Bonjour,
Je me suis fait voler mon smartphone. Jusque là, rien d'extraordinaire. J'ai naturellement bloqué la ligne et changé tous mes mots de passe, mais il semble que le voleur ait eu accès aux mails, soit parce qu'ils étaient stockés sur la carte SD, soit parce qu'il a réussi à accéder à la mémoire interne du téléphone. En effet, "quelqu'un" a tenté de remettre à zéro un de mes mots de passe, et j'ai reçu une demande de confirmation par mail.
Avec les ordinateurs, je suis parano et je chiffre les disques durs, mais je n'ai pas l'impression que l'on puisse faire ça avec Android, en dehors de quelques hacks nécessitant de rooter le téléphone, et qui n'ont pas l'air terriblement au point. D'où ma question: qu'utilisez-vous pour sécuriser vos données ? La seule solution est-elle de renoncer à utiliser les fonctionnalités d'un smartphone jusqu'à ce que ce genre de protections soient en place ?
# Commentaire supprimé
Posté par Anonyme . Évalué à -8.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Mieux vaut prévenir que guérir !
Posté par Raoul Volfoni (site web personnel) . Évalué à 10.
J'en connais qui pourraient dire ça à leurs parents...
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Mieux vaut prévenir que guérir !
Posté par zerchauve . Évalué à 7.
Avant j'étais pour l'eugénisme.
Mais en sortir c'est dur.
Maintenant que je suis sorti de l'eugénisme, grand est mon trou de bal, Zack.
[^] # Re: Mieux vaut prévenir que guérir !
Posté par Raoul Volfoni (site web personnel) . Évalué à 4.
Non mais quelle comédie, c'est pas humain !
[^] # Re: Mieux vaut prévenir que guérir !
Posté par Marotte ⛧ . Évalué à 3.
Je suppute qu'il parlait de toi (rapport à ton premier commentaire) et pas de l'auteur du journal ! Moi personnellement j'aime bien tes commentaires en général. Et je ne crois pas que tu sois adepte de l'eugénisme :)
# Ce message
Posté par Dabowl_75 . Évalué à -10.
aurait plus sa place dans un forum...
[^] # Re: Ce message
Posté par zebra3 . Évalué à 10.
Il soulève tout de même un problème intéressant, ça peut être une bonne idée d'en discuter ici.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Ce message
Posté par Yusei (Mastodon) . Évalué à 5.
Faire des sauvegardes, c'est facile. Sécuriser les données de son téléphone semble plus difficile, si j'en crois l'absence de solution exploitable pour mon téléphone. Les solutions données ici sont soit pour une version très récente d'Android, soit supposent que le vilain voleur n'a pas coupé la connexion (dans le cas du remote wipe). Je n'ai pas vu tes suggestions.
Alors, certes, j'ai déconné si à un moment j'ai coché une option disant de stocker les mails sur la carte SD, mais en dehors de quelques semaines de mails, je n'ai pas exposé grand chose de mon entourage.
[^] # Re: Ce message
Posté par fredix . Évalué à 3.
prey répond à la problématique et est opensource. le site semble en panne à cet instant.
[^] # Re: Ce message
Posté par Psychofox (Mastodon) . Évalué à 3.
avant on appelait ça linuxfrisé.
[^] # Re: Ce message
Posté par Victor . Évalué à 5.
j'ai regardé, installé, testé et je trouve qu'il ne répond pas tant que ça au problème.
En particulier, je trouve qu'il est important d'avoir un moyen de wiper le telephone à distance.
Prey me semble beaucoup moins bien qu'un truc comme https://market.android.com/details?id=com.androidlost
Ce dernier fait beaucoup moins classe, surtout sur le site, mais dans les deux cas, au final, il faut avoir confiance en le fournisseur du service.
Le must serait une solution open-source que je puisse installer sur un serveur perso !
[^] # Re: Ce message
Posté par Yusei (Mastodon) . Évalué à 1.
Prey, c'est bien, sauf si le voleur commence par enlever couper la connexion... là, le remote wipe est difficile.
# Watchdroid
Posté par lepoulpe . Évalué à 10. Dernière modification le 11 janvier 2012 à 13:57.
Sur Android (mais il existe sans doute la même chose sur iPhone) il y a des applis type watchdroid qui permettent de contrôler le téléphone à distance par SMS et de faire un wipe complet. Bon certes, il faut être rapide et le faire avant que le voleur ne change la SIM ou n'extraie la SD Card... mais c'est toujours ça.
[^] # Re: Watchdroid
Posté par cosmocat . Évalué à 2.
Il me semble qu'avec androidlost tu peux être prévenu du changement de sim et donc continuer à pouvoir commander le téléphone à distance et donc pouvoir effacer les données...
# gpg
Posté par jben . Évalué à 7.
Sur maemo, j'enregistre certaines conversations. Generalement celle avec des services clients (en les prévenant qu'ils sont enregistrés). Pour proteger ces données extremement personelles (j'ai pas envie que l'on sache que je suis en relation avec Dentelles et Gambettes), je chiffre en assymetrique avec gpg. Le téléphone ne contient que ma clef publique. Quand j'ai besoin d'exploiter ces enregistrements, je les transfère sur mon ordinateur où je les déchiffre.
Ce n'est pas généralistable à tous les usages, en particulier ceux où l'on à besoin d'acceder aux données sur le terminal, j'en suis conscient.
[^] # Re: gpg
Posté par NeoX . Évalué à 3.
raté maintnenant tout le monde le sait (merci google)
:p
[^] # Re: gpg
Posté par Alex . Évalué à 5.
Ouais, ben cest malin, maintenant quand je cherche dentelles et gambettes, chèvre en dentelles, ou gambettes de plus de 75 ans, je tombe sur linuxfr !
[^] # Re: gpg
Posté par Zarmakuizz (site web personnel) . Évalué à 2.
