas les deux autres. Essaie encore !

          Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # code PIN ?

    Posté par (page perso) . Évalué à -2.

    Je n'ai pas de smartphone, un bête GSM, mais je sais qu'un voleur aura du mal à lire le contenu bêtement car il y a un code PIN. Il n'y a plus ça sur les smartphone ?

    Bon, ça ne protège pas d'un accès direct à la mémoire mais je pense pas que la majorité des voleurs aient le temps, l'envie et les compétences pour ce genre de choses (tant qu'on n'a rien d'essentiel dessus).

    • [^] # Re: code PIN ?

      Posté par . Évalué à 10.

      le code pin c'est quand tu l'allumes.
      Si ton tel se fait voler en veille, ça ne change pas grand chose, sans compter toutes les infos stockées sur carte sd...

      • [^] # Re: code PIN ?

        Posté par . Évalué à 4.

        Sur un smartphone Android, tu peux définir un code à entrer pour déverrouiller l'écran. Le code peut également être remplacé par un "pattern" à dessiner sur l'écran.

        • [^] # Re: code PIN ?

          Posté par . Évalué à 7.

          Ca n'empêche en aucun cas de retirer la carte SD et de la lire sur un ordi. D'où la question, très pertinente, de l'auteur de ce journal.

          • [^] # Re: code PIN ?

            Posté par . Évalué à 6. Dernière modification le 11/01/12 à 16:00.

            Double authentification pour le compte google.
            Écran de veille verrouillé par un dessin.
            Chiffrement total des données, avec ICS (option présente dans tout les terminaux ICS)
            Possibilité de virer des certificats, possibilité de déposer les siens.

            Ensuite, il existe une foultitude d'applications permettant d'eraser le téléphone à distance. Par exemple, pour les utilisateurs professionnels (tels que les décrit plus bas zerchauve<) il y a Google Apps Device Policy Le Bonus est que cette app écoute régulièrement (ce n'est pas un sms avec un code...) Le côté face du bonus est que entre l'envoi de la commande et l'effacement un cycle complet peut s'écouler (3 heures). Donc à utiliser en plus du verrouillage de l'écran et du chiffrement des données. La totalité des services Google App coûte 40 euros par an par utilisateur. Pour ce qui concerne la sécurité des mobiles Android, la petite partie qui nous intéresse ici, les Google App proposent ça :

            Grâce à cette application, votre administrateur Google Apps peut :

            vous demander de définir un code PIN ou un mot de passe sur votre appareil ;
            exiger l'utilisation d'un mot de passe complexe ;
            exiger le verrouillage de l'appareil si celui-ci est inactif pendant une durée déterminée ;
            effacer les données d'un appareil perdu ou volé.
            Par ailleurs, cette application vous permet d'effectuer les opérations suivantes à distance :

            Réinitialiser le code PIN
            Faire sonner votre appareil
            Verrouiller votre appareil
            Localiser votre appareil

            Pour les particuliers, ils existent aussi des applications, mais elles nécessitent les droits root. Il faut donc avoir un téléphone prêt à cela.

            Bref, l'avantage par rapoprt aux solutions Exchange/AD pour iPhone c'est l'indépendance de la solution : nul besoin d'avoir un logiciel tiers pour gérer cela, c'est inclus dans les outils d'administration de parc de Google

            • [^] # Re: code PIN ?

              Posté par (page perso) . Évalué à 3.

              Écran de veille verrouillé par un dessin.

              Faut arrêter avec ça. Si tu regardes les reflets des traces de doigt au soleil (parce que les doigts sont gras, ils laissent des traces sur les écrans), dans la majorité des cas tu peux retrouver le "dessin" !

              • [^] # Re: code PIN ?

                Posté par . Évalué à 3.

                pareil, je crois qu'il n'y a pas de miracles : un utilisateur ne changeant pas son mdp (ou son signe) régulièrement, se fera "enfariner" facilement.

                • [^] # Re: code PIN ?

                  Posté par . Évalué à 2.

                  Euh?! Je croyais que changer de mot de passe régulièrement permettait de se prévenir plus ou moins contre les attaques force brute (on génère des mots de passe à la pelle et on les essaie un par un). Parce que l'attaquant peut se retrouver d'un coup devant un mot de passe déjà essayé sans le savoir.

                  Sur un téléphone, changer de mot de passe, ça sert à quoi? Vous le posez en libre service pour que des tiers puissent tester leur attaque avant de le voler?

                  À part pour les traces de doigt, je ne vois pas l'intérêt. Et même pour les traces de doigt, il faudrait changer quasiment à chaque entrée!!

                  • [^] # Re: code PIN ?

                    Posté par . Évalué à 7.

                    Changer de mot de passe ne protège pas contre les attaques force brute, parce que ce qui intéresse l'attaquant c'est ton mot de passe actuel, il s'en fiche de tomber sur un mot de passe déjà essayé. Ce qui protège des attaques forces brute, c'est d'utiliser un mot de passe compliqué.

                    Changer de mot de passe régulièrement, ça sert juste à s'assurer que si quelqu'un a trouvé ton mot de passe à un instant T, ça ne lui servira à rien à l'instant T+1. Ca évite que quelqu'un ne garde ton mot de passe et lise tes mails pendant des années sans que tu le saches.

                    • [^] # Re: code PIN ?

                      Posté par (page perso) . Évalué à 2.

                      Ce qui protège des attaques forces brute, c'est d'utiliser un mot de passe compliqué.

                      Effectivement. Pour générer des mots de passe suffisemment compliqués on peut suivre ces instructions: http://xkcd.com/936/

                      Pour se protéger des attaques par exhaustion (ou par force brute) on peut utiliser tout bêtement changer de méthode d'authentification, par exemple utiliser des mots de passe jetables (OPIE).

