Catégorie : Sécurité informatique

SafetyCore

Je vois passer pas mal d’affolement et de FUD à propos du nouveau service SafetyCore sur Android.

C’est quoi ?

Le service a été annoncé par Google. Il sert à classer les messages entrants pour identifier les usages malveillants ou douteux. Il identifie aussi la nudité sur les images pour la masquer en l’attente de confirmation de l’utilisateur.

Ce dernier usage est indiqué comme activé par défaut pour les mineurs, qui bénéficieraient aussi d’une alerte informative quand ce sont eux qui envoient des images sensibles.

Tout ça est traité en local. En conséquence, ce n’est pas un service d’espionnage, de tracking ou d’information vers les autorités. Rien n’est échangé avec les serveurs de Google ou envoyé vers une autre destination.

Est-ce qu’on peut avoir confiance ?

La confiance ça ne se dicte pas, et c’est très personnel. Les développeurs de GrapheneOS, qu’on peut difficilement qualifier de pro-Google, ne semblent rien avoir à y redire.

Alors oui, on peut imaginer que maintenant ou à l’avenir, Google utilise ce service ou une future mise à jour de ce service pour un usage malveillant. C’est toutefois vrai avec tous les services de Google, que Google Play met à jour en permanence.

Si vous n’avez pas confiance en Google, le problème n’est pas ce nouveau service. C’est tout l’OS qu’il faut changer, pour un dont Google ne gère pas les mises à jour automatiques. Note : Vous devrez quand même faire confiance à quelqu’un, ce sera juste quelqu’un d’autre.

Ok, mais l’installation est cachée quand même…

Je ne crois pas qu’on puisse dire que l’installation est cachée si l’évolution a été annoncée publiquement il y a plusieurs mois.

Elle par contre automatique. Oui, c’est discutable. Maintenant il faut voir d’où on vient pour comprendre.

Par le passé Android était un nid à problèmes de sécurité. Les constructeurs ne mettaient pas tous les appareils à jour, ou peu longtemps et avec une forte latence.

Google a fait le choix, probablement à raison, de séparer l’OS en deux couches et de s’occuper lui-même de la mise à jour des services cœurs pour répondre à ces difficultés. Il le fait pour les corrections comme pour les évolutions. Si un service cœur change ou s’ajoute, votre téléphone en profite même si le constructeur n’est pas diligent.

Le service dont on parle est bien un service cœur, qui a un rôle de protection. Il est normal qu’il ait suivi la voie de la mise à jour automatique.

C’est discutable mais mieux que l’alternative.

Pourquoi n’est-il pas Open Source ?

Je ne sais pas, mais je peux tenter de supposer.

Le premier point, c’est que c’est un modèle de tri, pas un algorithme. Le code source a moins de sens si le cœur reste un gros paquet binaire.

Ils auraient pu ouvrir le modèle lui-même, avec son apprentissage. Je ne sais pas pourquoi ils ne l’ont pas fait. Peut-être est-ce pour ne pas donner d’indication sur comment éviter le classement, peut-être est-ce juste parce que l’IA est le sujet à la mode sur lequel ils veulent garder un avantage.

8 février 2025
Bonnes et mauvaises pratiques d’éditeur de service en ligne
Je reçois un email qui prétend venir de Lydia et qui me demande de renvoyer mon RIB en réponse si je veux récupérer mes sous, que sinon j’aurai des frais à payer, avec une notion d’urgence avec « dernier rappel ».

Un RIB par email plutôt que de me renvoyer vers le site web ?

Décompte des points : 1x louche

L’email provient d’un nom de domaine inconnu au bataillon, qui ne semble pas du tout être celui de Lydia : info.isbs.eu.

Décompte des points : 2x louche

Il n’y a aucune page Web ni sur info.isbs.eu, ni sur www.isbs.eu, ni sur isbs.eu.

Décompte des points : 3x louche

Les liens de l’email vers l’app ou les docs sont masqués derrière des redirections click.isbs.eu, impossible de savoir où ça mène mais déjà le premier domaine n’est pas de confiance.

Décompte des points : 4x louche

Normalement je m’arrêterais là. Ça ressemble à du phising sur à peu près tous les aspects. Sur un site associatif pourquoi pas, mais pas dans le domaine financier et paiement.

Je m’apercevrai d’ailleurs plus tard que j’ai effectivement superbement ignoré les emails précédents, probablement à cause de ça, dont un dont le domaine de réponse (isbs.eu) est différent du domaine de l’expéditeur (lydia-app.com, on y reviendra), chose assez caractéristique d’un spam.

Décompte des points : 5x louche

Je ne sais pas, j’ai eu un doute cette fois-ci. L’email m’indique un solde crédible. Je veux en avoir le cœur net.

J’installe l’app Lydia en vérifiant le nombre de téléchargements pour m’assurer que c’est la bonne et je m’identifie après avoir bataillé parce que le bouton continuer fait une jolie animation mais sans passer à la page suivante tant que je n’accepte pas les traceurs (vraiment ?).

Décompte des points : 5x louche, 1x gênant

Sur l’app j’ai un solde à zéro. Bon, je ne l’utilise plus mais je sais que mon solde ne devrait pas être zéro. Il y a problème.

D’ailleurs je clique sur historique pour vérifier si on ne m’a pas tiré mes sous et je retrouve mes petits, avec du crédit en dernière transaction donc impossible d’avoir un solde à zéro. Wtf ?

Décompte des points : 5x louche, 2x gênant

Hors de question de m’arrêter là. Le solde c’est plus de 200 €.

Je repars sur l’email pour mieux comprendre. On me propose de créer un compte sur l’app Sumeria. Là je me rappelle que Lydia avait changé de nom.

Du coup j’ai de nouveau un Lydia et mes sous sont passés ailleurs (peut être avec mon accord ou mon action, même si je ne m’en souviens plus) sans capacité de les retrouver dans le nouveau Lydia.

Décompte des points : 5x louche, 3x gênant

J’installe donc l’app Sumeria en vérifiant sa vraisemblance. Je n’ose même pas tenter de refuser les traceurs ce coup ci et je tente direct de m’identifier avec le mot de passe Lydia (il m’est proposé par bitwarden donc soit c’est reconnu comme étant le même compte soit j’ai déjà manuellement ajouté l’app Sumeria à ce compte Lydia).