La première suggestion marche, mais pas les deux autres. Essaie encore !
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
# code PIN ?
Posté par ploum (site web personnel, Mastodon) . Évalué à -2.
Je n'ai pas de smartphone, un bête GSM, mais je sais qu'un voleur aura du mal à lire le contenu bêtement car il y a un code PIN. Il n'y a plus ça sur les smartphone ?
Bon, ça ne protège pas d'un accès direct à la mémoire mais je pense pas que la majorité des voleurs aient le temps, l'envie et les compétences pour ce genre de choses (tant qu'on n'a rien d'essentiel dessus).
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: code PIN ?
Posté par Alex . Évalué à 10.
le code pin c'est quand tu l'allumes.
Si ton tel se fait voler en veille, ça ne change pas grand chose, sans compter toutes les infos stockées sur carte sd...
[^] # Re: code PIN ?
Posté par Eraser . Évalué à 4.
Sur un smartphone Android, tu peux définir un code à entrer pour déverrouiller l'écran. Le code peut également être remplacé par un "pattern" à dessiner sur l'écran.
[^] # Re: code PIN ?
Posté par soulflyb (Mastodon) . Évalué à 7.
Ca n'empêche en aucun cas de retirer la carte SD et de la lire sur un ordi. D'où la question, très pertinente, de l'auteur de ce journal.
[^] # Re: code PIN ?
Posté par bubar🦥 (site web personnel) . Évalué à 6. Dernière modification le 11 janvier 2012 à 16:00.
Double authentification pour le compte google.
Écran de veille verrouillé par un dessin.
Chiffrement total des données, avec ICS (option présente dans tout les terminaux ICS)
Possibilité de virer des certificats, possibilité de déposer les siens.
Ensuite, il existe une foultitude d'applications permettant d'eraser le téléphone à distance. Par exemple, pour les utilisateurs professionnels (tels que les décrit plus bas zerchauve<) il y a Google Apps Device Policy Le Bonus est que cette app écoute régulièrement (ce n'est pas un sms avec un code...) Le côté face du bonus est que entre l'envoi de la commande et l'effacement un cycle complet peut s'écouler (3 heures). Donc à utiliser en plus du verrouillage de l'écran et du chiffrement des données. La totalité des services Google App coûte 40 euros par an par utilisateur. Pour ce qui concerne la sécurité des mobiles Android, la petite partie qui nous intéresse ici, les Google App proposent ça :
Pour les particuliers, ils existent aussi des applications, mais elles nécessitent les droits root. Il faut donc avoir un téléphone prêt à cela.
Bref, l'avantage par rapoprt aux solutions Exchange/AD pour iPhone c'est l'indépendance de la solution : nul besoin d'avoir un logiciel tiers pour gérer cela, c'est inclus dans les outils d'administration de parc de Google
[^] # Re: code PIN ?
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 3.
Faut arrêter avec ça. Si tu regardes les reflets des traces de doigt au soleil (parce que les doigts sont gras, ils laissent des traces sur les écrans), dans la majorité des cas tu peux retrouver le "dessin" !
[^] # Re: code PIN ?
Posté par bubar🦥 (site web personnel) . Évalué à 3.
pareil, je crois qu'il n'y a pas de miracles : un utilisateur ne changeant pas son mdp (ou son signe) régulièrement, se fera "enfariner" facilement.
[^] # Re: code PIN ?
Posté par Maclag . Évalué à 2.
Euh?! Je croyais que changer de mot de passe régulièrement permettait de se prévenir plus ou moins contre les attaques force brute (on génère des mots de passe à la pelle et on les essaie un par un). Parce que l'attaquant peut se retrouver d'un coup devant un mot de passe déjà essayé sans le savoir.
Sur un téléphone, changer de mot de passe, ça sert à quoi? Vous le posez en libre service pour que des tiers puissent tester leur attaque avant de le voler?
À part pour les traces de doigt, je ne vois pas l'intérêt. Et même pour les traces de doigt, il faudrait changer quasiment à chaque entrée!!
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 7.
Changer de mot de passe ne protège pas contre les attaques force brute, parce que ce qui intéresse l'attaquant c'est ton mot de passe actuel, il s'en fiche de tomber sur un mot de passe déjà essayé. Ce qui protège des attaques forces brute, c'est d'utiliser un mot de passe compliqué.
Changer de mot de passe régulièrement, ça sert juste à s'assurer que si quelqu'un a trouvé ton mot de passe à un instant T, ça ne lui servira à rien à l'instant T+1. Ca évite que quelqu'un ne garde ton mot de passe et lise tes mails pendant des années sans que tu le saches.
[^] # Re: code PIN ?
Posté par Michaël (site web personnel) . Évalué à 2.
Effectivement. Pour générer des mots de passe suffisemment compliqués on peut suivre ces instructions: http://xkcd.com/936/
Pour se protéger des attaques par exhaustion (ou par force brute) on peut utiliser tout bêtement changer de méthode d'authentification, par exemple utiliser des mots de passe jetables (OPIE).
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 2.
Le strip d'xkcd a surtout une valeur édifiante, pas vraiment pratique. Parce qu'en pratique, je ne ferais pas confiance aux sites web pour stocker l'intégralité d'une longue phrase, donc je préfère m'en tenir à 8 ou 10 caractères.
Par contre, des outils comme pwgen génèrent des mdp qui ne sont pas des mots du dictionnaire déformés, mais qui sont prononçables, et donc facilement mémorisables. Je ne connais pas l'algorithme donc je ne peux pas calculer la solidité comme dans le strip. Si la distribution de lettres était totalement uniforme, à 1000 tentatives par seconde, ça tiendrait des millions d'années (pour dix caractères), donc j'espère qu'avec une version prononçable ça tienne au moins quelques années.
[^] # Re: code PIN ?
Posté par Alex . Évalué à 3.
Ca dépend surtout de la manière dont tu testes ton mot de passe.
