phoenix a écrit 806 commentaires

  • # Volé numéro de téléphone

    Posté par (page perso) . En réponse au journal Validations frauduleuses de codes 3D Secure. Évalué à 10.

    Il est possible aussi que l'arnaqueur est copié la carte sim.

    Il existe plusieurs techniques :

    Pour la carte bleu. Il est fort probable qu'elle soit dans une base de données volé associé au nom de la personne. Il suffit ensuite d'essayer d'appeler les opérateurs pour essayer d'avoir une nouvelle carte sim.

    Enfaite le numéro de téléphone comme second facteur d'authentification est obsolète et les banques doivent changer : https://www.bfmtv.com/economie/pourquoi-vous-ne-recevrez-bientot-plus-de-code-par-sms-pour-valider-vos-achats-en-ligne-1561032.html

    Rien n'empêche pour autant de vérifier que la fraude ne vient pas de l'intérieur (le téléphone) mais il ne faut pas pour autant écarter d'autres pistes

  • [^] # Re: La méthode la plus sûre

    Posté par (page perso) . En réponse au journal Lancer un programme sans accès au réseau, merci les espaces de noms réseaux. Évalué à 2.

    https://www.google.com/amp/s/www.zdnet.fr/amp/actualites/une-zero-day-sur-virtualbox-et-pas-mal-de-grognements-39876125.htm

    Le plus sur est de l'installer sur une machine dédié sans câble réseau.

    Pour avoir encore plus de sécurité je propose que chaque programme d'une distribution tourne sur une machine dédié avec chacun son clavier, souris, écran et réseau ou non selon le programme.

  • [^] # Re: drone.io

    Posté par (page perso) . En réponse au journal Mettre en place des build automatiques avec jenkins et docker. Évalué à 2.

    En perso j'utilise le couple gîtes + drone.
    C'est très léger et ça fonctionne bien.

  • # Timeout

    Posté par (page perso) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 5.

    Bonjour,

    Pour moi la confection de coupe brutalement lors d'une mise en hibernation (ce qui m'arrive quand je fait des sauvegardes) du coup tu as un Time Out qui se met en place au cas où c'est une coupe réseau.

    Tu peux regarder si tu trouve la durée du timeout dans sshd_config de machines.

    ClientAliveInterval

    Par curiosité, sait tu comment ils sont rentré chez toi ? Ont il volé d'autres matériel informatique ? Avez tu fais des sauvegardes ?

  • # Docker

    Posté par (page perso) . En réponse à la dépêche PiaLab version 1.2, l'accompagnement dans le RGPD. Évalué à 6.

    Est-ce qu'il y a une image docker facile à installer dans un SI existant (full docker) ?

    J'ai trouvé sur le hub docker des images avec aucune documentation.

    Je n'ai également trouvé aucun screenshoot pour visualiser l'application. Ça pourrait être pratique pour se faire une idée rapide de comment ça fonctionne.

  • [^] # Re: j'ai plus simpe ;

    Posté par (page perso) . En réponse au journal Défragmenter une partition FAT32 sous Linux …. Évalué à 5.

    Attention : sur un un système FAT, chaque suppression de fichier réécris la FAT.

    Si on supprime 100 fichiers la FAT est réécrite 100 fois. Ce n'est pas performant et si il n'y a pas d'intelligence dans la clé USB celle ci peut user prématurément au niveau de la FAT.

    Du coup il vaut mieux formater que supprimer les fichiers. La suppression ne se fait qu'une fois.

    C'est peut être maintenant obsolète. C'est conseil sur la FAT date du temps où j'avais des disquettes :D

  • [^] # Re: NodeJS

    Posté par (page perso) . En réponse au journal Hutch, gestionnaire de mots de passe. Évalué à 2.

    C'est vrai quelque soit la techno du serveur. Ce dernier ne sert que les fichiers dont il a envie, le serveur port être écrits en c, PHP, ou go, il peut très bien servir du js vérolé.

    Du coup je ne comprends toujours pas le pourquoi pas un serveur en NodeJS

  • # NodeJS

    Posté par (page perso) . En réponse au journal Hutch, gestionnaire de mots de passe. Évalué à 4.

    Il existe déjà des gestionnaires de mots de passes comme Keepass ou des services Web qui proposent de faire ca dans les nuages comme 1password, mais je n'avais pas vu de gesionnaire de mots de passes qui soit libre, dont on peut installer sa propre instance, disponible à distance, et si possible pas en Java ou NodeJS.

    Pourquoi pas en NodeJS  ?

    Pour +/- le même besoin j'ai créé passprotect : https://passprotect.shadoware.org avec les sources dispo ici : https://github.com/phoenix741/passprotect-server

    L'implémentation est par contre faite en NodeJS (il existe une image docker mais il n'est pas obligatoire de l'utiliser).

    Le chiffrage, déchiffrage est fait coté client, ce qui permet de ne pas faire confiance au serveur :)

  • # Mode auto promo aussi

    Posté par (page perso) . En réponse au journal Coffre numérique.. Évalué à 5.