Il ne me dit pas que le mot de passe est mauvais mais me dit qu’il y a eu trop de tentatives (au premier essai). Pourtant il m’avait demandé mon mot de passe après m’avoir demandé mon identifiant, et me le redemande à nouveau. Je ne comprends pas.

Décompte des points : 5x louche, 4x gênant

La réinitialisation de mot de passe me dit qu’ils feront une vérification d’identité. Je suis dans le train donc ça va être difficile, et le message du nombre de tentatives m’incite à penser qu’ils ne laisseront pas passer une réinitialisation sans procédure manuelle de leur part.

Je tente plutôt le support, en demandant confirmation que l’email de départ est légitime malgré son nom de domaine, et si oui comment j’aurais pu le savoir (sous-entendu : c’est louche, faites mieux). En même temps je signale l’histoire du nombre de tentatives.

C’est un formulaire, il faut que je laisse email et téléphone avant de laisser le message. Je ne l’avais pas compris tout de suite (ça me fait arriver sur une zone de texte pleine page sans label) mais j’ai du cliquer trop vite.

Peu après je reçois un email provenant du même domaine qu’à l’origine, isbs.eu, sauf que cette fois-ci je n’ai même pas un nom Lydia ou Sumeria dans le champ expéditeur.

Décompte des points : 5x louche, 5x gênant

L’email est taggé « This message might be suspicious or spam. » par Gmail.

Décompte des points : 6x louche, 5x gênant

Tout au moins le message semble être une réponse à une demande de support, ce qui crédibilise le nom de domaine. Il me demande de répondre par email avec mon numéro de téléphone. Je suis pourtant super convaincu de l’avoir donné dans le formulaire de support.

Décompte des points : 7x louche, 5x gênant

La coïncidence serait trop forte. Je considère que l’email est légitime et je donne mon téléphone.

Je reçois alors encore un email, cette fois-ci de « xxx de Lydia Solutions » mais le domaine expéditeur a changé (!?) en cours de conversation.

Décompte des points : 8x louche, 5x gênant

Le nouveau nom de domaine est lydia-app.com. Ok, ça parle de Lydia mais le site web connu de Lydia est lydia.me. C’est quoi ce mic-mac ?

Décompte des points : 9x louche, 5x gênant

Je vais voir ce nouveau nom de domaine, qui se révèle une redirection vers sumeria.com (et donc vers Sumeria et non vers Lydia, alors que le nom référence Lydia).

Décompte des points : 9x louche, 6x gênant

Ok, et cet email me dit d’aller sur une page qui va déclencher un code par SMS et qu’il faut envoyer ce code SMS par réponse email (!!). J’ai vérifié deux fois, on me demande de renvoyer par email un code de confirmation SMS, le truc qu’on dit toujours partout de ne jamais faire.

Décompte des points : 10x louche, 6x gênant
(je ne compte qu’un seul point louche mais ça en mériterait bien 5 ou 6)

Le lien sur lequel cliquer est sur lydia-app.com (pas lydia.me ni sumeria.com) et cette fois-ci ne redirige pas vers Sumeria. J’ai une page vide, avec un unique bouton au centre de la page. Rien d’autre, dont aucun élément de réassurance. Le certificat TLS est un Let’s Encrypt, donc le nom de domaine peut appartenir à n’importe qui.

Décompte des points : 11x louche, 6x gênant

Je suis joueur, je commence vraiment à croire à un truc hyper mal foutu plutôt qu’à une malveillance. Je clique.

Je reçois un SMS avec un code et un texte qui dit explicitement d’envoyer ce code par email. J’applaudis cette réassurance, j’en avais besoin vu la sensibilité de l’opération et c’est la première de tout le parcours.

Décompte des points : 11x louche, 6x gênant, 1x réassurance

J’envoie donc ce code SMS par email (j’ai dû me forcer). Le support me répond que trois adresses sont valides pour les échanges, une en @info.sumeria.com, une en @news.sumeria.eu, et une en @info.isbs.eu.

Les deux premières j’aurais accepté la légitimité d’office. La dernière j’ai quand même du mal à comprendre mais pourquoi pas… si on oublie que c’est une adresse en @lydia-app.com qui me le dit, et qu’elle n’est pas dans la liste. Je ne pinaille pas, c’est important. Je n’ai pas non plus l’adresse en @isbs.eu par laquelle j’ai eu le début d’échange.

Décompte des points : 11x louche, 7x gênant, 1x réassurance
(j’ai hésité entre louche et gênant, je vais considérer là que c’est un problème de complétude de réponse du support donc juste gênant)

On me propose aussi de réinitialiser mon mot de passe à l’aide de ma carte d’identité ou de ma carte bancaire… qui a expiré depuis.

Décompte des points : 11x louche, 8x gênant, 1x réassurance

Pas grave, je vais répondre au mail du tout départ avec mon RIB maintenant que j’ai une bonne confiance qu’il est légitime. Tant pis pour le compte Sumeria. Tout ça ne m’a pas donné assez confiance pour le restaurer.

J’ai quand même été aidé après 20h le soir, rapidement, par email. C’est positif.

Décompte des points : 11x louche, 8x gênant, 1x réassurance, 1x positif

De façon ironique mais quand même réellement pour aider à améliorer, je lui répond que son email à elle n’est pas sur la liste des adresses légitimes et que tout ça n’est pas top pour les bonnes pratiques de sécurité.

Là elle me répond avec un lien qui donne effectivement les adresses légitimes possibles. Je me rends compte que j’aurais pu m’épargner tout ça en cherchant sur google le nom de domaine. Je serais tombé sur cette page. Fatigué, ça n’a pas été mon réflexe mais est-ce vraiment à moi de compenser leur fonctionnement louche ? Je compte une réassurance utile quand même.

Décompte des points : 11x louche, 8x gênant, 2x réassurance, 1x positif

Vous savez quoi ? La page ne contient effectivement que les trois adresses qu’elle m’a donné, il manque donc une adresse en @isbs.eu (seul un sous-domaine « info » est listé, et pas avec le même utilisateur) et rien ne liste le domaine lydia-app.com avec lequel je discute et qui m’a demandé un code SMS.