Si tu as réussi à récupérer un md5 non salé (et c'est malheureusement plus courant qu'on ne le croit) en 3 jours on casse un mdp de 8 caractères.
Si on brute force un formulaire web, ça prendra bien sur bien plus de temps.
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 1.
Je reprenais juste la méthode d'XKCD, soit 1000 essais par seconde sur un formulaire web. Si l'attaquant a accès la base, la solidité du mot de passe n'a (presque) aucune importance, c'est le système de stockage du pass qui compte. Il y a encore des sites qui stockent en clair, c'est le pire, mais même ceux qui font du MD5 ou SHA1 + salt ne sont plus suffisants aujourd'hui, il faut aussi hasher itérativement.
[^] # Re: code PIN ?
Posté par briaeros007 . Évalué à 2.
Peut être une question conne, mais pourquoi ce n'est plus suffisant ?
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 4.
Un "problème" avec les fonctions de hash, c'est qu'elles sont conçues pour être rapides. Avec OpenCL/CUDA et des cartes graphiques modernes pas trop chères, on peut calculer des centaines de millions de hashs SHA256 par seconde. Imaginons un mot de passe de 8 lettres dans [a-zA-Z0-9]. Avec un GPU à $400 on peut essayer toutes les possibilités en quelques jours.
Pour les performances des GPU en calcul de hashs, voir par exemple https://en.bitcoin.it/wiki/Mining_hardware_comparison
Du coup on utilise des techniques pour ralentir le temps de calcul d'un hash. http://en.wikipedia.org/wiki/Key_stretching
[^] # Re: code PIN ?
Posté par briaeros007 . Évalué à 2.
Merci pour ces précisions :)
[^] # Re: code PIN ?
Posté par Michaël (site web personnel) . Évalué à 3.
Si je devais écrire un programme de type pwgen ou apg, je procéderai de la même manière qu'un générateur de noms de hack'n'slash, par exemple celui de
tome, c'est-à-dire, de la façon suivante:On transforme chaque mot en liste de n-uples de lettres (je choisis un symbole supplémentaire * qui n'apppartient pas à l'alphabet et je prends ici n=3) de façon à ce que le mot `Bob' devienne:
**B
*Bo
Bob
ob*
b**
On fait une analyse statistique (une table de transitions) des suites de triplets générés en 2.
On simule la loi empirique (générée en 3.) de la n-ième lettre de ces triplets connaissant les deux premières lettres, pour générer un nouveau mot.
On obtient ainsi des mots qui ressemblent aux mots du dictionnaire D mais qui n'appartiennent pas forçement à D. (Mais si D contient trop peu de mots ou bien est trop grand, on ne retrouve que les mots de D.)
Avec quelques précautions, cette méthode devrait donner des résultats acceptables.
[^] # Re: code PIN ?
Posté par claudex . Évalué à 2.
Le strip d'xkcd ne tient pas compte des attaques par dictionnaire.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: code PIN ?
Posté par Michaël (site web personnel) . Évalué à 3.
Si si, chaque mot est compté comme 11 bits d'entropie et 2^11 = 8 * 2^8 = 2048, c'est à dire qu'il considère que chaque mot provient d'un dictionnaire de 2048 mots courants.
[^] # Re: code PIN ?
Posté par bubar🦥 (site web personnel) . Évalué à 1.
C'est ce dont on parlait, là. C'est bien, c'est ça !
(et pour le mdp de compte, la double auth)
[^] # Re: code PIN ?
Posté par Moogle . Évalué à 5.
Je laisse sans doute plus de traces de doigts sur l'écran en cliquant sur plein d'icônes et en swippant d'un bureau à l'autre, qu'en déverrouillant mon téléphone.
[^] # Re: code PIN ?
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 0.
C'est probable. Sauf que quand tu verrouilles ton téléphone, c'est les dernières traces. Un peu comme si tu fais des dessins dans le sable (mouillé, parce que dans le sable sec c'est moins évident) : on pourra voir la dernière trace plus facilement.
[^] # Re: code PIN ?
Posté par BFG . Évalué à 6.
Je ne crois pas qu'il faille dessiner le motif pour verrouiller le téléphone. Par contre, le motif est certainement l'une des actions qu'on fait le plus souvent, et il arrive de déverrouiller le téléphone mais ne faire aucune action après ça. (Aussi, ne faire que cliquer sur des icones laisse peu de traces sur l'écran)
[^] # Re: code PIN ?
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 2.
Tout à fait exact, oublions mon message précédent. :)
[^] # Re: code PIN ?
Posté par ribwund . Évalué à 3.
Pareil sur mon android:
- cryptage de la partition
- pin de la sim
- pin de l'ecran de veille
- apps device policy (qui permet de localiser et wipe à distance)
(+ 2-factor auth sur le compte google)
Ce serait vraiment cool si le device policy marchait pour les comptes Google Apps basic.
[^] # Re: code PIN ?
Posté par MTux . Évalué à 3.
Et le pattern tu le trouve aux traces de doigt sur l'ecran...
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 1.
Oui, le pattern c'est très moyen, à moins de nettoyer l'écran à chaque fois. Mon ex-smartphone était équipé d'un lecteur d'empreinte digitale sur le bouton "on". C'est très pratique, plus rapide et moins "visible" que dessiner un pattern sur l'écran. Et il y a un code numérique en backup si on veut que plusieurs personnes puissent déverrouiller le téléphone.
[^] # Re: code PIN ?
Posté par neil . Évalué à 2.
Oui, parce que contrairement aux traces sur l'écran, les empreintes digitales sont absolument impossible à retrouver sur un smartphone :-D
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 5.
C'est quand même un peu plus technique de dupliquer une empreinte digitale que de refaire un tracé...
[^] # Re: code PIN ?
Posté par calandoa . Évalué à 5.
Bof, plutôt qu'arracher le portable dans la rue, il faut juste arracher le portable et la main avec.