                      • [^] # Re: code PIN ?

                        Posté par . Évalué à 2.

                        Le strip d'xkcd a surtout une valeur édifiante, pas vraiment pratique. Parce qu'en pratique, je ne ferais pas confiance aux sites web pour stocker l'intégralité d'une longue phrase, donc je préfère m'en tenir à 8 ou 10 caractères.

                        Par contre, des outils comme pwgen génèrent des mdp qui ne sont pas des mots du dictionnaire déformés, mais qui sont prononçables, et donc facilement mémorisables. Je ne connais pas l'algorithme donc je ne peux pas calculer la solidité comme dans le strip. Si la distribution de lettres était totalement uniforme, à 1000 tentatives par seconde, ça tiendrait des millions d'années (pour dix caractères), donc j'espère qu'avec une version prononçable ça tienne au moins quelques années.

                        • [^] # Re: code PIN ?

                          Posté par . Évalué à 3.

                          Ca dépend surtout de la manière dont tu testes ton mot de passe.
                          Si tu as réussi à récupérer un md5 non salé (et c'est malheureusement plus courant qu'on ne le croit) en 3 jours on casse un mdp de 8 caractères.
                          Si on brute force un formulaire web, ça prendra bien sur bien plus de temps.

                          • [^] # Re: code PIN ?

                            Posté par . Évalué à 1.

                            Je reprenais juste la méthode d'XKCD, soit 1000 essais par seconde sur un formulaire web. Si l'attaquant a accès la base, la solidité du mot de passe n'a (presque) aucune importance, c'est le système de stockage du pass qui compte. Il y a encore des sites qui stockent en clair, c'est le pire, mais même ceux qui font du MD5 ou SHA1 + salt ne sont plus suffisants aujourd'hui, il faut aussi hasher itérativement.

                            • [^] # Re: code PIN ?

                              Posté par . Évalué à 2.

                              mais même ceux qui font du MD5 ou SHA1 + salt ne sont plus suffisants aujourd'hui, il faut aussi hasher itérativement.

                              Peut être une question conne, mais pourquoi ce n'est plus suffisant ?

                              • [^] # Re: code PIN ?

                                Posté par . Évalué à 4.

                                Un "problème" avec les fonctions de hash, c'est qu'elles sont conçues pour être rapides. Avec OpenCL/CUDA et des cartes graphiques modernes pas trop chères, on peut calculer des centaines de millions de hashs SHA256 par seconde. Imaginons un mot de passe de 8 lettres dans [a-zA-Z0-9]. Avec un GPU à $400 on peut essayer toutes les possibilités en quelques jours.

                                Pour les performances des GPU en calcul de hashs, voir par exemple https://en.bitcoin.it/wiki/Mining_hardware_comparison

                                Du coup on utilise des techniques pour ralentir le temps de calcul d'un hash. http://en.wikipedia.org/wiki/Key_stretching

                        • [^] # Re: code PIN ?

                          Posté par (page perso) . Évalué à 3.

                          Par contre, des outils comme pwgen génèrent des mdp qui ne sont pas des mots du dictionnaire déformés, mais qui sont prononçables, et donc facilement mémorisables

                          Si je devais écrire un programme de type pwgen ou apg, je procéderai de la même manière qu'un générateur de noms de hack'n'slash, par exemple celui de tome, c'est-à-dire, de la façon suivante:

                          1. On choisit un dictionnaire (liste de mots) D
                          2. On transforme chaque mot en liste de n-uples de lettres (je choisis un symbole supplémentaire * qui n'apppartient pas à l'alphabet et je prends ici n=3) de façon à ce que le mot `Bob' devienne:

                            **B
                            *Bo
                            Bob
                            ob*
                            b**

                          3. On fait une analyse statistique (une table de transitions) des suites de triplets générés en 2.

                          4. On simule la loi empirique (générée en 3.) de la n-ième lettre de ces triplets connaissant les deux premières lettres, pour générer un nouveau mot.

                          On obtient ainsi des mots qui ressemblent aux mots du dictionnaire D mais qui n'appartiennent pas forçement à D. (Mais si D contient trop peu de mots ou bien est trop grand, on ne retrouve que les mots de D.)

                          Avec quelques précautions, cette méthode devrait donner des résultats acceptables.

                      • [^] # Re: code PIN ?

                        Posté par (page perso) . Évalué à 2.

                        Le strip d'xkcd ne tient pas compte des attaques par dictionnaire.

                        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                        • [^] # Re: code PIN ?

                          Posté par (page perso) . Évalué à 3.

                          Si si, chaque mot est compté comme 11 bits d'entropie et 2^11 = 8 * 2^8 = 2048, c'est à dire qu'il considère que chaque mot provient d'un dictionnaire de 2048 mots courants.

                  • [^] # Re: code PIN ?

                    Posté par . Évalué à 1.

                    pour les traces de doigt

                    C'est ce dont on parlait, là. C'est bien, c'est ça !
                    (et pour le mdp de compte, la double auth)

              • [^] # Re: code PIN ?

                Posté par . Évalué à 5.

                Je laisse sans doute plus de traces de doigts sur l'écran en cliquant sur plein d'icônes et en swippant d'un bureau à l'autre, qu'en déverrouillant mon téléphone.

                • [^] # Re: code PIN ?

                  Posté par (page perso) . Évalué à 0.

                  C'est probable. Sauf que quand tu verrouilles ton téléphone, c'est les dernières traces. Un peu comme si tu fais des dessins dans le sable (mouillé, parce que dans le sable sec c'est moins évident) : on pourra voir la dernière trace plus facilement.

                  • [^] # Re: code PIN ?

                    Posté par . Évalué à 6.