Décompte des points : 12x louche, 8x gênant, 2x réassurance, 1x positif
(là c’est point louche vu que la page web officielle et plus une discussion)

Elle m’a répondu à côté. Je lui dit que son email n’est pas listé là-bas non plus. Je mets un smiley, je suis plus amusé mais je le signale explicitement quand même parce que sinon ça ne sera pas corrigé.

Malheureusement elle insiste. Elle me dit que c’est bien sur la page web (mais non). Je sens que je l’agace.

Décompte des points : 12x louche, 9x gênant, 2x réassurance, 1x positif

J’insiste moi-même. Désolé. J’ai besoin d’avoir l’impression que ce sera traité. Je cite la page, explicite que le domaine n’y est pas. Mon propos est peut-être moi aussi un peu agacé. Je dis que je m’arrêterai là. Ma question a eu une réponse la suite c’était pour aider, pas pour me prendre la tête avec une personne du support qui est probablement de bonne volonté.

Je reçois un dernier email pour me dire que les adresses données sont uniquement pour la communication officielle de Sumeria et que le service client utilise trois autres adresses en @news.lydia-app.com, @info.lydia-app.com et @lydia-app.com. J’ai un peu de mal à voir pourquoi un news et un info pour du support et en quoi le support n’est pas officiel ou ne mériterait pas d’être crédibilisé sur la page web de réassurance mais je ne vais pas relancer, ce ne sont pas mes oignons.

Demain je tenterai d’envoyer on RIB pour récupérer mon solde. Je n’ai pas hâte. L’expérience ma très fortement refroidi côté sérieux et confiance.

Pour l’instant, si quelqu’un de Lydia/Sumeria me lit, je me doute qu’il y a des raisons à tout ce circuit, mais vous êtes quand même en train de demander à vos utilisateurs de s’habituer et d’agir à l’encontre de tout ce qu’on présente partout comme des pratiques de sécurité contre le phishing :
- Ne pas prendre en compte les emails venant de domaines inconnus
- Ne pas prendre en compte les emails avec une adresse de réponse étrange ou inconnue
- Ne pas cliquer sur des liens menant vers des cibles masquées ou inconnues
- Ne pas envoyer d’informations personnelle ou sensible par email à quelqu’un qui est censé les connaitre déjà
- Ne JAMAIS envoyer de code de confirmation SMS par email ou ailleurs que sur la page de login officielle
Pour une app finance-paiement, j’attends autre chose. Peu importe les raisons, ça mérite de faire mieux. Il y a des moyens. Au minimum :
- une interface web pour les messages du support, hébergée par le nom de domaine officiel principal (ou un sous-domaine de celui-ci)
- la capacité de retrouver sur une page du domaine officiel principal (ou un sous-domaine de celui-ci) les messages d’information importants envoyés par email
- les envois de données sensibles (comme un RIB) sont à faire sur une page web du du domaine officiel principal (ou un sous-domaine de celui-ci) et pas par email
- des pages web qui listent tous les domaines et adresses qui envoient des emails en votre nom (support inclus)
21 janvier 2025
Dis tonton, c’est quoi le chiffrement au repos, en transit, et de bout en bout ?

Ben oui, c’est bien joli de dire que les données sont sécurisées parce que chiffrées, mais ça veut tout et rien dire.

Petite analogie avec des bijoux et un coffre-fort qu’on va considérer inviolable pour l’exercice.

Chiffrement au repos

La banque vous offre un coffre-fort personnel pour vos bijoux à la banque. Ils sont super sécurisés, personne ne peut forcer le coffre.

Bon, par contre c’est le personnel de la banque qui a la clef de tous les coffres, le votre aussi. Ce sont eux qui vont chercher vos bijoux, accéder à la salle des coffres, ouvrir le coffre, et vous les ramener au guichet à chaque vous que vous voulez y accéder.

La banque sait exactement ce que vous stockez et comment vous y accéder. En fait c’est même elle qui stocke et qui accède. Elle peut voler ou copier le contenu. Un salarié de la banque peut accéder à ce même contenu ou le voler s’il arrive à mettre la main en interne sur la clef du coffre. Un voleur tiers pourrait réussir à profiter d’une faille dans les procédures de la banque et faire un braquage qui lui permet d’accéder à la fois aux clefs et aux coffres, et voler ou copier vos bijoux. Enfin, peut-être que la banque ou un de ses prestataire seront négligents, et laisseront traîner n’importe où la clef, ou un double de celle-ci, ou même vos bijoux avant de vous les remettre.

Bref, c’est mieux que rien (il y a un coffre), mais tout repose dans la confiance en la banque, en sa sécurité, en ses employés.

Chiffrement en transit

Quand la banque vous donne accès aux bijoux, elle vous les livre chez vous. Pour ça elle utilise un petit coffre-fort dont vous avez échangé les clefs à l’avance. La banque en a une copie, la seconde est entre vos mains. Personne d’autre ne peut ouvrir le coffre en l’état actuel des technologies pour peu que ni vous ni la banque ne laisse traîner les clefs.

Vos bijoux restent accessibles à la banque. La banque sait ce qu’elle vous envoie. Elle peut les examiner à loisir, voire les voler ou les copier à ce moment là. Plusieurs employés de la banque peuvent faire de même, pour plein de raisons légitimes différentes. Certains pourraient profiter de failles dans les processus internes pour y accéder de façon illégitime. Un braqueur pourrait toujours avoir accès à vos bijoux s’il braque la banque.

Enfin, peut-être que la banque ou un de ses prestataire seront négligents, et laisseront traîner n’importe où la clef, ou un double de celle-ci, ou même vos bijoux avant de vous les remettre. Peut-être que vous-même aurez laissé votre exemplaire de votre clef dans votre appartement privé non sécurisé et que quelqu’un pourra y accéder.

Bref, c’est indispensable (on ne va pas vous envoyer vos bijoux dans un carton standard par La Poste) mais ça ne « sécurise » pas totalement vos bijoux pour autant.