[^] # Re: code PIN ?
Posté par Ago . Évalué à -1.
Simplement on fait un pattern qui se recoupe ?
[^] # Re: code PIN ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Un motif, quoi.
[^] # Re: code PIN ?
Posté par GCN (site web personnel) . Évalué à 10.
Ben c'est ce qu'il a dit: un pattern ^^
[^] # Re: code PIN ?
Posté par Marotte ⛧ . Évalué à 2.
Ça existe même sur les bêtes GSM depuis longtemps, ça s'appelle le code de sécurité. Même si ça règle pas le problème des données sur la carte SD ça permet d'éviter que le voleur passe des coups de fil ou bien que n'importe qui puisse lire tes SMS ou consulter ton annuaire s'il a le tél en sa possession.
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . Évalué à 2.
Il y a plusieurs protections:
le code PIN associé à la carte SIM, qui empêche d'utiliser la carte SIM sur un autre téléphone ou si on reboote celui là
un code de verrouillage du téléphone (couplé, sur le mien, avec une reconnaissance d'empreinte digitale) qui empêche, si c'est bien fait, d'accéder à la mémoire interne du téléphone. Ce n'est pas toujours bien fait, en particulier sur de vieux modèles il me semble qu'on pouvait accéder à la mémoire via le mass-storage usb mais ce doit être résolu.
Par contre rien n'est prévu pour sécuriser la carte SD. Il suffit de l'enlever et l'insérer ailleurs.
[^] # Re: code PIN ?
Posté par zebra3 . Évalué à 3.
C'est quand même très bête, c'est pas comme si Linux et par extension Android ne disposaient de rien pour chiffrer des partitions.
Il suffirait de formatter la SD en LUKS, ça n'empêcherait même pas de la lire sur un PC (même sous Windows grâce à FreeOTFE).
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: code PIN ?
Posté par BFG . Évalué à 4. Dernière modification le 11 janvier 2012 à 16:32.
Avec des performances diminuées. Je ne sais pas l'impact que cela aurait sur un téléphone. (Sur un ordinateur, c'est tout à fait supportable)
Ce n'est pas aussi simple sur Windows. D'abord, FreeOTFE ne marche pas sur Windows 64bits à moins de le bidouiller. Ensuite, il me semble (à vérifier) que certains outils comme ext2read ne lisent que les partitions physiques, donc pas celles que FreeOTFE crée.
[^] # Re: code PIN ?
Posté par zebra3 . Évalué à 2.
C'est non seulement supportable, mais ça n'a quasiment pas d'impact, sauf peut-être sur des grandes quantités de données.
Je chiffrais mes partitions sur mon T40 équipé d'un Pentium M à 1,5 GHz mono-cœur et je ne voyais aucune différence, même pour des vidéos de 1 à 2 Go.
Je pense donc que pour des smartphones aujourd'hui équipés de processeurs à ce même niveau de fréquence et en plus multi-cœur, l'impact soit limité.
Ah mince, je ne savais pas pour la version 64bits. M'enfin, s'il décide d'utiliser LUKS sur Android, Google a bien les moyens de concevoir un pilote correct pour Ext4 sur Windows 32 & 64 bits, je suppose.
Quand bien même, je ne parlais pas de passer à Ext2/3/4 mais juste à LUKS. Celle-ci peut ensuite contenir du FAT32 ou mieux du NTFS aujourd'hui utilisable partout.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: code PIN ?
Posté par Troy McClure (site web personnel) . Évalué à 5.
ça reste quand même un peu cher la lecture de partitions cryptées, par exemple j'ai pu constater qu'un Atom, qui n'est pas tellement plus puissant qu'un cpu de smartphone, sature a 100% cpu pour une vitesse de lecture de 16Mo/s. Sans doute que ça ne sera dispo sur ces machines que le jour où leurs cpus auront une acceleration materielle pour ces operations crypto
[^] # Re: code PIN ?
Posté par Jux (site web personnel) . Évalué à 3.
Le problème sur un smartphone c'est surtout que le déchiffrement risque de pomper la batterie. Et c'est un peu le point faible des smartphone la batterie...
[^] # Re: code PIN ?
Posté par ribwund . Évalué à 1.
Perso j'ai pas vu de différence (et j'imagine que c'est en hardware le chiffrement).
[^] # Re: code PIN ?
Posté par zebra3 . Évalué à 3.
Ça peut être un problème en effet.
Reste qu'on ne parle pas de l'imposer partout, on demande juste à avoir le choix et le faire en connaissance de cause :
Après tout, certains peuvent ne pas avoir de données particulièrement importantes dans leur smartphone. Toutefois, chacun a son usage propre et il serait bien de pouvoir y adapter l'appareil.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: code PIN ?
Posté par khivapia . Évalué à 2.
Sur les téléphones, il y a la carte SIM qui pourrait peut-être servir d'accélérateur crypto...
M'enfin bon pour ça il faudrait que les opérateurs voient la sécurité comme quelque chose de supérieur à une simple authentification permettant de s'assurer du compte à prélever.
[^] # Re: code PIN ?
Posté par Emmanuel C . Évalué à 1.
Je ne suis pas sur que la carte SIM ai un débit suffisant pour faire de la crypto en direct...
[^] # Re: code PIN ?
Posté par zebra3 . Évalué à 2.
Ah bon ? J'ai précisément deux machines équipées d'Atom à 1,6 GHz et je n'ai jamais remarqué de pointes comme ça lorsque je copie ou lis de gros fichiers.
Typiquement, je manipule des vidéos entre stockages interne et externe tout deux chiffrés.
Faudrait que je fasse le même test avec des partitions non chiffrés pour comparer, mais je trouve cela largement utilisable.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: code PIN ?
Posté par BFG . Évalué à 5. Dernière modification le 11 janvier 2012 à 20:40.