                    Je ne crois pas qu'il faille dessiner le motif pour verrouiller le téléphone. Par contre, le motif est certainement l'une des actions qu'on fait le plus souvent, et il arrive de déverrouiller le téléphone mais ne faire aucune action après ça. (Aussi, ne faire que cliquer sur des icones laisse peu de traces sur l'écran)

            • [^] # Re: code PIN ?

              Posté par . Évalué à 3.

              Pareil sur mon android:
              - cryptage de la partition
              - pin de la sim
              - pin de l'ecran de veille
              - apps device policy (qui permet de localiser et wipe à distance)
              (+ 2-factor auth sur le compte google)

              Ce serait vraiment cool si le device policy marchait pour les comptes Google Apps basic.

        • [^] # Re: code PIN ?

          Posté par . Évalué à 3.

          Et le pattern tu le trouve aux traces de doigt sur l'ecran...

          • [^] # Re: code PIN ?

            Posté par . Évalué à 1.

            Oui, le pattern c'est très moyen, à moins de nettoyer l'écran à chaque fois. Mon ex-smartphone était équipé d'un lecteur d'empreinte digitale sur le bouton "on". C'est très pratique, plus rapide et moins "visible" que dessiner un pattern sur l'écran. Et il y a un code numérique en backup si on veut que plusieurs personnes puissent déverrouiller le téléphone.

            • [^] # Re: code PIN ?

              Posté par . Évalué à 2.

              Oui, parce que contrairement aux traces sur l'écran, les empreintes digitales sont absolument impossible à retrouver sur un smartphone :-D

              • [^] # Re: code PIN ?

                Posté par . Évalué à 5.

                C'est quand même un peu plus technique de dupliquer une empreinte digitale que de refaire un tracé...

                • [^] # Re: code PIN ?

                  Posté par . Évalué à 5.

                  Bof, plutôt qu'arracher le portable dans la rue, il faut juste arracher le portable et la main avec.

                • [^] # Re: code PIN ?

                  Posté par . Évalué à -1.

                  Simplement on fait un pattern qui se recoupe ?

        • [^] # Re: code PIN ?

          Posté par (page perso) . Évalué à 10.

          un "pattern"

          Un motif, quoi.

        • [^] # Re: code PIN ?

          Posté par . Évalué à 2.

          Ça existe même sur les bêtes GSM depuis longtemps, ça s'appelle le code de sécurité. Même si ça règle pas le problème des données sur la carte SD ça permet d'éviter que le voleur passe des coups de fil ou bien que n'importe qui puisse lire tes SMS ou consulter ton annuaire s'il a le tél en sa possession.

    • [^] # Re: code PIN ?

      Posté par . Évalué à 2.

      Il y a plusieurs protections:

      • le code PIN associé à la carte SIM, qui empêche d'utiliser la carte SIM sur un autre téléphone ou si on reboote celui là

      • un code de verrouillage du téléphone (couplé, sur le mien, avec une reconnaissance d'empreinte digitale) qui empêche, si c'est bien fait, d'accéder à la mémoire interne du téléphone. Ce n'est pas toujours bien fait, en particulier sur de vieux modèles il me semble qu'on pouvait accéder à la mémoire via le mass-storage usb mais ce doit être résolu.

      Par contre rien n'est prévu pour sécuriser la carte SD. Il suffit de l'enlever et l'insérer ailleurs.

      • [^] # Re: code PIN ?

        Posté par . Évalué à 3.

        C'est quand même très bête, c'est pas comme si Linux et par extension Android ne disposaient de rien pour chiffrer des partitions.

        Il suffirait de formatter la SD en LUKS, ça n'empêcherait même pas de la lire sur un PC (même sous Windows grâce à FreeOTFE).

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: code PIN ?

          Posté par . Évalué à 4. Dernière modification le 11/01/12 à 16:32.

          C'est quand même très bête, c'est pas comme si Linux et par extension Android ne disposaient de rien pour chiffrer des partitions.

          Avec des performances diminuées. Je ne sais pas l'impact que cela aurait sur un téléphone. (Sur un ordinateur, c'est tout à fait supportable)

          Il suffirait de formatter la SD en LUKS, ça n'empêcherait même pas de la lire sur un PC (même sous Windows grâce à FreeOTFE).

          Ce n'est pas aussi simple sur Windows. D'abord, FreeOTFE ne marche pas sur Windows 64bits à moins de le bidouiller. Ensuite, il me semble (à vérifier) que certains outils comme ext2read ne lisent que les partitions physiques, donc pas celles que FreeOTFE crée.

          • [^] # Re: code PIN ?

            Posté par . Évalué à 2.

            Avec des performances diminuées. Je ne sais pas l'impact que cela aurait sur un téléphone. (Sur un ordinateur, c'est tout à fait supportable)

            C'est non seulement supportable, mais ça n'a quasiment pas d'impact, sauf peut-être sur des grandes quantités de données.

            Je chiffrais mes partitions sur mon T40 équipé d'un Pentium M à 1,5 GHz mono-cœur et je ne voyais aucune différence, même pour des vidéos de 1 à 2 Go.

            Je pense donc que pour des smartphones aujourd'hui équipés de processeurs à ce même niveau de fréquence et en plus multi-cœur, l'impact soit limité.

            Ce n'est pas aussi simple sur Windows. D'abord, FreeOTFE ne marche pas sur Windows 64bits à moins de le bidouiller. Ensuite, il me semble (à vérifier) que certains outils comme ext2read ne lisent que les partitions physiques, donc pas celles que FreeOTFE crée.

            Ah mince, je ne savais pas pour la version 64bits. M'enfin, s'il décide d'utiliser LUKS sur Android, Google a bien les moyens de concevoir un pilote correct pour Ext4 sur Windows 32 & 64 bits, je suppose.