    J'utilise passprotect un logiciel fait par moi même

    Https://passprotect.shadoware.org
    https://github.com/phoenix741/passprotect-server

    Libre sans condition, en js, crypter côté client.

  • [^] # Re: autres logiciels

    Posté par (page perso) . En réponse au message La sécurité sous Linux: partagez vos conseils, astuces et outils. Évalué à 2.

    Pour mes sauvegardes j'utilise backuppc. La dernière version est vraiment très performante.

  • # Up squared

    Posté par (page perso) . En réponse au message Mini pc. Évalué à 2.

    A priori j'ai l'impression que Up squarede pourrait aller mais ne sortirai qu'en septembre. Qu'en penses vous ?

  • # Merci

    Posté par (page perso) . En réponse au message Mini pc. Évalué à 1.

    Merci de vos réponses je vais étudier chacune des solutions proposées.

  • # passprotect

    Posté par (page perso) . En réponse au journal Firefox Sync et les mots de passe en clair sur le cloud 😤. Évalué à 2.

    Utilise un gestionnaire de mot de passe comme https://passprotect.shadoware.org les mots de passes y sont chiffrés avec la clé maitre, et aucun moyen pour le serveur de les connaitre.

    De plus tu peux te faire ton propre serveur c'est un logiciel libre : https://github.com/phoenix741/passprotect-server

    Bon bien sur je prêche ma paroisse.

  • [^] # Re: .

    Posté par (page perso) . En réponse au message Système de fichier distribué 'rapide'. Évalué à 2.

    Sur les deux serveurs. Le client était client mais n'utilisait pas encore les données.

  • [^] # Re: Améliorer ta configuration?

    Posté par (page perso) . En réponse au message Vaincre le SPAM. Ou essayer, au moins.. Évalué à 2.

    Toutes les semaines je lance le script suivant. Il apprend des mails classés (spam et ham) par contre je n'apprend pas des mails qui sont dans la boite de réception (non classé) pour éviter d'apprendre du SPAM en tant que HAM.

    #!/bin/sh
    
    MAILDIR=/data/vmail
    SADIR=/var/lib/amavis/.spamassassin
    DBPATH=/var/lib/amavis/.spamassassin/bayes
    
    for domain in `ls $MAILDIR` ; do 
        echo "Domain: $domain"
        for user in `ls $MAILDIR/$domain` ; do 
            echo "  User: $user"
            ls -a $MAILDIR/$domain/$user/ | grep -e "^\.[^\.]" | grep -v "Junk" | grep -v "Sent" | grep -v "Trash" | grep -v "Drafts" | grep -v "Corbeille" | grep -v "Brouillons" | while read box ; do
                echo "    Box: $box"
                nice sa-learn --ham --showdots --dbpath $DBPATH "$MAILDIR/$domain/$user/$box/cur"
            done
            ls -a $MAILDIR/$domain/$user/ | grep "Junk" | grep -e "^\.[^\.]" | while read box ; do
                echo "    Spam Box: $box"
                nice sa-learn --spam --showdots --dbpath $DBPATH "$MAILDIR/$domain/$user/$box/cur"
            done
        done
    done
    
    chown -R amavis:amavis $SADIR
    chmod -R 0755 $SADIR
    
    exit 0
  • [^] # Re: Améliorer ta configuration?

    Posté par (page perso) . En réponse au message Vaincre le SPAM. Ou essayer, au moins.. Évalué à 2.

    J'en ai quelqu'un une fois de temps en temps, mais globalement je trouve cela acceptable pour moi. Et surtout ca m'évite d'être polluer par des mails que je ne souhaite pas.

  • [^] # Re: Améliorer ta configuration?

    Posté par (page perso) . En réponse au message Vaincre le SPAM. Ou essayer, au moins.. Évalué à 2.

    Perso j'utilise spamassassin qui marche très bien.

    Par contre, pour éviter le spam j'ai décidé de monter fortement la confiance que j'ai au filtre baysien de spamassassin quand celui-ci atteind 99% :

    score BAYES_99 8.000

  • [^] # Re: Crypto pas crypto

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 3.

    Je viens de mettre à jour https://passprotect.shadoware.org avec un chiffrage pour chaque clé. De plus je chiffre maintenant coté client, et non plus coté serveur.

    Par contre j'utilise le serveur pour stocker les données.

    Pour moi, et mon utilisation personnelle, le fait de stocké les valeurs S, T, et C coté client est un risque en cas de cache navigateur vidé. Et le fait de pouvoir en faire une sauvegarde par QR code, ou fichier texte est intéressant mais trop compliqué pour l'utilisation que j'ai envie d'en faire.

  • [^] # Re: Crypto pas crypto

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 1.

    Bonjour,

    Je suis en train de retravailler sur la partie crypto avec les informations que vous m'avez données.