Vous avez raison, j'ai répondu ça par réflexe mais ça n'avait aucun rapport.
Pour le problème 64bits, c'est uniquement parce que Microsoft demande de signer les pilotes 64bits par certains fournisseurs de certificats seulement (parmi les plus chers). C'est un frein au libre, et FreeOTFE ne fournit pas de binaires signés uniquement pour des raisons financières. Google pourrait très bien payer ce prix.
[^] # Re: code PIN ?
Posté par Albert_ . Évalué à 2.
Le probleme c'est que cela n'est pas fait en raison des performances. Deja qu'il est impossible de bouger plein d'application sur la carte SD a cause de ce meme pretexte.
[^] # Re: code PIN ?
Posté par M . Évalué à 3.
L'ironie du sort c'est que la carte sd supporte un mot de passe pour accéder aux données : http://en.wikipedia.org/wiki/Secure_Digital#Card_security_.28non-DRM.29
Ca pourrait etre super simple a mettre en place (utilisation du code pin de delockage) et tres efficace
# Diverses solutions...
Posté par Xavier Teyssier (site web personnel) . Évalué à 5.
Sur les ordinateurs dont je n'ai pas chiffré le disque dur, et sur mon téléphone, je n'ai enregistré que peu de mot de passe. Il faut les ressaisir à chaque fois, mais ça évite des fuites en cas de vol ;
Sur mon mobile android, il faut saisir un code pour l'utiliser. Pas au démarrage, mais bien à chaque utilisation. Si on me le vole, accéder aux données qu'il contient en dur sera un peu plus compliqué ;
Enfin, la carte SD incluse, elle peut être chiffrée. Je n'ai pas encore pris le temps de le faire, mais le MISC n°58 de novembre dernier expliquait comment procéder.
# Galaxy tab 10.1
Posté par XioNoX . Évalué à 5.
Pour info, la Galaxy tab 10.1 a une option pour chiffrer tout le stockage interne. Ça va peut être se démocratiser.
[^] # Re: Galaxy tab 10.1
Posté par XioNoX . Évalué à 2.
Edit: Et Firefox mobile gère le master password maintenant, ce qui permet de l'utiliser sans risque avec Firefox Sync
[^] # Re: Galaxy tab 10.1
Posté par FluffyHamster . Évalué à 4.
Oui sur android 4.0 (par "défaut" donc, dans "sécurité" > "chiffrer le téléphone") il y a aussi une option pour chiffrer le stockage interne, avec déverrouillage à l'allumage par mot de passe.
[^] # Re: Galaxy tab 10.1
Posté par Yusei (Mastodon) . Évalué à 3.
C'est une option intéressante, surtout si le mot de passe est un peu plus complexe que le bête code à 4 chiffres de mon téléphone. Savez-vous s'il est aussi possible de chiffrer le stockage externe de cette manière ?
[^] # Re: Galaxy tab 10.1
Posté par FluffyHamster . Évalué à 5.
J'ai trouvé plus d'info ici : http://source.android.com/tech/encryption/android_crypto_implementation.html
Donc cette option est accessible depuis android 3.0 et non 4.0, c'est basé sur le sous système dm-crypt du noyau (chiffrement "128 AES with CBC and ESSIV:SHA256"). Ça ne chiffre apparemment que la partition /data du mobile (le seul endroit ou des données peuvent être inscrites par l'utilisateur (outre la / les cartes mémoires bien entendu).
Il semble donc possible d'envisager le chiffrement de la carte mémoire sur une ROM de type cyanogenmod (ce serai une fonction sympa). Il y avait déjà une modification (bien antérieur à android 3) qui utilisait dm-crypt et luks pour le chiffrement du mobile.
Néanmoins ça tue un peu le concept de carte mémoire "amovible". A méditer...
# la solution la plus libre
Posté par zerchauve . Évalué à 4.
il suffit d'avoir un iphone branché sur un exchange, et de balancer un remote wipe du smartphone quand on te le pique.
après je sais pas, ptet qu'on peut le faire avec un meego branché sur myPhpFirstGroupware, mais je suis en retard sur ma veille technologique.
[^] # Re: la solution la plus libre
Posté par zerchauve . Évalué à 1.
ha ha ça moinsse, c'est parce que j'ai tapé juste \o/
bon cela dit un android branché sur gogolSync peut se wiper aussi.
[^] # Re: la solution la plus libre
Posté par B16F4RV4RD1N . Évalué à 5.
ça moinsse parce que la solution n'est pas optimale : il suffit de couper l'accès data, et il ne sera pas possible d'effacer à distance.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: la solution la plus libre
Posté par zerchauve . Évalué à 0.
alors il faut un blackberry, qui permet de dire "si je n'ai pas de connexion data dans les n prochaines heures, je m'autowipe" . Ptet qu'android peut le faire aussi...
[^] # Re: la solution la plus libre
Posté par B16F4RV4RD1N . Évalué à 2.
et la carte SD sortie du blackberry aussi elle s'autowipe ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: la solution la plus libre
Posté par zerchauve . Évalué à 0.
mettre un media amovible facilement dans un devise sécurisé, c'est débile
[^] # Re: la solution la plus libre
Posté par B16F4RV4RD1N . Évalué à 7.
non, ce qui est débile, c'est de ne pas chiffrer ce média amovible, si on en a la possibilité.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# Voilà pourquoi les téléphones sont verrouillés…
Posté par Aissen . Évalué à 4.
… et que le déverrouillage (inclus) des Nexus implique de supprimer l'ensemble des données utilisateurs.
En effet, en cas de vol, la moindre faille permet d'accéder au données personnelles, et ce même si il y a un code de verrouillage téléphone (j'utilise le "signe à neuf points", ça vaut ce que ça vaut) ou un code PIN (propre à la SIM, il suffit d'en mettre une autre…).