            Quand bien même, je ne parlais pas de passer à Ext2/3/4 mais juste à LUKS. Celle-ci peut ensuite contenir du FAT32 ou mieux du NTFS aujourd'hui utilisable partout.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: code PIN ?

              Posté par (page perso) . Évalué à 5.

              ça reste quand même un peu cher la lecture de partitions cryptées, par exemple j'ai pu constater qu'un Atom, qui n'est pas tellement plus puissant qu'un cpu de smartphone, sature a 100% cpu pour une vitesse de lecture de 16Mo/s. Sans doute que ça ne sera dispo sur ces machines que le jour où leurs cpus auront une acceleration materielle pour ces operations crypto

              • [^] # Re: code PIN ?

                Posté par (page perso) . Évalué à 3.

                Le problème sur un smartphone c'est surtout que le déchiffrement risque de pomper la batterie. Et c'est un peu le point faible des smartphone la batterie...

                • [^] # Re: code PIN ?

                  Posté par . Évalué à 1.

                  Perso j'ai pas vu de différence (et j'imagine que c'est en hardware le chiffrement).

                • [^] # Re: code PIN ?

                  Posté par . Évalué à 3.

                  Ça peut être un problème en effet.

                  Reste qu'on ne parle pas de l'imposer partout, on demande juste à avoir le choix et le faire en connaissance de cause :

                  • la sécurité des données mais avec moins d'autonomie et de confort ;
                  • le confort et l'autonomie, mais sans protection des données.

                  Après tout, certains peuvent ne pas avoir de données particulièrement importantes dans leur smartphone. Toutefois, chacun a son usage propre et il serait bien de pouvoir y adapter l'appareil.

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: code PIN ?

                Posté par . Évalué à 2.

                Sur les téléphones, il y a la carte SIM qui pourrait peut-être servir d'accélérateur crypto...
                M'enfin bon pour ça il faudrait que les opérateurs voient la sécurité comme quelque chose de supérieur à une simple authentification permettant de s'assurer du compte à prélever.

                • [^] # Re: code PIN ?

                  Posté par . Évalué à 1.

                  Je ne suis pas sur que la carte SIM ai un débit suffisant pour faire de la crypto en direct...

              • [^] # Re: code PIN ?

                Posté par . Évalué à 2.

                Ah bon ? J'ai précisément deux machines équipées d'Atom à 1,6 GHz et je n'ai jamais remarqué de pointes comme ça lorsque je copie ou lis de gros fichiers.

                Typiquement, je manipule des vidéos entre stockages interne et externe tout deux chiffrés.

                Faudrait que je fasse le même test avec des partitions non chiffrés pour comparer, mais je trouve cela largement utilisable.

                Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: code PIN ?

              Posté par . Évalué à 5. Dernière modification le 11/01/12 à 20:40.

              Quand bien même, je ne parlais pas de passer à Ext2/3/4 mais juste à LUKS. Celle-ci peut ensuite contenir du FAT32 ou mieux du NTFS aujourd'hui utilisable partout.

              Vous avez raison, j'ai répondu ça par réflexe mais ça n'avait aucun rapport.

              Pour le problème 64bits, c'est uniquement parce que Microsoft demande de signer les pilotes 64bits par certains fournisseurs de certificats seulement (parmi les plus chers). C'est un frein au libre, et FreeOTFE ne fournit pas de binaires signés uniquement pour des raisons financières. Google pourrait très bien payer ce prix.

        • [^] # Re: code PIN ?

          Posté par . Évalué à 2.

          Le probleme c'est que cela n'est pas fait en raison des performances. Deja qu'il est impossible de bouger plein d'application sur la carte SD a cause de ce meme pretexte.

      • [^] # Re: code PIN ?

        Posté par . Évalué à 3.

        Par contre rien n'est prévu pour sécuriser la carte SD. Il suffit de l'enlever et l'insérer ailleurs.

        L'ironie du sort c'est que la carte sd supporte un mot de passe pour accéder aux données : http://en.wikipedia.org/wiki/Secure_Digital#Card_security_.28non-DRM.29

        Ca pourrait etre super simple a mettre en place (utilisation du code pin de delockage) et tres efficace

  • # Diverses solutions...

    Posté par (page perso) . Évalué à 5.

    • Sur les ordinateurs dont je n'ai pas chiffré le disque dur, et sur mon téléphone, je n'ai enregistré que peu de mot de passe. Il faut les ressaisir à chaque fois, mais ça évite des fuites en cas de vol ;

    • Sur mon mobile android, il faut saisir un code pour l'utiliser. Pas au démarrage, mais bien à chaque utilisation. Si on me le vole, accéder aux données qu'il contient en dur sera un peu plus compliqué ;

    • Enfin, la carte SD incluse, elle peut être chiffrée. Je n'ai pas encore pris le temps de le faire, mais le MISC n°58 de novembre dernier expliquait comment procéder.

  • # Galaxy tab 10.1

    Posté par . Évalué à 5.

    Pour info, la Galaxy tab 10.1 a une option pour chiffrer tout le stockage interne. Ça va peut être se démocratiser.

    • [^] # Re: Galaxy tab 10.1

      Posté par . Évalué à 2.

      Edit: Et Firefox mobile gère le master password maintenant, ce qui permet de l'utiliser sans risque avec Firefox Sync

    • [^] # Re: Galaxy tab 10.1

      Posté par . Évalué à 4.

      Oui sur android 4.0 (par "défaut" donc, dans "sécurité" > "chiffrer le téléphone") il y a aussi une option pour chiffrer le stockage interne, avec déverrouillage à l'allumage par mot de passe.

      • [^] # Re: Galaxy tab 10.1

        Posté par . Évalué à 3.

        C'est une option intéressante, surtout si le mot de passe est un peu plus complexe que le bête code à 4 chiffres de mon téléphone. Savez-vous s'il est aussi possible de chiffrer le stockage externe de cette manière ?