Chiffrement au repos et en transit

Bien évidemment votre banque est sérieuse, elle s’occupe donc du stockage et du transit.

Sauf qu’au final c’est quand même la banque qui va accéder et ouvrir votre coffre à la banque, prendre les bijoux, puis les stocker dans le coffre qui sert à l’envoi. Au passage elle les manipule directement sans protection, par exemple pour les nettoyer.

La banque a toujours total accès à vos bijoux, pour savoir lesquels est-ce, les copier, les dégrader ou les voler si elle n’est pas de bonne foi. Plusieurs employés de la banque ont accès directement ou indirectement à ces bijoux, pour des raisons légitimes. Certains pourraient être de mauvaise foi. D’autres employés pourraient abuser certaines faiblesses dans les procédures de sécurité pour y accéder malicieusement aussi. Un braqueur pourrait accéder à la banque et récupérer les bijoux ou les clefs, ou les deux à la fois. Des prestataires pourraient avoir une copie des clefs, ou les laisser trainer. Des employés pourraient être négligents.

Bref, on protège avec des coffres mais le principal reste : Il faut faire confiance à la banque, à ses employés, à ses prestataires, à la robustesse des procédures de sécurité.

Chiffrement de bout en bout

Vous avez un coffre, que vous avez acheté dans une boutique de confiance ou construit de vos propres mains. La boutique de confiance peut être votre banque mais pourrait aussi être un tiers, ou une banque concurrente.

Seul vous en avez les clefs. Vous stockez vos bijoux dedans, donnez le coffre fermé au transporteur. La banque stocke votre coffre tel quel, sans pouvoir l’ouvrir, en inspecter le contenu, le copier ou le voler. Quand vous voulez accéder à vos bijoux, on vous rend votre coffre et c’est à vous de l’ouvrir. Personne n’a pu voir vos bijoux, ou même savoir si ce sont vraiment des bijoux.

La banque n’a plus accès à rien. Vous n’avez pas besoin de lui faire confiance. Tout au plus elle peut perdre votre coffre mais personne ne pourra accéder au contenu tant que vous n’en perdez pas les clefs (*). C’est par contre à vous de vous assurer de garder les clefs dans un endroit sûr, et d’acheter le coffre à un tiers de confiance qui n’en garde pas les doubles.

Pour accéder à vos bijoux il faudra cependant vous braquer vous (ou que le vendeur du coffre ait été fautif au point de garder un double des clefs et qu’il se fasse braquer lui) et ensuite aller braquer la banque pour accéder au coffre. C’est possible mais ça commence à être bien plus limité.

Bien évidemment, vous êtes toujours sujet à un braquage chez vous, une fois le coffre ouvert, mais ça la banque n’y pourra jamais rien.

(*) Point sensible : Si le coffre est inviolable et que vous perdez vos clefs, plus personne ne pourra vous aider à récupérer vos bijoux. Ils seront perdus à jamais pour tout le monde. La sécurité complète c’est à double tranchant. Il y a des solution à ce problème, des bonnes et des mauvaises, mais c’est un sujet à part entière.

20 mai 2022
Sécurité de Have I Been Pwned?
Concernant Have I Been Pwnd? il y a pas mal de gens réticents à l’utiliser de peur que ça aspire ce qu’ils saisissent. Et c’est aussi prendre le risque qu’un site frauduleux se fasse passer pour lui.
https://mastodon.tetaneutral.net/@Natouille/105820437840086551

Il y a deux parties à Have I Been Pwnd?. La première partie c’est une solution pour laisser son email et être averti dès qu’une brèche concerne un de vos comptes.

Là dessus il n’y a aucun risque de sécurité, que du bénéfice. Si vous ne vous êtes pas enregistré, faites-le.

On laisse certes son email mais pour l’instant personne n’a relevé de spam sur ce service (et croyez-moi, il doit y avoir des milliers d’informaticiens qui ont du essayer de mettre une adresse de test spécifique).

La seconde partie propose de saisir son mot de passe et regarde s’il est présent dans la base de données des mots de passe déjà connus.

Troy Hunt a établi un protocole qui permet de vérifier si un mot de passe est dans la base sans avoir à transmettre ce mot de passe au serveur. C’est simple à lire et à comprendre, et ça ne laisse aucune part au doute : Tant qu’on suit ce protocole, tester un mot de passe ne présente aucun risque de divulgation. Aucun.

La seule vraie question est « pouvons-nous faire confiance au site web dans lequel nous saisissons le mot de passe pour suivre ce protocole et ne pas envoyer notre saisie quelque part sur un serveur ? »

Il n’y a pas eu de brèche ou de malveillance sur Have I Been Pwned? jusqu’à présent mais, évidemment, ça n’est en rien une garantie absolue pour l’avenir.

Si vous voulez plus de sécurité, deux possibilités :
- Utiliser un site web ou un outil en qui vous avez plus confiance pour qu’il implémente correctement le protocole de Have I Been Pwned?
- Télécharger la base en local sur votre poste, et utiliser un outil en qui vous avez confiance pour chercher dedans.
Des gestionnaires de mots de passe comme Dashlane et Bitwarden proposent de tester directement vos mots de passe depuis le logiciel. Il faut avoir confiance mais, si vous les utilisez comme gestionnaire de mots de passe, c’est à priori déjà le cas.

Ce que je proposais quand je parlais de mot de passe fort et interface c’est exactement ça : C’est au logiciel ou au site web à qui vous allez confier votre mot de passe de toutes façons de le vérifier auprès de la base Have I Been Pwnd? (qu’ils auront téléchargé en local sur leur serveur). Ainsi il n’y a aucun besoin de faire confiance à un acteur tiers, aucun risque supplémentaire.

Ok, mais c’est quoi ce protocole ? Comment peut-on vérifier mon mot de passe sans le divulguer ?

On utilise des condensats, ici SHA1.

Plus exactement on calcule la somme SHA1, sur 40 caractères hexadécimaux, et on envoie les 5 premiers caractères au serveur. Le serveur nous répond avec la liste des sommes SHA1 de mots de passe connus qui partagent les mêmes 5 premiers caractères. À moi de vérifier que le mien ne fait pas partie de cette liste.