    Je me pose quelques questions :

    • sur la partie authentification de l'utilisateur, si je veux faire de la crypto coté client, il est raisonnable d'envoyer les informations S, T, et C que je possède à l'utilisateur authentifié ? Est-ce que j'ai un autre choix ?

    • sur la partie session : si les opérations se font côtés serveur, je dois maintenir un certain temps les informations me permettant de déchiffrer les messages dans la session. Je peux garder soit le mot de passe de l'utilisateur, soit la clé de chiffrement K. Quel est la meilleur solution ?
      Actuellement je chiffre à l'aide d'une clé de session propre à l'utilisateur un token JWT contenant la clé maître (K).

    Merci

  • [^] # Re: Liste des autres outils

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 3.

    • aWallet: Un outil pour android que j'utilise actuellement (sans la partie synchro). Même si l'utilise jusqu'à présent régulièrement, le logiciel ne me convient pas. Il est propriétaire. Je n'ai pas confiance dans la synchro cloud. Je ne peux pas l'héberger moi même.
    • LastPass: propriétaire, trop compliqué,
    • KeePass: Client lourd, je souhaite d'abord un client léger avec potentiellement un futur client lourd sur android, et une extension chrome.
    • Encryptr: Libre :) Belle interface :) Mais basée sur un serveur crypton distant. J'aurais bien sûr pu forker le projet et le faire pointer sur un de mes serveurs, installé manuellement.

    Ensuite j'avais envie de le développer moi-même.

  • [^] # Re: Crypto & Modules externes

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 2.

    J'ai l'intention de développer une application android, voir une extension chrome.

    Par contre le choix de faire le chiffrage coté serveur a été fait pour des raisons de performances (peut-être mauvaise). Par contre, pour le faire coté client je me pose la question de la fiabilité de librairies cryptographique écris en pure Javascript (https://github.com/crypto-browserify/crypto-browserify).

    Je souhaite que mon application puisse aussi fonctionner sans devoir installer quoique ce soit sur le poste client.

  • [^] # Re: Crypto pas crypto

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 1.

    Pas de soucis pour faire des rapports de bug.

    Je ne suis malheureusement pas cryptolog.

    De ce que je comprend l'un des problèmes est que je me sert de la clé maître pour chiffrer tout les mots de passes. Si chaque mots de passe à sa clé et son IV, je ne vais pas stocker en claire ces derniers. Il faut donc que je l'ai chiffre à leur tour. Et si je les chiffres avec la clé maître, je retombe sur le même problème.

    Du coup comment faire ?

    La clé maitre est quant à elle chiffrer en effet avec le mot de passe. Du coup que proposes-tu ? Chiffrer la clé maitre avec un hash du mot de passe ?

  • [^] # Re: Performances

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 2.

    La lib crypto de nodejs coté serveur est basé sur openssl.

    Par contre, si je ne me trompe, la lib crypto utilisable coté navigateur et une réécriture en full-javascript.

  • [^] # Re: Performances

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 3.

    Je viens de faire un simple benchmark (sur mon PC i7 à 3.60GHz) :

    Pour effectuer un chiffrement d'une chaîne de caractère depuis nodejs avec la lib crypto il faut 0,13896 ms

    Le même benchmark depuis le navigateur me donne 5.685ms, soit 40x plus lent.

    Bon 5ms pour une opération c'est raisonnable sur un navigateur. Il faudrait que je fasse le même test navigateur sur un navigateur mobile d'un mobile bas de gamme.

  • [^] # Re: Performances

    Posté par (page perso) . En réponse au journal Passprotect - Gestionnaire de mot de passe. Évalué à 2.

    Par rapport à la question des performances, la librairies crypto de nodejs est écris en C si je ne me trompe.

    Si le chiffrement et déchiffrement est fait coté navigateur, la librairies devra être écrite en JavaScript. Ce qui risque d'être beaucoup moins performant. J'avoue je n'ai pas fais de test de performance. Mon téléphone étant un haut de gamme, il est très puissant, et mon PC étant lui aussi relativement puissant. Je me suis dit que hébergé chez moi cela ne posera pas de problème.

    De plus pour le coté besoin d'un serveur WEB, actuellement l'application ne gère pas de mode offline (C'est une web application / single page app). Elle pourrait gérer le mode offline, mais actuellement même si le chiffrement/déchiffrement était fait coté client, l'application aurait tout de même besoin de télécharger les éléments du serveur.

    Par contre je compte écrire une application android qui se synchroniserai avec le serveur et permettrai de sauvegarder les mots de passe offline. Sur cette application je pourrais envisager de faire le chiffrage coté application.

    Mon but est de pouvoir regarder mes mots de passes de n'importe où, que j'ai ou non mon téléphone sur moi. D'où l'idée d'un client léger (application web) et non d'un client lourd qu'il faut installer.

    Je regarderai quand même à l'occasion quels sont les performances des librairies cryptographiques coté navigateur (donc en javascript) pour me faire une idée des performances et voir si je ne peux pas faire le chiffrement coté client uniquement, ou optionellement.