        • [^] # Re: Galaxy tab 10.1

          Posté par . Évalué à 5.

          J'ai trouvé plus d'info ici : http://source.android.com/tech/encryption/android_crypto_implementation.html

          Donc cette option est accessible depuis android 3.0 et non 4.0, c'est basé sur le sous système dm-crypt du noyau (chiffrement "128 AES with CBC and ESSIV:SHA256"). Ça ne chiffre apparemment que la partition /data du mobile (le seul endroit ou des données peuvent être inscrites par l'utilisateur (outre la / les cartes mémoires bien entendu).

          Il semble donc possible d'envisager le chiffrement de la carte mémoire sur une ROM de type cyanogenmod (ce serai une fonction sympa). Il y avait déjà une modification (bien antérieur à android 3) qui utilisait dm-crypt et luks pour le chiffrement du mobile.

          Néanmoins ça tue un peu le concept de carte mémoire "amovible". A méditer...

  • # la solution la plus libre

    Posté par . Évalué à 4.

    il suffit d'avoir un iphone branché sur un exchange, et de balancer un remote wipe du smartphone quand on te le pique.

    après je sais pas, ptet qu'on peut le faire avec un meego branché sur myPhpFirstGroupware, mais je suis en retard sur ma veille technologique.

    • [^] # Re: la solution la plus libre

      Posté par . Évalué à 1.

      ha ha ça moinsse, c'est parce que j'ai tapé juste \o/

      bon cela dit un android branché sur gogolSync peut se wiper aussi.

      • [^] # Re: la solution la plus libre

        Posté par . Évalué à 5.

        ça moinsse parce que la solution n'est pas optimale : il suffit de couper l'accès data, et il ne sera pas possible d'effacer à distance.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: la solution la plus libre

          Posté par . Évalué à 0.

          alors il faut un blackberry, qui permet de dire "si je n'ai pas de connexion data dans les n prochaines heures, je m'autowipe" . Ptet qu'android peut le faire aussi...

          • [^] # Re: la solution la plus libre

            Posté par . Évalué à 2.

            et la carte SD sortie du blackberry aussi elle s'autowipe ?

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

            • [^] # Re: la solution la plus libre

              Posté par . Évalué à 0.

              mettre un media amovible facilement dans un devise sécurisé, c'est débile

              • [^] # Re: la solution la plus libre

                Posté par . Évalué à 7.

                non, ce qui est débile, c'est de ne pas chiffrer ce média amovible, si on en a la possibilité.

                Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Voilà pourquoi les téléphones sont verrouillés…

    Posté par . Évalué à 4.

    … et que le déverrouillage (inclus) des Nexus implique de supprimer l'ensemble des données utilisateurs.

    En effet, en cas de vol, la moindre faille permet d'accéder au données personnelles, et ce même si il y a un code de verrouillage téléphone (j'utilise le "signe à neuf points", ça vaut ce que ça vaut) ou un code PIN (propre à la SIM, il suffit d'en mettre une autre…).

    De plus, j'ai activé le "2-factor authentication" dans mon compte google, ce qui fait que j’ai un mot de passe unique stocké dans le téléphone, et je peux révoquer ce token à tout moment.

    Autre point (très) important: le débogage USB. C’est ce qui permet d'utiliser adb et de se connecter à son téléphone. C’est aussi un vecteur d'attaque assez courant pour rooter un téléphone. À désactiver quand vous ne l'utilisez pas.

    Donc avec un téléphone à jour, et un code de verrouillage, tu es relativement à l'abri contre un voleur "ordinaire". Un pro aura des failles non publiques, ou attendra bêtement la prochaine faille publiée. Mais un téléphone qui attends, ça rapporte pas, surtout quand un formatage+revente est à portée de main.

    Dernier point noir: la carte SD. Sur les derniers Nexus il n'y en a pas(c’est interne), donc tu es protégé. Mais sur les autres, point de salut, toutes tes photos et vidéos seront compromises. Que tu aie stocké tes mails sur la SD (avec une appli mail alternative j’imagine) est une erreur. Normalement seule des données de valeur personnelle "pauvre" devraient être sur la carte SD.

    • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

      Posté par . Évalué à 2.

      J’ai oublié de préciser que j’utilise Prey (http://preyproject.com/) qui permet de localiser son téléphone à distance, et le cas échéant de le verrouiller.

    • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

      Posté par . Évalué à 2.

      Sur les derniers Nexus il n'y en a pas(c’est interne), donc tu es protégé

      Tu ne peux pas y accéder en ums (même sans déverrouiller ton tel) ?

      • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

        Posté par . Évalué à 1.

        Sur le Nexus S tu peux, sur le Galaxy Nexus tu ne peux pas, car les partitions sont faites différemment pour partager l'espace entre applis et données. Donc tu ne peux y accéder qu’en MTP (je sais plus s’il faut déverrouiller le téléphone avant).

      • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

        Posté par . Évalué à 4.

        Oui et non, car lorsqu'on branche en usb, il faut valider l'activation. Si la personne, le voleur, branche le téléphone sur un usb, ça ne suffira pas à avoir accès aux données : il devra déverrouiller l'écran aussi.

    • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

      Posté par . Évalué à 9.

      En effet, en cas de vol, la moindre faille permet d'accéder au données personnelles, et ce même si il y a un code de verrouillage téléphone (j'utilise le "signe à neuf points", ça vaut ce que ça vaut)

      Il y avait un bug qui rendait le téléphone indéverouillable quand on se trompait 5 fois en faisant ce signe (le téléphone demandait alors le mot de passe du compte Google, sauf que cette vérification ne marchait pas), mais il était possible de passer outre (grâce à un autre bug, en se faisant appeler, ce qui donnait accès au menu)

      Donc avec un téléphone à jour [...]