Vous lirez que SHA1 n’est pas idéal pour des mots de passe, encore moins sans ajout d’un sel aléatoire. Pour autant il n’y a aucun moyen connu à ce jour pour même imaginer trouver une information partielle à propos de votre mot de passe à partir des 5 premiers caractères de la somme SHA1.

La seule chose possible c’est éventuellement se dire « c’est peut-être un des mots de passe connus qui partagent le même début de somme de contrôle ». L’information ne présente aucun intérêt puisque si justement c’était un de ceux-ci, vous auriez été informés de ne pas l’utiliser. Du coup, en creux, l’information devient « Quelqu’un utilise un mot de passe, et ce ne sera pas un mot de passe connu ». Bref, c’est exactement notre objectif, tout va bien.
4 mars 2021
Diceware
Règle générale : Laissez votre gestionnaire de mots de passe générer des mots de passe outrageusement complexes.

Vous n’aurez jamais besoin de les taper ou vous en souvenir vous-même. Vous n’avez en fait même pas besoin de voir ou de savoir à quoi ces mots de passe ressemblent. Laissez-le faire.

Le générateur de mot de passe interne de Bitwarden

Et puis parfois on a besoin d’un mot de passe dont on doit se souvenir, un qu’on doit pouvoir taper au clavier ou un qu’on doit pouvoir dicter au téléphone.

Et dans ce cas là je vous invite à utiliser des mots français plutôt que des lettres, chiffres et symboles incompréhensibles.

La raison est simple : il est plus facile de retenir 4 mots connus que 8 lettres chiffres et symboles aléatoires.

La seule contrainte c’est d’utiliser des mots réellement aléatoires et pas ceux auxquels on pense en essayant naïvement de trouver des mots soi-même. Votre gestionnaire de mots de passe devrait savoir vous générer cette suite de mots. Si ce n’est pas le cas la méthode diceware est à votre disposition :
1. Cherchez une liste de mots de votre langue en cherchant « diceware » sur votre moteur de recherche favori. Ce sont généralement des listes de 7776 mots qui vont de 11 111 à 66 666.
2. Lancez 5 fois un dé à 6 faces, regardez le mot qui correspond dans votre grille. Recommencez autant de fois que vous avez besoin de mots.
Calcul d’entropie pour différentes combinaisons (les paliers de couleur sont arbitraires à respectivement 48, 56, 72, 96, 128 et 256 bits d’entropie)

La sécurité c’est parfois contre intuitif : Il suffit de 4 mots français pour être aussi robuste que 8 caractères accessibles au clavier, symboles inclus.

À 5 mots vous avez l’équivalent d’un mot de passe de 10 caractères clavier totalement aléatoires en comptant 28 symboles possibles en plus des lettres et des chiffres.

À 6 mots vous vous avez l’équivalent d’un mot de passe de 12 caractères totalement aléatoires, probablement suffisant pour quasiment tous les usages aujourd’hui. Si vous êtes paranoïaque, 8 mots c’est l’équivalent de 16 caractères totalement aléatoires.

Tout ça n’est pas nouveau. XKCD en parlait déjà il y a plusieurs années. Cette bande dessinée a été parfaite pour démocratiser l’idée mais trop de gens oublient que ça ne fonctionne que pour des mots réellement tirés au hasard.

XKCD 936 : Password Strength

Attention toutefois : L’humain est très mauvais pour piocher au hasard.

Même avec toute la bonne volonté du monde et en vous croyant machiavélique dans votre choix, il est probable que vous ne piocherez que dans quelques centaines de mots, éventuellement un ou deux milliers.

Le problème d’ailleurs aussi pour les mots de passe « classiques ». « Nicolas2012! » et « Julie+Marc2307 » sont de très mauvais mots de passe bien qu’ils respectent parfaitement toutes les règles.

Je donne là une évidence mais c’est plus général que ça. Un mot de passe qui est généré sans aide d’un générateur d’aléatoire est un mauvais mot de passe, peu importe à quoi il ressemble de loin. Les chiffres et symboles sont quasiment aux mêmes positions. Certaines lettres et chiffres sont peu voire pas du tout utilisés.

Tout ça diminue significativement la robustesse du mot de passe, même quand vous essayez de vous même d’y palier en cherchant compliqué. Utilisez une machine ou un système externe quel qu’il soit, quitte à ce que ce soit une paire de dés lancés à la main.
1 mars 2021
Mot de passe fort

Je rage à chaque fois que je vois des règles complexes sur les mots de passe saisis. J’ai l’impression qu’on a échoué à expliquer la sécurité.

Une fois qu’on exclut les mots de passe uniquement en chiffres, il n’y a quasiment plus que la longueur du mot de passe qui compte. Vous voulez un mot de passe sûr avec uniquement des lettres ? Il suffit d’ajouter un unique caractère supplémentaire. Autant dire pas grand chose quand on est déjà à 9 ou 10.

En réalité la différence est encore plus réduite que ça parce qu’en demandant d’ajouter des chiffres et symboles ce sont toujours les mêmes qui apparaissent, mis à la fin ou en remplacement des mêmes lettres (a qui donne @ par exemple).

Pire : Pour retenir un mot de passe complexe avec majuscules, chiffres et symboles, l’utilisateur risque de mettre quelque chose de connu ou déjà utilisé ailleurs. On est parfois dans le contre-productif.

Si vous deviez utiliser des règles de saisie du mot de passe, gardez n’en qu’une : la longueur. Le reste c’est de la littérature.

Maintenant, et si vous changiez de stratégie ? Aidez l’utilisateur et expliquez-lui ce qu’il se passe au lieu de lui apporter des contraintes.

Commencez par lui proposer un mot de passe par défaut, avec une liste de mots connus et à orthographe simple.

Proposez ensuite un indicateur pour la force du mot de passe. Là vous pouvez prendre en compte la longueur mais aussi la présence dans la base Have I Been Pwnd.

Une fois passé le strict minimum, c’est à l’utilisateur de décider ce qu’il veut. Ne lui imposez pas un mot de passe de 12 caractères pour réaliser un sondage sur la date de sa prochaine soirée entre amis.

