C'est cette petite affaire[1], réelle ou imaginée, du portable volé d'une conseillère d'un personnage politique très en vue qui m'amène aujourd'hui.
Si je ne doute pas que le portable ait bien été volé, je n'irais pas plus loin dans les spéculations sur le qui et le pourquoi, ce n'est pas mon propos.
Ma question est plutôt de savoir si les informations «sensibles» que contenait cette machine étaient protégées ou pas. Statistiquement, il est à peu près sûr que non.
Pourtant, c'est un sujet qui revient régulièrement chez toutes les personnes qui se déplacent régulièrement avec une machine remplie de documents qu'elles définissent elles même comme «confidentiels». Mais quelle que soit la solution que vous proposerez, c'est toujours trop compliqué, et la flemme aidant, le mot de passe à trois francs six sous finit toujours par être le seul garant de leur bonne conscience.
Pour ce qui me concerne, mon portable est équipée depuis plusieurs années maintenant d'une partition home+swap cryptée, le nécessaire de déverrouillage se trouvant sur une clé usb spécifique, que je ne laisse jamais branchée, ni à proximité du portable une fois la mise en route terminée.
Je n'ai pas le prochain discours de tel ou tel politique, mais entre mes clés gpg, mes mots de passe enregistrés pour les sites web les boites aux lettres et autres, j'aurais déjà de quoi me faire du mauvais sang et occuper plusieurs jours si ces informations devaient arriver entre de mauvaises mains...
Et vous, faites vous plutôt parti des:
- sédentaires (pas de portable)
- optimistes (j'ai rien d'important de toute façon...)
- je-menfoutistes (s'il pouvait trier mes spams en passant)
- paranoïaques (allongez vous et expliquez nous ça)
Ou autre catégorie...
[1] http://fr.news.yahoo.com/28022007/290/une-conseillere-de-seg(...)
Journal Votre portable est il sécurisé ?
28
fév.
2007
# De toute façon...
Posté par chimrod (site web personnel) . Évalué à 10.
# Détails ?
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 7.
Et tes backups ? Cryptés ?
Si tu oublie ta passphrase ?
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Détails ?
Posté par Charles-Victor DUCOLLET . Évalué à 2.
Déja, avec cette méthode, nos chers ministres n'aurais plus d'excuse pour perdre des données sensibles !
[^] # Re: Détails ?
Posté par Uriel Corfa . Évalué à 4.
[^] # Re: Détails ?
Posté par Matthieu . Évalué à 3.
[^] # Re: Détails ?
Posté par brazz . Évalué à 1.
Pour ma part, j'utilise encfs et fuse, mais il ne faut pas oublier le mot de passe (ce qui m'esr arrivé...) sinon on est marron.
En dehors de cet inconvénient commun à tous les mots de passe, je trouve ceci simple, rapide, commode et sur (enfin, sauf si c'est la CIA qui pique ton portable !)
[^] # Re: Détails ?
Posté par patrick_g (site web personnel) . Évalué à 4.
Pour certains oui....pour d'autres, moins bien doté neuronalement comme moi, cela reste difficile à configurer.
J'ai essayé de crypter un DD USB externe avec dm-crypt, Fuse..etc en lisant les how-to sur Ubuntu-fr mais j'ai laissé tomber après quelques tentatives infructueuses.
J'ai entendu dire que l'installeur de la prochaine Debian proposera une option pour crypter son DD. Ce sera peut-être LE moyen d'y arriver sans trop se prendre la tête.
[^] # Re: Détails ?
Posté par Olivier Guerrier . Évalué à 10.
J'en ai pas, c'est une chaine générée aléatoirement stockée dans un fichier sur la clé usb. Impossible à mémoriser. Après c'est comme pour une clé de voiture, j'ai des doubles :)
Pas pour le moment. Je sauvegarde sur un PC fixe à la maison, qui lui même sauvegarde sur dvd. Crypter toute la chaîne est dans la todo.
Bien sûr, c'est basé sur cryptsetup (lui même basé sur device mapper). C'est tout standard.
A l'usage ça se passe comme ça: j'allume mon portable normalement, pendant ce temps je sors la clé de mon portefeuille sa cachette, une fois que le PC est démarré, j'insère la clé dedans, je compte jusqu'à 10, je me logue, et pendant que ça mouline, je range la clé...