      Cette précondition est impossible à remplir avec certains téléphones, dont les mises à jour se sont arrêtées à la version 1.6.

      Dernier point noir: la carte SD. Sur les derniers Nexus il n'y en a pas(c’est interne), donc tu es protégé.

      Pas de carte SD ? Bientôt la batterie sera impossible à retirer, puis on ajoutera quelques DRM, la protection contre les utilisateurs sera parfaite. Ah, il fallait protéger contre les voleurs uniquement ? Il y a une différence entre les deux ?

      • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

        Posté par . Évalué à 2.

        Cette précondition est impossible à remplir avec certains téléphones, dont les mises à jour se sont arrêtées à la version 1.6.

        On est sur un site de geek où les gens peuvent soit installer une distrib communautaire (cyanogenmod), soit choisir un téléphone qui n'aura pas se problème (et sera déverrouillable) comme un Nexus.

        Pas de carte SD ? Bientôt la batterie sera impossible à retirer, puis on ajoutera quelques DRM, la protection contre les utilisateurs sera parfaite. Ah, il fallait protéger contre les voleurs uniquement ? Il y a une différence entre les deux ?

        Oui, la différence c’est qui a le contrôle. Si l’utilisateur a le contrôle, aucun problème.

      • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

        Posté par . Évalué à 2.

        Pour le bug du verrouillage, je n’était pas au courant. J’ai déjà fait les 5 mauvais essais, et il m'a demandé d'attendre 30secondes, ensuite ça marchait. Je serais plus prudent à l’avenir…

      • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

        Posté par . Évalué à 3.

        Pas de carte SD ?

        Par curiosité vous utilisez votre carte SD pour quoi ? J'ai jamais eu de problème de place sur un smartphone (16GB sur mon telephone actuel, mais je ne regarde pas de films avec).

        • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

          Posté par . Évalué à 2.

          Ça devient courant les téléphones de 16 Go, mais ça ne l'était pas il y a un an seulement. J'ai seulement 1,5 Go sur mon HTC Desire Z, sur les HTC Desire c'était encore moins que ça, et je ne parle même pas des bas/moyen de gamme qui peuvent avoir encore moins de mémoire interne.

        • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

          Posté par . Évalué à 2.

          Justement c'est lié. Généralement les smartphones qui proposent un stockage sur carte SD n'ont pas de gros stockage interne (typiquement moins de 2 Go) tout en fournissant que rarement une SD de plus de 2 Go. Ça permet de réduire le coûte du smartphone je suppose, et ça permet à l'utilisateur de choisir le stockage qui lui convient.

          Mon smartphone me propose 1 Go de stockage interne et était livré avec une carde de 2 Go, que j'ai remplacée par une carte de 32 Go. Pour 300 € (nu) je me retrouve avec un smartphone solide, étanche, avec des mises-à-jour Android fournies par la communauté, largement assez rapide pour mon utilisation et proposant 32 Go de stockage. C'est-y pas beau ?

        • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

          Posté par (page perso) . Évalué à 1.

          400 Mo sur mon Sony Xperia Pro, c'est un téléphone récent, mais moyen gamme

          Avec ma carte SD de 32Go, ca roule !

    • [^] # Re: Voilà pourquoi les téléphones sont verrouillés…

      Posté par . Évalué à 1.

      Autre point (très) important: le débogage USB( ...) À désactiver quand vous ne l'utilisez pas.

      Il y a adb lock qui bloque adb quand l'écran est éteint.

      Ça permet au moins de limiter les blagues des collègues qui profitent du shell root pour effacer les scores d'AngryBirds quand on laisse trainer son terminal chiffré.

  • # Contenu sensible

    Posté par (page perso) . Évalué à 2.

    Personnellement, je n'ai pas bcp de contenu sensible sur le smartphone. J'y ai installé 'Encrypted notes' (Android market, gratuit, https://market.android.com/details?id=ch.xot.encryptednotes&hl=fr ) afin d'entreposer les données très sensibles (Mots de passe, code alarme, etc).

    La gelée de coings est une chose à ne pas avaler de travers.

  • # prey

    Posté par . Évalué à 7.

    Hello,

    http://preyproject.com

    Open source permet jusqu'à 3 devices gratuit. Pour les telephones, peux coupler la carte sim à un appareil en cas de changement un sms est envoyė.

    Marche même pour les laptops.

    • [^] # Re: prey

      Posté par . Évalué à 1.

      Et puis https://www.cerberusapp.com/ aussi.
      La gamme du dessus si on veut du spécifique Android, à un prix plutôt limité.

      La gamme du dessus, parce que dans certaines conditions (root/unlocked bootloader), même une remise à zéro "usine" du téléphone permet de conserver le bénéfice de l'outil (ajout en ROM). Et ça C'est Bien™.

      • [^] # Re: prey

        Posté par . Évalué à 2.

        Tiens Avast pour Android propose ça aussi... et c'est gratuit (mais pas libre... évidemmment).

  • # C'est pareil que pour un ordinateur portable.

    Posté par . Évalué à 1.

    Enfin j'ai tendance à dire que c'est pire pour un ordinateur portable. Mais quoiqu'il arrive, les solutions sont les mêmes :
    * Un mot de passe fort pour dévérouiler le téléphone quand il est allumé.
    * Chiffrer les partitions, notament SD. Il me semble que LUKS fonctionne sous android, même si après, il faut pas vouloir lire sa carte SD sous Windows.

    Notez qu'il faut que le téléphone soit rooté, ce qui, au vu de la politique de sécurité d'android, n'est pas très sécurisé. Mais après, si on veut une sécurité réelle, autant utiliser un vrai OS sur son téléphone…

    • [^] # Re: C'est pareil que pour un ordinateur portable.