Votre rôle c’est de lui donner les clefs pour faire son choix, pas de le faire à sa place.

L’indicateur de complexité peut tout à fait avoir plusieurs paliers en fonction de la présence de différentes classes de caractères. Vous pouvez aussi essayer de détecter des dates, le fait que le dernier caractère soit juste un chiffre ou un point d’exclamation, et des suites un peu trop classiques comme 123 ou ou azerty.

Si vous détectez des espaces alors c’est probablement une phrase (s’il y a des petits mots facilement reconnaissables comme « le », « la », « il », « ce », « est », etc. ) ou des suites de mots (dans le cas contraire). Vous pouvez là aussi adapter votre calcul de complexité et la longueur recommandée.

Au bout d’une certaine résistance parlons uniquement amélioration.

27 février 2021
Vie privée : Chiffrement des disques

On parle tant des mots de passe qu’on en oublie l’essentiel.

Quiconque a accès à votre disque dur a accès à toute votre vie numérique, vos logiciels et vos documents.

Il peut relire votre l’attestation de sécu téléchargée le mois dernier, votre feuille de calcul avec votre compta, vos photos de vacances mais aussi celles que vous gardez privées, la lettre à mamie, le testament de grand père, votre carnet d’adresse complet.

Il a accès aussi à votre historique de navigation internet des 30 ou 90 derniers jours, votre compte facebook, votre compte email avec l’intégralité de vos échanges passés.

Si vous êtes enregistré sous Google et que vous avez un Android, il y a toutes les chances qu’il puisse accédez à tout l’historique de géolocalisation et retracer dans le détail tous vos déplacements depuis plusieurs mois.

Via le navigateur il a aussi accès à tous les sites sur lesquels vous êtes enregistré, ceux pour lesquels vous avez enregistré le mot de passe. Vu qu’il a accès à vos emails, il pourra de toutes façons réinitialiser les mots de passe qu’il lui manque.

Si on parle de votre téléphone, ça inclut aussi tous vos SMS, votre historique d’appel, vos conversations snapchat, whatsapp et autres outils de communication.

Ça fait peur, non ?

Ça arrivera si quelqu’un de malveillant vous en veut personnellement, mais aussi vous êtes la cible aléatoire d’un cambriolage, que ce soit par le cambrioleur ou par la personne chez qui se retrouve avec votre disque une fois remis en circulation.

Non, il n’y a pas besoin de votre mot de passe de session windows ou mac pour cela. Il suffit d’accéder au disque directement. Tout est dessus, en clair.

Ok, comment on chiffre le disque alors ?

Sous Windows ça s’appelle BitLocker. Sous Mac ça s’appelle FileVault. Sous Android ça s’appelle simplement « Chiffrer l’appareil » ou « Chiffrez vos données » quand ce n’est pas activé par défaut, et vous avez en plus un « Cryptage de la carte SD » pour la carte SD si vous en avez ajouté une.

Vous trouverez ça à chaque fois dans la section « sécurité » des préférences de votre système.

La procédure est normalement assez simple (windows, mac). Assurez-vous simplement de ne pas oublier votre mot de passe.

Voilà, c’est fait. Toutes vos données sont chiffrées, illisibles par un tiers.

Bien entendu ça ne fonctionne que si vous avez aussi activé un déverrouillage manuel obligatoire au réveil de votre PC et de votre téléphone, et que vous n’avez pas laissé le mot de passe sur un post-it juste à côté. Il ne sert à rien d’avoir une porte qui ferme à clef si vous laissez la clef sous le paillasson ou si vous la laissez toujours ouverte.

C’est quoi le piège ?

Désormais votre cambrioleur ne peut pas accéder à vos données sans le mot de passe. Votre voisin ne peut pas accéder à vos données sans le mot de passe.

Vous non plus… Le piège est là. Sans le mot de passe vos données sont perdues, même pour vous.

Apple vous propose de retenir une clef chez lui et de la sécuriser avec votre compte Apple. Je crois que Microsoft fait pareil. Sur Android à ma connaissance il n’y a rien de tout cela.

En réalité ça n’est qu’un (mauvais) filet de sécurité.

1/ N’oubliez pas le mot de passe.

2/ Faites de sauvegardes (même si vous avez le mot de passe, le disque lui-même peut casser, et au pire vous pourrez récupérer vos données sur la sauvegarde)

3/ Donnez un moyen à vos proches d’accéder aux données qui les concernent (photos de famille par exemple) si jamais il vous arrive quelque chose.

2 janvier 2020
Self Encrypting Disk
Ce soir j’ai joué avec les SED sous Linux. Ce fut laborieux et la documentation est assez rare alors je pose ça ici si jamais ça sert à quelqu’un d’autre.

Chiffrer ses données

Sur mon NAS j’ai des données que je ne veux pas perdre, mais aussi des données que je ne veux pas voir fuiter n’importe où en cas de cambriolage.

Jusqu’à présent j’avais une partition principale en clair pour le système d’exploitation, et une partition chiffrée via LUKS pour les données.

Avantage : Ça fonctionne et je peux monter ma partition à distance pour peu que le NAS ait redémarré suite à un incident électrique.

Désavantage : Parfois le système démarre mais n’a pas ses données. Il faut que je pense à redémarrer certains services (oui, ça aurait pu être ajouté dans un script, je ne l’ai simplement pas fait).

J’ai aussi la désagréable impression que les copies se trainent comme il y a 20 ans alors que le disque est rapide. Il faut dire que j’ai un ancien Celeron J très faiblard et on a beau me dire que le chiffrement ne consomme quasiment rien, mes explorations me laissent penser le contraire.

Les SED

Les SED sont les self encrypting drives. Quasiment tous les SSD modernes sont des SED OPAL.

Le firmware d’un SED sait chiffrer et déchiffer toutes les données à la volée. Il suffit d’initialiser le disque à l’aide d’une pass-phrase. Lui va aller déchiffrer une clef AES 256 bits à l’aide de cette pass-phrase, et ensuite l’utiliser pour chiffrer ou déchiffrer toutes les entrées sorties.