De plus, j'ai activé le "2-factor authentication" dans mon compte google, ce qui fait que j’ai un mot de passe unique stocké dans le téléphone, et je peux révoquer ce token à tout moment.
Autre point (très) important: le débogage USB. C’est ce qui permet d'utiliser adb et de se connecter à son téléphone. C’est aussi un vecteur d'attaque assez courant pour rooter un téléphone. À désactiver quand vous ne l'utilisez pas.
Donc avec un téléphone à jour, et un code de verrouillage, tu es relativement à l'abri contre un voleur "ordinaire". Un pro aura des failles non publiques, ou attendra bêtement la prochaine faille publiée. Mais un téléphone qui attends, ça rapporte pas, surtout quand un formatage+revente est à portée de main.
Dernier point noir: la carte SD. Sur les derniers Nexus il n'y en a pas(c’est interne), donc tu es protégé. Mais sur les autres, point de salut, toutes tes photos et vidéos seront compromises. Que tu aie stocké tes mails sur la SD (avec une appli mail alternative j’imagine) est une erreur. Normalement seule des données de valeur personnelle "pauvre" devraient être sur la carte SD.
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Aissen . Évalué à 2.
J’ai oublié de préciser que j’utilise Prey (http://preyproject.com/) qui permet de localiser son téléphone à distance, et le cas échéant de le verrouiller.
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Alex . Évalué à 2.
Tu ne peux pas y accéder en ums (même sans déverrouiller ton tel) ?
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Aissen . Évalué à 1.
Sur le Nexus S tu peux, sur le Galaxy Nexus tu ne peux pas, car les partitions sont faites différemment pour partager l'espace entre applis et données. Donc tu ne peux y accéder qu’en MTP (je sais plus s’il faut déverrouiller le téléphone avant).
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par bubar🦥 (site web personnel) . Évalué à 4.
Oui et non, car lorsqu'on branche en usb, il faut valider l'activation. Si la personne, le voleur, branche le téléphone sur un usb, ça ne suffira pas à avoir accès aux données : il devra déverrouiller l'écran aussi.
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par BFG . Évalué à 9.
Il y avait un bug qui rendait le téléphone indéverouillable quand on se trompait 5 fois en faisant ce signe (le téléphone demandait alors le mot de passe du compte Google, sauf que cette vérification ne marchait pas), mais il était possible de passer outre (grâce à un autre bug, en se faisant appeler, ce qui donnait accès au menu)
Cette précondition est impossible à remplir avec certains téléphones, dont les mises à jour se sont arrêtées à la version 1.6.
Pas de carte SD ? Bientôt la batterie sera impossible à retirer, puis on ajoutera quelques DRM, la protection contre les utilisateurs sera parfaite. Ah, il fallait protéger contre les voleurs uniquement ? Il y a une différence entre les deux ?
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Aissen . Évalué à 2.
On est sur un site de geek où les gens peuvent soit installer une distrib communautaire (cyanogenmod), soit choisir un téléphone qui n'aura pas se problème (et sera déverrouillable) comme un Nexus.
Oui, la différence c’est qui a le contrôle. Si l’utilisateur a le contrôle, aucun problème.
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Aissen . Évalué à 2.
Pour le bug du verrouillage, je n’était pas au courant. J’ai déjà fait les 5 mauvais essais, et il m'a demandé d'attendre 30secondes, ensuite ça marchait. Je serais plus prudent à l’avenir…
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par ribwund . Évalué à 3.
Par curiosité vous utilisez votre carte SD pour quoi ? J'ai jamais eu de problème de place sur un smartphone (16GB sur mon telephone actuel, mais je ne regarde pas de films avec).
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Moogle . Évalué à 2.
Ça devient courant les téléphones de 16 Go, mais ça ne l'était pas il y a un an seulement. J'ai seulement 1,5 Go sur mon HTC Desire Z, sur les HTC Desire c'était encore moins que ça, et je ne parle même pas des bas/moyen de gamme qui peuvent avoir encore moins de mémoire interne.
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Paul . Évalué à 2.
Justement c'est lié. Généralement les smartphones qui proposent un stockage sur carte SD n'ont pas de gros stockage interne (typiquement moins de 2 Go) tout en fournissant que rarement une SD de plus de 2 Go. Ça permet de réduire le coûte du smartphone je suppose, et ça permet à l'utilisateur de choisir le stockage qui lui convient.
Mon smartphone me propose 1 Go de stockage interne et était livré avec une carde de 2 Go, que j'ai remplacée par une carte de 32 Go. Pour 300 € (nu) je me retrouve avec un smartphone solide, étanche, avec des mises-à-jour Android fournies par la communauté, largement assez rapide pour mon utilisation et proposant 32 Go de stockage. C'est-y pas beau ?
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par Babelouest (site web personnel) . Évalué à 1.
400 Mo sur mon Sony Xperia Pro, c'est un téléphone récent, mais moyen gamme
Avec ma carte SD de 32Go, ca roule !
[^] # Re: Voilà pourquoi les téléphones sont verrouillés…
Posté par kertiam . Évalué à 1.
Il y a adb lock qui bloque adb quand l'écran est éteint.
Ça permet au moins de limiter les blagues des collègues qui profitent du shell root pour effacer les scores d'AngryBirds quand on laisse trainer son terminal chiffré.
# Contenu sensible
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
Personnellement, je n'ai pas bcp de contenu sensible sur le smartphone. J'y ai installé 'Encrypted notes' (Android market, gratuit, https://market.android.com/details?id=ch.xot.encryptednotes&hl=fr ) afin d'entreposer les données très sensibles (Mots de passe, code alarme, etc).
La gelée de coings est une chose à ne pas avaler de travers.
# prey
Posté par Xavier . Évalué à 7.
Hello,
http://preyproject.com
Open source permet jusqu'à 3 devices gratuit. Pour les telephones, peux coupler la carte sim à un appareil en cas de changement un sms est envoyė.
Marche même pour les laptops.