Pour la technique, on commence par le script principal, qui monte la clé usb, crée la partition cryptée, la monte, monte le swap, et démonte la clé usb:
#!/bin/bash
if [ "$ACTION" == "add" ]; then
if [ "$(df /home/ | tail -n1 | cut -d' ' -f1)" != "/dev/mapper/realhome" ]; then
mkdir -p /media/authkey
mount /dev/authkey /media/authkey
cryptsetup -caes -s256 -d/media/authkey/macle.txt create realhome /dev/mapper/home
fsck /dev/mapper/realhome
mount /dev/mapper/realhome /home
swapon /home/.swap
umount /media/authkey
fi
fi
Comme certains l'auront probablement remarqué, ce script est appellé depuis udev, comme ça le montage se fait automatiquement, dès que j'insère la clé, même si elle n'est pas présente pendant la séquence de boot.
Je vous donne donc la règle udev qui va bien :
#/etc/udev/rules.d/z99_authkey.rules
BUS=="usb", KERNEL=="sd?2", ATTRS{idProduct}=="xxxx", ATTRS{idVendor}=="xxxx", ATTRS{serial}=="xxxxxxxxxxx", NAME="%k" SYMLINK+="authkey", RUN+="/usr/local/bin/authkey.sh"
le KERNEL="sd?2" permet d'identifier la bonne partition. Évidemment, tout ça est à adapter en fonction de votre config... (je n'assumerais aucune responsabilité en cas de perte de données ou de mort de accidentelle de petits chats) Et comme j'ai un peu simplifié pour rendre plus lisible, j'espère juste ne pas avoir fait de connerie ;)
Bonne chance.
[^] # Re: Détails ?
Posté par Zorro (site web personnel) . Évalué à 2.
Ou alors tu crées une distro qui fait tout ça automagically ! En tout cas, je trouverai ça cool qu'un distro intègre de telles possibilités.
[^] # Re: Détails ?
Posté par Miod in the middle . Évalué à -2.
[^] # Re: Détails ?
Posté par Olivier Guerrier . Évalué à 2.
Je suis indépendant (Entreprise Individuelle). Si il y a une demande sérieuse, je suis disponible...
</PUB>
Plus sérieusement, je l'ai déjà mis en place dans des cas particuliers, mais je n'ai pas senti une vraie demande généralisée.
[^] # Re: Détails ?
Posté par Juke (site web personnel) . Évalué à 2.
Je "n'eteind " presque plus mon portable. Comment reagi ton systeme dans ces cas là ?
[^] # Re: Détails ?
Posté par Olivier Guerrier . Évalué à 3.
[^] # Re: Détails ?
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Ben si, c'est le swap...
[^] # Re: Détails ?
Posté par Alexandre Belloni (site web personnel) . Évalué à 2.
Et au sein d'une société, si tu prends un bus, tu fais comment pour lire le contenu du PC ou des sauvegardes ?
# plop
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 8.
Sinon, j'oscille entre la catégorie optimiste et jemenfoutiste, suivant mon humeur.
Je trouve beaucoup plus important d'utiliser des connexions SSL que de crypter mon home.
[^] # Re: plop
Posté par M . Évalué à 8.
C'est clair, j'aimerais connaitre le nombre de commerciaux qui consulte leur mails (via pop ou http) sur un wifi ouvert (aeroport, ...)...
[^] # Re: plop
Posté par moo2 . Évalué à 3.
[^] # Re: plop
Posté par Olivier Guerrier . Évalué à 6.
[^] # Re: plop
Posté par moo2 . Évalué à -3.
Bon plus serieusement j'ai jamais vu de webmail ne pas utiliser de https pour le login. Il est vrai que je suis pas un expert en webmail (faut dire que j'ai autre chose à faire) mais même comme ça j'aimerais savoir ce qu'il y a de dangereux dans le fait que tu récupère son login/pass.
Tu peux toujours envoyer un mail d'insultes à son patron... ça ne paraitra pas louche du tout. Ou alors tu peux envoyer du spam depuis son adresse, mais franchement je pense qu'il a plus de chance que l'hebergeur lui coupe son compte et le previenne qu'il est utilisé pour du spam plutot que lui faire un procès. Et d'ailleurs heureusement pour lui ça doit être vachement dur de convaincre quelqu'un qu'il faut être le dernier des demeurés pour utiliser son propre compte d'entreprise pour du spam.
