Lire ses mails en confiance depuis Android ?

Yuusha Membre non connecté

Le 11/07/2020 à 11h31

TuxMips :

Et il n' ya pas que les smartphones qui semblent poser problèmes !
Cf cet article sur les modems-routeurs pas très joli à voir !

Attention quand même avec les histoires de failles de sécurité. Il faut toujours estimer le rapport coût/bénéfice pour les pirates ou sociétés qui voudraient s'en servir. Par exemple, on n'a beaucoup parler des failles spectre/mletdown. Mais parmi celles-ci, certaines était extrêmement complexes à exploiter. Donc elles n'auraient jamais eu d'incidence pour des particuliers. Les pirates (ou entreprises) qui font ça pour l'argent ne mettront jamais de moyen très couteux dans une attaque. Lorsqu'il s'agit de récupérer des données importantes, il y a de plus grands risques mais ceux-ci ne concernent que les entreprises ou services gouvernementaux.

Du coup, la solution consiste à "reflasher" tout ce qui peut l'être

TuxMips :

- le PC : virer windows pour y mettre Mageia Linux

Ça ce n'est pas trop dur.

TuxMips :

- le smartphone en virant Android et en y passant /e/, Lineage OS ou Sailfish OS (bien regarder les docs car tous les smartphones ne peuvent être reflashés).

Là c'est plus complexe. Perso je ne m'y lancerait pas (de toute façon j'ai un Windows Mobile). On peut aussi acheter des téléphones directement avec ces ROM ou les quelques téléphones Linux (le PinePhone devrait sortir d'ici peu à prix abordable car actuellement seule la version UBports est disponible)

TuxMips :

- et bien entendu : avoir son cloud personnel :-)

Là je ne suis pas entièrement d'accord. La première question à se poser est : ai-je besoin d'un cloud. Personnellement je n'en utilise pas. Un cloud utile suppose qu'il soit en permanence allumé et peut donc peser sur sa consommation d'électricité. Tout le monde n'en a pas les moyens. Les data center sont assez optimisés thermiquement/électriquement et jouent sur un facteur d'échelle. Je ne pense pas que ce serait bon pour l'environnement si le monde entier avait un cloud personnel. La plupart de nos maisons ne sont pas situées dans de bonnes zones géographiques et ne sont pas très performantes thermiquement. On en revient à la question, ai-je l'utilité d'un cloud ?

TuxMips :

En revanche j'utiliserais un portefeuille de mots de passe comme keepassXC. En appli Android il y a des apps que l'on trouve dans FDroid compatible KeepassXC.

KeepassXC a complètement changé ma vie d'internaute et je me permets d'en faire vraiment la pub ici ! C'est devenu absolument indispensable ! Et pour créer son mot de passe pour le portefeuille, il est impératif d'utiliser la méthode Dice avec des dés pour générer une passphrase qui tienne la route

Techniquement pour des raisons de sécurité, il faudrait utiliser Keepass et non KeepassXC. Seul Keepass a été certifié par l'ANSI. Attention les différentes applications pour téléphone n'ont pas été certifiées n'ont plus. Pour KeepassXC je ne me fait quand même pas trop de soucis si ce n'est de faire attentions que le logiciel soit régulièrement mis à jour (on l'a vu avec l'abandon de KeepassX).
Là encore je pense que pour le mot de passe maître n'importe quel mot de passe bien choisi d'un minimum de 12 caractère (une préconisation assez courante sur la longueur) est suffisant. Penser à bien mélanger tous les caractères. En effet rien ne sert de générer un mot de passe maitre trop complexe à retenir. De toute façon le cout de crackage d'un mot de passe du type (non ce n'est pas un des miens) : J<3Ma2d0°p15! (qui pourrait se traduire J'aime Mageia depuis 2015 ! est suffisamment complexe pour vous protéger.

steven :

A quelques conditions...
1 - tes "codes" ne sont pas en textes mais en images (sinon tu charge le "press papier" (buffer))

Là je ne comprends pas ce que tu veux dire. De toute façon des mots de passe sont du texte dans Keepass

steven :

2 - Choses que les gens oublies toujours
a) pas de copier coller (ctrl c dans keepass ctrl v dans .... NON ! MAUVAIS ! CACA !

Aucune raison, Keepass a été certifié et utilise des moyens de protéger le presse papier (qui de toute façon est effacé ainsi que son historique pour Windows au bout de quelques secondes).
Et tu fait comment ? Les wrappers pour Firefox qui rentrent directement ton mot de passe (comme Kee) sont considérés comme sécurisés mais pas plus que le presse papier. Et ouvrir ta fenêtre contenant ton identifiant et mot de passe est inutile vu que l'intérêt de Keepass est justement d'empêcher que quelqu'un puisse te voir taper ton mot de passe ou le regarder. Et la base de donnée est suffisamment cryptée pour être difficile à pirater.

steven :

b) Ne pas taper ses codes au clavier MAIS utiliser un clavier virtuel....