      Posté par . Évalué à 3.

      Enfin j'ai tendance à dire que c'est pire pour un ordinateur portable

      Peut-être avez-vous des éléments pour prouver cette affirmation ?

      • Un mot de passe fort pour dévérouiler le téléphone quand il est allumé.
      • Chiffrer les partitions, notament SD. Il me semble que LUKS fonctionne sous android, même si après, il faut pas vouloir lire sa carte SD sous Windows.

      https://linuxfr.org/users/yusei/journaux/vol-de-smartphone-et-donn%C3%A9es-personnelles#comment-1309305

      • [^] # Re: C'est pareil que pour un ordinateur portable.

        Posté par . Évalué à 2.

        Enfin j'ai tendance à dire que c'est pire pour un ordinateur portable

        Peut-être avez-vous des éléments pour prouver cette affirmation ?

        C'était juste du bourrage, pour décaler le texte un peu sur la droite... Ne pas faire attention

      • [^] # Re: C'est pareil que pour un ordinateur portable.

        Posté par . Évalué à 0.

        Combien de gens ont leur mdp de boite mail enregistré sur leur oridanteur portable ?

        Combien de gens ont leur numéro de compte sur leur oridnateur portable ?
        Combien de gens ont leurs photos de vacances/soirée sur leur ordinateur portable ?
        Combien de gens ont leur relevés bancaire/factures electroniques/déclaration d'impôt ?

        Oui, j'ai des éléments pour confirmer ce que j'affirme. En tout cas, moi j'ai plus peur d'un accès à mon oridnateur qu'a mojn téléphone. C'est pour ça que je le protège plus.

  • # vaste programme

    Posté par . Évalué à 2.

    J'ai pas de remède miracle mais un ensemble de bonnes pratiques.

    Des mots de passe différents et non triviaux pour chaque compte.

    Sur android, désactiver l'USB Debuging. Mais ça ne résiste pas au "cassage" du motif de déverrouillage qui ne doit pas être si compliqué (sources ?).

    Limiter au maximum l'historique de ce qui est stocké sur le téléphone.

    En cas de vol, réagir vite pour changer tous ses mots de passe depuis un PC.

    Moi je cherche un système où le smartphone est bourré d'explosif et quand il s'éloigne de plus de 30m de toi, boum.
    Après c'est un peu dangereux pour tes collègues, quand tu oublis ton smartphone sur ton bureau en partant du boulot.

    • [^] # Re: vaste programme

      Posté par . Évalué à 2.

      Des mots de passe différents et non triviaux pour chaque compte.

      J'ai un avis mitigé là dessus. Au début j'essayais, mais devant la difficulté de mémoriser tous ces mots de passe et la réticence à les stocker quelque part, je prenais souvent des mots de passe trop simples. Depuis, hors sites sensibles et clés de crypto, je me contente d'un mot de passe fort que je peux changer relativement régulièrement, et d'un autre plus mnémotechnique pour les sites à la con qui sont capables de te l'envoyer en clair.

      C'est évidemment moins bien qu'avoir des mdp forts et uniques, mais clairement mieux que ce que je faisais avant.

      • [^] # Re: vaste programme

        Posté par . Évalué à 4.

        Pour les services non critiques plutot que d'utiliser toujours le meme mot de passe ce qui permet a n'importe quel site web de s'identifier sur un autre service il vaut mieux utiliser un mot de passe aleatoire que tu retiens pas mais que tu mets dans un trousseau de clé de type Firefox sync. Si jamais le trousseau est cassé tu reviens à la situation initiale mais entre temps tu n'offres pas tout tes comptes a n'importe lequel de tes fournisseurs.

        • [^] # Re: vaste programme

          Posté par . Évalué à 2.

          Mieux : utiliser un générateur de mot de passe tel que PasswordMaker (existe en plugin Firefox, Chrom(ium)e, appli lourde, appli web, Android, etc...), qui va générer des mots de passe différents pour chaque site à partir d'un mot de passe racine.

          Plus besoin de conserver un trousseau de clés, peut être utilisé sur n'importe quelle machine, et surtout il est impossible de déchiffrer les mots de passe.

          • [^] # Re: vaste programme

            Posté par . Évalué à 2.

            Et on retombe sur le problème : si le master password se fait toper, il faut changer tous les sites dont le mot de passe dépend du système ;) Par contre il est vrai qu'il est plus difficilement trouvable, mais un keylogger est si vite arrivé ;)

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: vaste programme

              Posté par . Évalué à 2.

              Pas faux, même s'il y a un semblant de sécurité supplémentaire avec la possibilité de définir des paramètres différents pour chaque site, par exemple pour ceux qui ont une taille limitée, ou qui interdisent les caractères spéciaux.

              • [^] # Re: vaste programme

                Posté par . Évalué à 2.

                Plus besoin de conserver un trousseau de clés,

                avec la possibilité de définir des paramètres différents pour chaque site

                Cool maintenant tu conserve un trousseau de paramètres différents !

                • [^] # Re: vaste programme

                  Posté par . Évalué à 1.

                  Les paramètres différents, en même temps, j'en ai 4 ou 5, c'est pas difficile à retenir.

          • [^] # Re: vaste programme

            Posté par . Évalué à 2.

            Mieux, ca me semble un peu péremptoire.

            Comme inconvénient tu as que tu ne peux pas changer de mdp, et que si le site change d'url ou que la même auth est supportée par plusieurs sites différents c'est mort. Tu ne peux pas non plus utiliser des identifiants aléatoires pour les services dont tu te fous.

            Chacun préférera la solution qui lui convient le mieux... De toute façon dans les deux cas, si quelqu'un a accès à ton compte tout tes mots de passe sont KO.