Bien entendu, le coté intrusion dans la vie privé de l'acte est pas super agréable. Mais je trouve pas ça dangereux pour autant.
Pour ceux qui crypte leurs partitions : es ce que chez vous vous utilisez un code à chaques fois que vous écrivez un post-it ou votre liste de courses ? Ou es ce que vous vous contentez tout simplement de mettre les documents sensibles dans un endroit sûr ? Et si votre comportement diffère entre votre disque dur et votre habitation comment vous justifiez ça ?
[^] # Re: plop
Posté par Olivier Guerrier . Évalué à 9.
- Je regarde un peu tes mails, histoire de voir sur quels sites tu te balades. Je vois un petit mail ebay annonçant que tu as perdu/gagné une enchère. J'en déduit que tu as très probablement un compte paypal.
- Je vais sur le site de paypal. Je clique "j'ai perdu mon mot de passe", je rafraichis les mails, et ... ah ben tiens il est là...
(100% adaptable en fonction de ce que contiens la bal).
Le pire c'est que c'est très sournois comme démarche. Je peux scanner ta bal pendant des mois sans que tu ne te rende compte de rien. (je peux même effacer les avis de débit paypal, histoire que l'arnaque dure jusqu'au prochain relevé de compte papier).
Toujours pas dangeureux ?
[^] # Re: plop
Posté par moo2 . Évalué à -2.
Mais supposons. Tu as récupérer mon login/pass paypal, dans le cas ou j'ai laissé ni argent ni carte enregistré sur mon compte tu l'as dans l'os. Dans le cas ou j'ai pas laissé d'argent mais juste une carte faudra donner la date de validité + les 3 chiffres du dos, tu l'as dans l'os. Dans le cas ou j'ai laissé de l'argent sur le compte je l'ai dans l'os ~= le montant dispo.
Seulement voila si tu veux récupérer ce fric tu va devoir le transférer sur un autre compte paypal. Puis dans ta banque. Si tu es malin tu auras ouvert un compte dans un autre pays si possible pour éviter la tracabilité. Mais même comme ça paypal à tes coordonnées. Et je pense que si la justice le leur demande gentillement, ils les donneront. Bon ils peuvent être à moitié faux mais les coordonnées banquaires, seront justes elles. Et c'est suffisant.
Ok j'admet, pour le type qui se log sur un webmail qui a une page de connexion sans https, depuis point wifi accessible à n'importe qui et si ce même type fait des achats sur internet tout en laissant sur un site, qui permet de redonner le mot de passe perdu sans la moindre verification, les coordonnées de sa carte bleu ou de l'argent. Et si ce site ne redemande pas les trois chiffres au dos de la carte pour passer un achat. Il peut se faire avoir...
[^] # Re: plop
Posté par Xavier Teyssier (site web personnel) . Évalué à 3.
On parlait d'un commercial. En accédant à sa boite mail, tu pourras probablement connaître une partie de ses clients et des propositions commerciales associées.
Pour certains, c'est une info qui vaut de l'or !
[^] # Re: plop
Posté par Olivier Guerrier . Évalué à 3.
Ça va un peu ensemble de mon point de vue, c'est sûr que crypter son home ne sert à rien si tu transfère ta clé gpg privée en clair via ftp...
[^] # Re: plop
Posté par PiT (site web personnel) . Évalué à 2.
Je vais qd même faire deux réflexions (à 2 balles)
- Ferme-tu ta voiture à clé ? (Si tu n'as pas de voiture, la porte arrière de ta maison, si tu n'as pas de maison ... tant pis ;-) )
- Je suis prof et suis partisant de distribuer librement la majorité de mes notes. Pour ma part le "savoir se partage" (c'est péteux hein ?). Par contre, j'ai des collègues qui demandent des droits d'auteurs, qui refusent de diffuser leur notes sur internet, ...
Comme quoi on est tous différents. Pour ceux qui ont vu Robin des Bois
- Pourquoi Dieu t'a peint en noir ?
- Parce que Allah aime la diversité.
[^] # Re: plop
Posté par Anonyme . Évalué à 4.