Et l'intérêt ? Éviter les Key Loggers ? S'il y a un keylogger qui envoies des données sur ton PC, tu as déjà un problème. Quand au clavier virtuel s'il n'est pas certifié autant utiliser Keepass sinon ce n'est pas mieux que le clavier...

Le mieux est l'ennemi du bien. En augmentant de 200% les règles de sécurité pour au final gagner une protection de 5%, on fait fuir les gens des vrais problèmes et ils n'appliqueront plus aucune règle. Il faut un juste milieu à tout.

Yuusha Membre non connecté

Modérateur Administrateur Forgeron

Le 11/07/2020 à 12h36

#271766

steven :

Et surtout qu'il te tienne loin de tempest

Pour cela il faut être à proximité (de vraiment à côté à une centaine de mètres selon l'attaque) de la cible. C'est un sujet de recherche mais il n'a jamais été prouvé que cela servait à quelque chose en utilisation offensive. C'est un peu comme je peux pirater le calculateur de votre voiture mais pour ça il faut que je sois branché dessus.

steven :

ou de man-in-the-middle attack (MITM) par exemple,

Ce n'est pas une attaque mais un type d'attaque. Elle est certes simple à mettre en œuvre mais si quelqu'un se trouve entre toi et le serveur distant, la façon dont tu envois ton mot de passe ne change rien. Quand à se mettre entre ton logiciel et ton presse papier, il faut avoir un accès à l'ordinateur ou au téléphone donc inapplicable dans la vie courante.

La plupart des attaques sur des particuliers (99%) viennent par vol de base de données au niveau du serveur ou phishing.

steven :

Si tu savais le nombre de sites, appli, prog, etc etc qui sont certifié et par des references, qui sont de vrais chambre a courant d'air tellement y a de portes... (meme avec le code libre et accessible...).

Si tu ne fait pas confiance aux certifications ANSI, je t'invite à éteindre tout appareil et à te déconnecter complètement. Là ce n'est plus possible. Tous les logiciels sont vulnérables aux failles, Firefox en corrige des dizaines par mois. La plupart sont en réalité très difficilement exploitable ou intéressante. Soit tu lis tout le code de toutes les applications et tu le comprends ce qui est impossible. Soit tu fait confiance à l'autorité chargée de la sécurité informatique en France et qui doit conseiller la plupart des entreprises stratégiques du pays.

steven :

Une simple injection de 3k de code dans le swap, m'affiche le contenu de ton ctrl c * (je simplifie)

Et comment tu la réussie à distance sans me faire installer ton code ou me forcer à avoir accès à mon installation ? Et tu fais comment pour retenir les 100 mots de passes différents que tu possèdes si tu dois tous les taper à la main ?

steven :

Pas uniquement, pas seulement mais surtout d’éviter tempest par exemple (7.8K), ou naffar ... voir man in middle[/i]

Et au vu du bruit numérique créé par la tour, l'écran, les enceintes du PC, la box, la chaine Hi-Fi, la télé et les boxs des voisins, tu ne peux pas intercepter des signaux exploitable à moins de te trouver devant ma fenêtre (surtout que mon clavier est filaire et donc moins vulnérable à l'interception). Et l'intérêt d'envoyer un gars devant chez moi toute la journée pour intercepter les émissions de mon clavier coute beaucoup plus cher que la valeur de tout ce que je tape.
Et vu que tu as téléchargé ton clavier numérique, il est plus simple de t'avoir fait télécharger un faux clavier qui enregistre tout ce que tu écris que d'intercepter mes émissions électromagnétiques.

Il y a la recherche : on prouve qu'une faille existe et permet de récupérer des données et l'application. De nombreuses failles ne dépassent jamais le domaine de la recherche (coût trop important de l'exploitation, difficulté à mettre en place le moyen d'attaque car il faut avoir un accès physique, passage de l'échelle laboratoire à une échelle industrielle impossible à cause des perturbations...)

Répondre

Vous n'êtes pas autorisé à écrire dans cette catégorie

Notre Mission	Liens du site	Nous joindre	MLO est hébergé par
MLO est le forum francophone de la distribution Mageia et vous propose également un portail dédié aux débutants. MLO vous apporte un support sur la distribution grâce à son forum et vous offre des nouvelles de la distribution, des logiciels libres et de l'Open Source en général. Notre site a aussi pour but de vous montrer que Mageia est un système d'exploitation complet et facile à prendre en main. Vous apprendrez à installer simplement et à administrer efficacement votre système en un temps record.	Forum Documentation News du libre Mageia	Contacter MLO Mastodon MLO Flux RSS	MLO est un projet soutenu par Nos partenaires et amis
MLO est mis à disposition selon les termes de la licence Creative Commons.

TuxMips Membre non connecté

steven Membre non connecté

Yuusha Membre non connecté

bellete Membre non connecté

steven Membre non connecté

moment magnetique Membre non connecté

Yuusha Membre non connecté

Guygoye Membre non connecté

nmrk.n Membre non connecté

teutates Membre non connecté