            • [^] # Re: vaste programme

              Posté par . Évalué à 2.

              si le site change d'url ou que la même auth est supportée par plusieurs sites différents c'est mort

              C'est le cas pour Amazon par exemple, il suffit que je prenne toujours le mot de passe généré pour celui que j'utilise le plus souvent et ça marche.

              Tu ne peux pas non plus utiliser des identifiants aléatoires pour les services dont tu te fous.

              Pour ceux là, j'ai toujours un mot de passe à la con à côté.

              De toute façon dans les deux cas, si quelqu'un a accès à ton compte tout tes mots de passe sont KO.

              Si quelqu'un grille mon mot de passe maître, c'est grillé en effet, mais vu qu'il n'est stocké nulle part ailleurs que dans ma tête, et éventuellement temporairement dans la mémoire vive de mon PC, c'est assez difficile de le piquer. Reste les keyloggers, mais pour ça, le risque est quand même assez faible vu que je n'utilise quasiment pas d'autres ordinateurs que les miens.

              • [^] # Re: vaste programme

                Posté par . Évalué à 1.

                C'est le cas pour Amazon par exemple, il suffit que je prenne toujours le mot de passe généré pour celui que j'utilise le plus souvent et ça marche

                Donc tu as t'en souvenir, très bien pour amazon. Pour le forum ou t'as du t'inscrire y'a 1 ans et qui à changé de domaine...

                Pour ceux là, j'ai toujours un mot de passe à la con à côté.

                Donc tu reviens au problème initial...

                c'est assez difficile de le piquer.

                Ca demande exactement les mêmes prérequis que les autres solutions.

                Je suis content que tu sois satisfait de ta solution. Mais avant d'affirmer qu'elle est supérieur aux autres il faudrait une analyse un tout petit peu objective.

              • [^] # Re: vaste programme

                Posté par (page perso) . Évalué à 1.

                Pour se prémunir contre les keyloggers, KeepassX (un logiciel qui génère/stoke les mdp dans un fichier chiffré) permet d'utiliser à la fois un mdp maître et un fichier-clé.
                Du coup, il suffit de mettre le fichier-clé dans un support externe, et de retenir le mdp :
                Si il y a un keylogger, le méchant aura le mdp, mais il sera totalement inutile sans le fichier. Si quelqu'un vole le support externe, il ne pourra pas non plus lire la base de donnée de mdp avec seulement le fichier clé. En plus, si tu es malin, tu as mis le fichier chifré contenant les mdp et le fichier-clé sur un support différent.

                Moi c'est la méthode que j'utilise. Ça marche très bien. (seul bémol, la version windows de KeepassX (Keepass) crée des fichiers bdd de mdp qui ne sont pas vraiment pris en charge par la version linux, il faut l'importer dans une base de donnée de la version linux. Et vice-versa.)

                De ses yeux vastes comme des océans, encroûtés de chassie et de poussière d'astéroïdes, Elle fixe le But Ultime.

  • # En plus ...

    Posté par . Évalué à 2.

    A lire :
    * Mobile Media Toolkit :
    http://mobilemediatoolkit.org/
    * Mobile Security Overview
    http://mobilemediatoolkit.org/node/24#&panel1-1
    * InTheClear :
    https://lab.safermobile.org/wiki/InTheClear
    Beta Testers Wanted!
    "IntheClear allows you to automate emergency communications and erase personal information from your phone with a single click. Available for Symbian, BlackBerry and Android phones. "

  • # SEAndroid

    Posté par (page perso) . Évalué à 2.

    Tiens, je viens de tomber par hasard sur ceci : http://selinuxproject.org/page/SEAndroid

    Apparemment c'est un android en mode parano, avec plein de corrections de sécurité, etc…

    À creuser.

    De ses yeux vastes comme des océans, encroûtés de chassie et de poussière d'astéroïdes, Elle fixe le But Ultime.

  • # ...

    Posté par (page perso) . Évalué à 2.

    Je me suis fait voler mon smartphone. Jusque là, rien d'extraordinaire.

    Il est bien triste, le monde que tu nous décris là.

  • # Perso j'utilise un app payante sur Android

    Posté par . Évalué à 0.

    Vous allez sûrement me cracher dessus mais j'ai acheté seekdroid -non libre-, on peut via leur site localiser le telephone, faire un wipe des données (y compris la SD), le faire sonner comme un dingue, et le locker. Et on peut aussi faire tout ça via SMS (si le web est coupé), ce qui est pas mal.
    De plus l'app est apparemment ancré et un changement de compt ou de sim card ne changera pas son attachement..

    perso je lock même pas mon téléphone, donc l'encryption c'est un peu loin pour moi

    jme dis que le gars qui me piquera mon téléphone, soit il est malin et il le wipe pour le revendre, soit il a aucune idée qu'il a un droid dans les mains et que quelqu'un peut encore en faire quelque chose à distance.. et moi j'ai mes chances avec cette app.

  • # Vol de matériels électronique et mécanique

    Posté par . Évalué à -2.

    Pourquoi se casser la tête a chercher des solutions d'ingénieur avec des programmes comme ceci, programme comme cela, de plus soit ils sont payant, ou on une durée de vie limitée, mais rarement gratuit et efficace.

    Moi personnellement, j'ai cherché une solution plus simple et plus efficace, et j'ai trouvé le système www.sinneo.com , car si tout le monde sera informé que mon appareil est volé, perdu.

    Qui va encore vouloir prendre le risque de le revendre ou de l'acheter et d'être poursuivi de recel en cas de contrôle ?

    En plus le système est gratuit pour les particuliers donc pourquoi s'en priver !!!

    Qui n'essaye rien n'a rien. Un coup d'oeil vaut mieux qu'un long discourt et a chacun de choisir.

    bonne journée à tous.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.