D'ailleurs c'est un point un débattre. Tu leurs dira qu'en général le monsieur qui paie des impôts n'est pas tout a fait d'accord a ce qu'ils aient le beurre et l'argent du beurre :). La situation actuelle me plait pas mal : un livre écrit par un enseignant (lié a son domaine) sur sa propre initiative est considéré comme "détachable du service" (càd hors de l'activité liée au service public), sinon tout appartient a l'état.
A mon avis, pour ce qui est des cours, l'enseignant n'a aucune légitimité pour garder ses copyrights, de la même manière que les notes d'un formateur appartiennent a l'entreprise qui l'emploie.
Par contre j'aimerais bien une petit note supplémentaire : l'état devrait automatiquement renoncer a ses droits pour que les cours soient diffusables : ne serais ce que pour lever le doute juridique sur un élève donnant des copies à son pote qui a raté les cours parce qu'il était l'hopital.
En tous cas a l'époque, je ne savais pas, mais j'aurais bien voulu voir "Michel LeProf - © République Française" sur les cours ou le droit d'auteur était précisé, plutôt que de voir seulement le nom du prof.
http://www.internet-juridique.net/publications/droitcomm/lib(...) - voir le point 2.3
[^] # Re: plop
Posté par PiT (site web personnel) . Évalué à 2.
[1] Je rappelle que je ne partage pas cet avis puisque tu peux librement utiliser mes notes de cours ... quoique l'auteur apprécie d'être informé (dixit) ;-)
[^] # Re: plop
Posté par beagf (site web personnel) . Évalué à 1.
Dans mon entreprise, tout est très clair, le code que je produit durant mes heures de travail dans l'entreprises lui appartiennent. Elle en possède tous les droits. Mais le code que je produit sur mon temps personnel le soir chez moi m'appartient, et notament il m'arrive dans la journée de me dire, que tel outils serait bien pratique, mais pas forcement indispensable, donc j'attend le soir, en attendant je bosse sur d'autre choses, et le soir je rentre chez moi, et par plaisir je me met à coder le truc en question que je met sous licence libre (MIT dans mon cas mais vu que ce sont majoritairement des outils independant cela ne change pas vraiment grand chose) et le lendemain quand je retourne au boulot je peux utiliser l'outils en question sans problème et sont code reste mon entière propriétée.
Mon entreprise n'y voit absolument aucun problème, bien au contraire, elle y gagne que le soir je bosse sur des chose en rapport avec mon travail de thèse, donc quelques semi-heures sup qu'elle n'a pas à payer, mais en même temps sa me permet de faire entrer tout doucement le libre chez eux, et il commence à voir l'interet du code libre. Les premiers essais de partager le code que je produisait avec d'autres chercheurs du même domaine on permis de leur prouver que l'on recoit réellement des rappor de bug avec et patch, et des amélioration et que c'est globalement bénéfique, et l'idée commence à faire sont chemin.
Maintenant, en plus de la recherche en entreprise je donne des cours dans l'école d'ingés du coin. Un cours de math à ce niveau (pas si élevé que ça, magré le mot inénieur....) c'est pas j'arrive les mains dans les poches et je baratinne les élèves. Je compte en gros 4h de préparation pour un cours ou un TD de math de 2h, 6h pour la préparation d'un examen. Or si mon entreprise à la gentillesse (et l'obligation si je ne me trompe pas) de me laisser donner les cours sur mon temps de travail, je ne suis pas sur qu'elle ferait un grand sourire si je les préparait aussi dessus. Donc le temps de préparation je le prend sur mon temps libre le soir chez moi tout comme pour mes projets libres.
Dans les deux cas, le but premier de cette occupation est pour un employeur, qu'il soit publique ou privé, mais avec d'autre possibilitée d'utilisation.
Dans les deux cas ce travail est éffectué sur mon temps libre, sans que je touche de rémunération pour cela (vu le tarif que je suis payer pour mes cours, je préfère me dire que c'est uniquement pour les heures de cours et pas pour la préparation, ou alors si les deux sont compter je suis payer en dessous du smic et ils vont devoir m'augementer)
Dans les deux cas je redistribut mon travail sous licence libre de manière parfaitement volontaire mais j'en reste le propriétaire dans tous les cas.