C’est totalement transparent pour l’OS et ça ne consomme aucun CPU. C’est même tellement transparent qu’il le fait même si vous ne lui demandez pas. « Chiffrement désactivé » revient en fait à chiffrer et déchiffrer avec une clef AES stockée en clair, mais on chiffre et déchiffre quand même toutes les données qui transitent (gros avantage : On peut activer le chiffrement à la volée quand on le souhaite sans avoir à toucher les données : Il suffit de chiffrer la clef AES qui était auparavant en clair).

Pour chiffrer le disque d’amorçage il y a une astuce. Le disque a en fait une zone d’amorçage cachée où on charge une image dite PBA (pre-boot authorization). Quand le disque est verrouillé, c’est cette zone qui est vue par la machine et qui est donc amorcée. L’image demande la pass-phrase, initialise la clef AES, désactive la fausse zone d’amorçage et relance la machine comme si de rien n’était. Là aussi c’est totalement transparent, l’OS n’y voit que du feu et a l’impression de travailler avec un disque standard, amorçage inclus.

Sécurité

Les SED ont très mauvaise réputation depuis qu’une étude de sécurité a trouvé que de nombreux constructeurs ont implémenté tout ça avec les pieds (genre : la clef AES n’est pas chiffrée et en manipulant un peu le firmware on peut y avoir accès).

Certains en tirent « il ne faut pas se reposer sur les SED » mais c’est un peu plus complexe que ça. Le standard OPAL 2 est tout à fait solide d’un point de vue théorique. Il fonctionne d’ailleurs de manière très similaire à ce que fait LUKS sous Linux. Il faut juste que ce soit implémenté avec sérieux.

Il se trouve que, justement, la même étude dit que les Samsung EVO récents ont une implémentation sérieuse. C’est ce que j’ai choisi, ça me va tout à fait.

Il reste des attaques possibles, mais rien lié à mon modèle de menace (un simple cambriolage par des gens venus piquer le matériel informatique pour le revendre). La NSA, elle, trouvera de toutes façons moyen d’accéder à mes données que j’utilise LUKS ou un SED.

Configurer un SED

Je n’ai trouvé que deux documentations utiles, celle de ArchLinux et celle de l’utilitaire sedutils. On part d’une installation OS existante, on peut activer le chiffrement après coup.

Activer libata.allow_tpm

Première étape, pour jouer il faudra activer libata.allow_tpm. Sur Debian la seule manière qui m’a semblé fonctionnelle est d’éditer /etc/default/grub et d’ajouter « libata.allow_tpm=1 » à la variable d’environnement GRUB_CMDLINE_LINUX_DEFAULT puis exécuter update-grub2 et relancer la machine.

Installer sedutils

Je n’ai pas trouvé de paquet Debian. J’ai téléchargé la distribution binaire Linux à partir du site officiel et ai copié sedutils-cli dans /usr/local/sbin. Vous aurez besoin qu’il soit dans le PATH plus tard.

Préparer une image PBA

Les documentations proposent de récupérer une image officielle. Chez moi ça n’a pas fonctionné. Le disque est bien déverrouillé mais ensuite la machine ne savait plus identifier l’UEFI du disque pour lancer Linux.

J’ai du créer ma propre image. C’est de toutes façons ce que je vous recommande parce que les images officielles ne gèrent que les claviers US.

Après avoir installé les paquets binutils, net-tools et console-data, télécharger le projet rear puis suivre ce commentaire :
```
sudo apt install -y binutils net-tools console-data

# aller à la racine du projet
cd rear 
echo "OUTPUT=RAWDISK" > ./etc/rear/site.conf
sudo ./usr/sbin/rear -v mkopalpba
# l'image est dans ./var/lib/rear/TCG-OPAL-PBA/*/*.raw
```
Préparer une clef USB de récupération

Je suis comme tout le monde, j’avais sauté cette étape initialement mais elle vous sera indispensable pour retrouver l’utilitaire sedutils et pouvoir réinitialiser le disque en cas de problème (l’image d’installation de Debian non seulement n’a pas sedutils mais ne lance de toutes façons pas son kernel avec libata.allow_tpm, donc vous ne pourrez rien en faire).

Là vous pouvez prendre l’image rescue 64 bits officielle et initialiser une petite clef USB au cas où.
```
gunzip RESCUE64.img.gz
# /dev/sdb est ma clef USB
dd if=RESCUE64.img.gz of=/dev/sdb
```
En cas de difficulté ça permet de désactiver le chiffrement, voire de réinitialiser un nouveau mot de passe si rien d’autre ne fonctionne (si la désactivation se fait sans perte de données, la réinitialisation vous fait repartir avec un disque totalement vierge).
```
# Désactiver le chiffrement
# Remplacer passphrase par votre passphrase et /dev/sda par votre disque
sudo sedutil-cli --disableLockingRange 0 passphrase /dev/sda
sedutil-cli --setMBREnable off passphrase /dev/sda
```
Configurer le disque

Désormais on peut suivre la procédure standard, en utilisant l’image PBA obtenue plus haut :
```
# Confirmer que le disque est utilisable
sudo sedutil-cli --scan
# Remplacer passphrase par votre passphrase et /dev/sda par votre disque
sudo sedutil-cli --initialsetup passphrase /dev/sda
sudo sedutil-cli --loadPBAimage passphrase imagePBA.raw /dev/sda
sudo sedutil-cli --setMBREnable on passphrase /dev/sda
sudo sedutil-cli --enableLockingRange 0 passphrase /dev/sda
```
Éteindre et rallumer la machine (pas juste redémarrer) devrait suffire à vous demander la passphrase. Une fois celle-ci saisie, la machine redémarre encore. Oui c’est long mais c’est normal.

Chez moi on me demande deux fois la passphrase et j’ai donc deux reboot au lieu d’un seul. C’est très long, agaçant. Si quelqu’un voit quel peut être le problème, ça m’intéresse. Entre temps je fais avec : Je ne devrais pas redémarrer tous les quatre matins.
18 octobre 2019
Sécuriser les nouveaux mots de passe

J’ai récemment parlé complexité de mot de passe mais en réalité le problème est souvent ailleurs. La taille et la complexité n’ont aucune importance si quelqu’un peut deviner quel mot de passe vous utilisez après juste quelques essais.