[^] # Re: prey
Posté par Maillequeule . Évalué à 1.
Et puis https://www.cerberusapp.com/ aussi.
La gamme du dessus si on veut du spécifique Android, à un prix plutôt limité.
La gamme du dessus, parce que dans certaines conditions (root/unlocked bootloader), même une remise à zéro "usine" du téléphone permet de conserver le bénéfice de l'outil (ajout en ROM). Et ça C'est Bien™.
[^] # Re: prey
Posté par Aldoo . Évalué à 2.
Tiens Avast pour Android propose ça aussi... et c'est gratuit (mais pas libre... évidemmment).
# C'est pareil que pour un ordinateur portable.
Posté par Enjolras . Évalué à 1.
Enfin j'ai tendance à dire que c'est pire pour un ordinateur portable. Mais quoiqu'il arrive, les solutions sont les mêmes :
* Un mot de passe fort pour dévérouiler le téléphone quand il est allumé.
* Chiffrer les partitions, notament SD. Il me semble que LUKS fonctionne sous android, même si après, il faut pas vouloir lire sa carte SD sous Windows.
Notez qu'il faut que le téléphone soit rooté, ce qui, au vu de la politique de sécurité d'android, n'est pas très sécurisé. Mais après, si on veut une sécurité réelle, autant utiliser un vrai OS sur son téléphone…
[^] # Re: C'est pareil que pour un ordinateur portable.
Posté par BFG . Évalué à 3.
Peut-être avez-vous des éléments pour prouver cette affirmation ?
https://linuxfr.org/users/yusei/journaux/vol-de-smartphone-et-donn%C3%A9es-personnelles#comment-1309305
[^] # Re: C'est pareil que pour un ordinateur portable.
Posté par j_m . Évalué à 2.
C'était juste du bourrage, pour décaler le texte un peu sur la droite... Ne pas faire attention
[^] # Re: C'est pareil que pour un ordinateur portable.
Posté par Enjolras . Évalué à 0.
Combien de gens ont leur mdp de boite mail enregistré sur leur oridanteur portable ?
Combien de gens ont leur numéro de compte sur leur oridnateur portable ?
Combien de gens ont leurs photos de vacances/soirée sur leur ordinateur portable ?
Combien de gens ont leur relevés bancaire/factures electroniques/déclaration d'impôt ?
Oui, j'ai des éléments pour confirmer ce que j'affirme. En tout cas, moi j'ai plus peur d'un accès à mon oridnateur qu'a mojn téléphone. C'est pour ça que je le protège plus.
# vaste programme
Posté par steph1978 . Évalué à 2.
J'ai pas de remède miracle mais un ensemble de bonnes pratiques.
Des mots de passe différents et non triviaux pour chaque compte.
Sur android, désactiver l'USB Debuging. Mais ça ne résiste pas au "cassage" du motif de déverrouillage qui ne doit pas être si compliqué (sources ?).
Limiter au maximum l'historique de ce qui est stocké sur le téléphone.
En cas de vol, réagir vite pour changer tous ses mots de passe depuis un PC.
Moi je cherche un système où le smartphone est bourré d'explosif et quand il s'éloigne de plus de 30m de toi, boum.
Après c'est un peu dangereux pour tes collègues, quand tu oublis ton smartphone sur ton bureau en partant du boulot.
[^] # Re: vaste programme
Posté par Yusei (Mastodon) . Évalué à 2.
J'ai un avis mitigé là dessus. Au début j'essayais, mais devant la difficulté de mémoriser tous ces mots de passe et la réticence à les stocker quelque part, je prenais souvent des mots de passe trop simples. Depuis, hors sites sensibles et clés de crypto, je me contente d'un mot de passe fort que je peux changer relativement régulièrement, et d'un autre plus mnémotechnique pour les sites à la con qui sont capables de te l'envoyer en clair.
C'est évidemment moins bien qu'avoir des mdp forts et uniques, mais clairement mieux que ce que je faisais avant.
[^] # Re: vaste programme
Posté par ckyl . Évalué à 4.
Pour les services non critiques plutot que d'utiliser toujours le meme mot de passe ce qui permet a n'importe quel site web de s'identifier sur un autre service il vaut mieux utiliser un mot de passe aleatoire que tu retiens pas mais que tu mets dans un trousseau de clé de type Firefox sync. Si jamais le trousseau est cassé tu reviens à la situation initiale mais entre temps tu n'offres pas tout tes comptes a n'importe lequel de tes fournisseurs.
[^] # Re: vaste programme
Posté par Moogle . Évalué à 2.
Mieux : utiliser un générateur de mot de passe tel que PasswordMaker (existe en plugin Firefox, Chrom(ium)e, appli lourde, appli web, Android, etc...), qui va générer des mots de passe différents pour chaque site à partir d'un mot de passe racine.
Plus besoin de conserver un trousseau de clés, peut être utilisé sur n'importe quelle machine, et surtout il est impossible de déchiffrer les mots de passe.
[^] # Re: vaste programme
Posté par fearan . Évalué à 2.
Et on retombe sur le problème : si le master password se fait toper, il faut changer tous les sites dont le mot de passe dépend du système ;) Par contre il est vrai qu'il est plus difficilement trouvable, mais un keylogger est si vite arrivé ;)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: vaste programme
Posté par Moogle . Évalué à 2.
Pas faux, même s'il y a un semblant de sécurité supplémentaire avec la possibilité de définir des paramètres différents pour chaque site, par exemple pour ceux qui ont une taille limitée, ou qui interdisent les caractères spéciaux.
[^] # Re: vaste programme
Posté par ckyl . Évalué à 2.
Cool maintenant tu conserve un trousseau de paramètres différents !
[^] # Re: vaste programme
Posté par Moogle . Évalué à 1.
Les paramètres différents, en même temps, j'en ai 4 ou 5, c'est pas difficile à retenir.