Peut tu m'expliquer en quoi le second cas est différent du premier, et en quoi je devrais laisser la propriétée de mon travail à l'état ? Je suis d'accord que la formation que je dispense est propriétée de l'état et que si mes cours était filmer je n'en serait pas le propriétaire. Je suis d'accord que si mes horaire incluait un temps de préparation de mes cours il appartiendrais à l'état, mais ce n'est pas le cas. Pas plus que pour les enseignant chercheurs. Il est déjà assez difficile de faire tenir les heures de cours, de recherche et de papier administratif en 35h, il est rare que ça ne déborde pas dans tous les sens, donc la préparation des cours même si souvent c'est répartit sur plusieur année tu aurra du mal à les faire rentrer dans les horaires de travail.
Ils ne le font donc pas dans le cadre de leur temps travail et font donc ce qu'il veulent de leurs support de cours.
# Je dois être dans le groupe "optimistes"
Posté par pi6Lohe . Évalué à 3.
[^] # Re: Je dois être dans le groupe "optimistes"
Posté par Olivier Guerrier . Évalué à 2.
Tu dois donc avoir des clés ssh ? et même si elles sont protégées par une passphrase, il y a risque.
Sans parler des mots de passe enregistrés par (par exemple) Firefox et Thunderbird.
Et pour finir ma parano, il y aussi le swap, qui contient toujours des choses super intéressantes (essaye de lancer "strings /ton/swap | grep -i 'un truc secret' " pour voir. Et le swap, suivant comment il est utilisé, il garde loooongtemps les infos.
[^] # Re: Je dois être dans le groupe "optimistes"
Posté par pi6Lohe . Évalué à 2.
Et en étant encore plus parano, il ne faut pas oublier de configurer ses outils pour n'avoir aucun historique, cache, sauvegarde et vider les fichiers de logs à chaque arret de la machine. Si le portable à suffisamment de mémoire, il est possible de se passer du swap. Mais arrivé à ce point là, autant booter sur un live-cd préconfigurer.
Dans mon cas, l'information la plus confidentielle disponible sur le portable est où je me suis connecté quelque soit le protocole.
# Bonne solution
Posté par Charles-Victor DUCOLLET . Évalué à 1.
[^] # Re: Bonne solution
Posté par kadreg . Évalué à 6.
[^] # Re: Bonne solution
Posté par Charles-Victor DUCOLLET . Évalué à 3.
[^] # Re: Bonne solution
Posté par nanard . Évalué à 10.
Allez tous vous faire spéculer.
[^] # Re: Bonne solution
Posté par Romeo . Évalué à 6.
[^] # Re: Bonne solution
Posté par Charles-Victor DUCOLLET . Évalué à 1.
# jamais avec portable
Posté par jijin . Évalué à 0.
Je n'ais jamais pensé à proteger mes mots de passe et autre, mais j'ai pris l'habitude d'utiliser deux navigateurs. L'un me sert pour les forums sans sécurité importante, jeux et compagnie, et l'autre pour les billets de train et le compte en banque, celui ci je le "vide" régulierement, pas de cookie, pas de cache, presque rien... et je ne mélange pas.
Maintenant sous MacOSX (oui je sais ca pue c'est pas libre :), je fais pareil. J'ai mon navigateur open source qui me sert à ca et que à ca et que je vide à chaque fois. Je pense pas, du coup, risquer grand chose....
D'autres part je fais des back-up et tout mes fichiers sont sur des disques durs externes, le DD interne ne renfermant que les fichiers usuels, les programmes et bien évidemment le systeme.
# à propos de cryptage
Posté par z a . Évalué à 2.
# Réaliste
Posté par gyhelle . Évalué à 10.
# Impact ?
Posté par WH (site web personnel) . Évalué à 3.
Je me demandais si ton système était plus lent à l'utilisation, si c'était sensible ou non.
Sinon, si on veut aller plus loin, il existe aussi la possibilité de locker son disque dur, mettre un mot de passe dans le bios ou dans grub. C'est plus ou moins efficace, mais qui peut le plus...
[^] # Re: Impact ?
Posté par Olivier Guerrier . Évalué à 5.
Mais l'impact en terme de perfs brutes n'est pas négligeable, voici des chiffres:
Sans cryptageEt avec cryptage(Sur un P3@1Ghz)
# Gros lourd
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Gros lourd
Posté par Sylvain Sauvage . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.