[^] # Re: vaste programme
Posté par ckyl . Évalué à 2.
Mieux, ca me semble un peu péremptoire.
Comme inconvénient tu as que tu ne peux pas changer de mdp, et que si le site change d'url ou que la même auth est supportée par plusieurs sites différents c'est mort. Tu ne peux pas non plus utiliser des identifiants aléatoires pour les services dont tu te fous.
Chacun préférera la solution qui lui convient le mieux... De toute façon dans les deux cas, si quelqu'un a accès à ton compte tout tes mots de passe sont KO.
[^] # Re: vaste programme
Posté par Moogle . Évalué à 2.
C'est le cas pour Amazon par exemple, il suffit que je prenne toujours le mot de passe généré pour celui que j'utilise le plus souvent et ça marche.
Pour ceux là, j'ai toujours un mot de passe à la con à côté.
Si quelqu'un grille mon mot de passe maître, c'est grillé en effet, mais vu qu'il n'est stocké nulle part ailleurs que dans ma tête, et éventuellement temporairement dans la mémoire vive de mon PC, c'est assez difficile de le piquer. Reste les keyloggers, mais pour ça, le risque est quand même assez faible vu que je n'utilise quasiment pas d'autres ordinateurs que les miens.
[^] # Re: vaste programme
Posté par ckyl . Évalué à 1.
Donc tu as t'en souvenir, très bien pour amazon. Pour le forum ou t'as du t'inscrire y'a 1 ans et qui à changé de domaine...
Donc tu reviens au problème initial...
Ca demande exactement les mêmes prérequis que les autres solutions.
Je suis content que tu sois satisfait de ta solution. Mais avant d'affirmer qu'elle est supérieur aux autres il faudrait une analyse un tout petit peu objective.
[^] # Re: vaste programme
Posté par François Chaix (site web personnel) . Évalué à 1.
Pour se prémunir contre les keyloggers, KeepassX (un logiciel qui génère/stoke les mdp dans un fichier chiffré) permet d'utiliser à la fois un mdp maître et un fichier-clé.
Du coup, il suffit de mettre le fichier-clé dans un support externe, et de retenir le mdp :
Si il y a un keylogger, le méchant aura le mdp, mais il sera totalement inutile sans le fichier. Si quelqu'un vole le support externe, il ne pourra pas non plus lire la base de donnée de mdp avec seulement le fichier clé. En plus, si tu es malin, tu as mis le fichier chifré contenant les mdp et le fichier-clé sur un support différent.
Moi c'est la méthode que j'utilise. Ça marche très bien. (seul bémol, la version windows de KeepassX (Keepass) crée des fichiers bdd de mdp qui ne sont pas vraiment pris en charge par la version linux, il faut l'importer dans une base de donnée de la version linux. Et vice-versa.)
La lumière pense voyager plus vite que quoi que ce soit d'autre, mais c'est faux. Peu importe à quelle vitesse voyage la lumière, l'obscurité arrive toujours la première, et elle l'attend.
# En plus ...
Posté par samydb . Évalué à 2.
A lire :
* Mobile Media Toolkit :
http://mobilemediatoolkit.org/
* Mobile Security Overview
http://mobilemediatoolkit.org/node/24#&panel1-1
* InTheClear :
https://lab.safermobile.org/wiki/InTheClear
Beta Testers Wanted!
"IntheClear allows you to automate emergency communications and erase personal information from your phone with a single click. Available for Symbian, BlackBerry and Android phones. "
# SEAndroid
Posté par François Chaix (site web personnel) . Évalué à 2.
Tiens, je viens de tomber par hasard sur ceci : http://selinuxproject.org/page/SEAndroid
Apparemment c'est un android en mode parano, avec plein de corrections de sécurité, etc…
À creuser.
La lumière pense voyager plus vite que quoi que ce soit d'autre, mais c'est faux. Peu importe à quelle vitesse voyage la lumière, l'obscurité arrive toujours la première, et elle l'attend.
# ...
Posté par rakoo (site web personnel) . Évalué à 2.
Il est bien triste, le monde que tu nous décris là.
# Perso j'utilise un app payante sur Android
Posté par JoBwat . Évalué à 0.
Vous allez sûrement me cracher dessus mais j'ai acheté seekdroid -non libre-, on peut via leur site localiser le telephone, faire un wipe des données (y compris la SD), le faire sonner comme un dingue, et le locker. Et on peut aussi faire tout ça via SMS (si le web est coupé), ce qui est pas mal.
De plus l'app est apparemment ancré et un changement de compt ou de sim card ne changera pas son attachement..
perso je lock même pas mon téléphone, donc l'encryption c'est un peu loin pour moi
jme dis que le gars qui me piquera mon téléphone, soit il est malin et il le wipe pour le revendre, soit il a aucune idée qu'il a un droid dans les mains et que quelqu'un peut encore en faire quelque chose à distance.. et moi j'ai mes chances avec cette app.
# Vol de matériels électronique et mécanique
Posté par 2903STEF . Évalué à -2.
Pourquoi se casser la tête a chercher des solutions d'ingénieur avec des programmes comme ceci, programme comme cela, de plus soit ils sont payant, ou on une durée de vie limitée, mais rarement gratuit et efficace.
Moi personnellement, j'ai cherché une solution plus simple et plus efficace, et j'ai trouvé le système www.sinneo.com , car si tout le monde sera informé que mon appareil est volé, perdu.
Qui va encore vouloir prendre le risque de le revendre ou de l'acheter et d'être poursuivi de recel en cas de contrôle ?
En plus le système est gratuit pour les particuliers donc pourquoi s'en priver !!!
Qui n'essaye rien n'a rien. Un coup d'oeil vaut mieux qu'un long discourt et a chacun de choisir.
bonne journée à tous.
[^] # Re: Vol de matériels électronique et mécanique
Posté par Juke (site web personnel) . Évalué à 2.
joli spam
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.