Jean réutilise son mot de passe

Je connais l’email de Jean ? Il me suffit de regarder quels mots de passe il a utilisé sur d’autres sites, et de les tester un à un.

La plupart des sites ont un problème de sécurité un jour ou l’autre. Souvent les données extraites se retrouvent publiques d’une façon ou d’une autre. Parfois on y trouve des mots de passe en clair ou mal protégés. Il suffit de piocher dedans.

Testez Have I Been Pwned, vous verrez que des tiers peuvent déjà connaitre plusieurs de vos mots de passe.

Paul n’a aucune imagination

Je ne connais pas l’email de Paul ? Qu’importe. Je peux déjà tester les mots de passe les plus courants, et les variations de ceux-ci.

Ne vous croyez pas original. Même ajouter une date, un chiffre, un symbole, changer une lettre, inverser le mot de passe, quelqu’un l’a déjà fait. En quelques milliers de combinaisons j’ai déjà énormément de mots de passe habituels.

Même les méthodes « choisir x mots du dictionnaire » sont vulnérables si c’est l’utilisateur qui choisit ses mots dans sa tête. Le plus souvent on tombera dans quelques centaines de mots, toujours les mêmes.

Par le passé j’ai utilisé un personnage de littérature, auquel j’ai ajouté un chiffre et un symbole. Croyez-le ou non, on trouve plus d’une dizaine d’occurrences sur Have I Been Pwned.

Have I Been Pwned

J’ai cité Have I Been Pwned. Ils mettent à disposition une base de tous les mots de passe qui ont publiquement fuité.

Si vous laissez des tiers saisir des mots de passe sur votre service, vous devriez télécharger leur base, puis chercher dedans à chaque fois qu’un de vos utilisateur saisit un nouveau mot de passe. Le mot de passe est déjà dedans ?

Alors il y a un risque de sécurité et vous devriez en alerter l’utilisateur.

Si vous voulez aller plus loin, tentez quelques variations simples : Si le mot de passe se termine par un nombre, essayez les deux ou trois nombres précédents. Si le mot de passe à des symboles ou chiffres en début ou fin, retirerez-les et testez le mot de passe résultant.

Tout ça ne vous coûte quasiment rien si ce n’est un peu de stockage et le téléchargement de la nouvelle base Have I Been Pwned de temps en temps, mais ça va éviter bien des risques à vos utilisateurs.

2 octobre 2019
Développeurs, vous devriez avoir honte — Règles de mots de passe
Je rage à chaque fois que je saisis un mot de passe fort et que le site m’envoie bouler parce que je n’ai pas de caractère autre qu’alphanumérique.

Essayons quelque chose d’un peu plus smart pour évaluer la robustesse d’un mot de passe

Développeurs, vous savez probablement tout ça, mais continuez à lire parce que la fin vous est adressée

Si j’en crois Hackernoon on peut calculer environ 800 millions de SHA256 par seconde sur un matériel qui coûte 0,82 € par heure sur AWS. Ça fait 3,5 10^12 combinaisons par euro.

Traduit autrement, voici le nombre de combinaisons qu’on peut tester, et le même chiffre écrit en puissance de deux (arrondi à la décimale inférieure) :

1 € 3,5 × 10^12 2^41,6
10 € 3,5 × 10^13 2^44,9
100 € 3,5 × 10^14 2^48,3
1 000 € 3,5 × 10^15 2^51,6
10 000 € 3,5 × 10^16 2^54,9
100 000 € 3,5 × 10^17 2^58,2

Quand on vous parle ailleurs de bits d’entropie, ça correspond à ces puissances de 2. Avec 1 000 € on peut tester toutes les combinaisons de SHA 256 d’une chaîne aléatoire de 51 bits.

Ok, mais ça me dit quoi ? Une lettre c’est 26 combinaisons, environ 4,7 bits. Si vous ajoutez les majuscules vous doublez le nombre de combinaisons et vous ajoutez 1 bit. Si vous ajoutez les chiffres et quelques caractères spéciaux on arrive à à peine plus de 6 bits.

Petit calcul, en utilisant juste les 26 lettres de l’alphabet, on peut tester toutes les combinaisons de 8 caractères pour moins de 1 €. Vu qu’on aura de bonnes chances de tomber dessus avant d’avoir testé toutes les combinaisons, autant dire que même avec 9 caractères, votre mot de passe ne vaut pas plus de 1 €.

Combien faut-il de caractères pour se trouver relativement à l’abri (c’est à dire que la somme investie ne peut pas tester plus de 1% des combinaisons) ? Ça va dépendre de ce que vous y mettez comme types de caractères. J’ai fait les calculs pour vous :

a-z a-z
A-Z a-z
A-Z
0–9 a-z
A-Z
0–9
+-%
1 € 11 9 9 8
10 € 11 10 9 9
100 € 12 10 10 10
1 000 € 13 11 10 10
10 000 € 14 11 11 11
100 000 € 14 12 11 11

Et là magie : 8 caractères, même avec des chiffres, des majuscules et des symboles, ça résiste tout juste à 1 €. Et encore, là c’est en partant du principe que vous choisissez réellement les caractères de façon aléatoire, pas que vous ajoutez juste un symbole à la fin ou que vous transformez un E en 3.

Vous voulez que votre mot de passe résiste à un voisin malveillant prêt à mettre plus de 10 € sur la table ? Prévoyez au moins 10 caractères.

Et là, seconde magie : Si vous mettez 10 caractères on se moque de savoir si vous y avez mis des chiffres ou symboles. La longueur a bien plus d’importance que l’éventail de caractères utilisé.

Maintenant que vous savez ça, tous les sites qui vous imposent au moins une majuscule et un symbole mais qui vous laissent ne mettre que 8 caractères : Poubelle.

Je ne suis pas en train de vous apprendre à faire un mot de passe fort. Vous devriez utiliser un gestionnaire de mots de passe et le générateur automatique qui y est inclus.

Je suis en train d’essayer de rendre honteux tous les développeurs qui acceptent de mettre ces règles à la con sur les sites web dont ils ont la charge : Vous imposez des mots de passe qui sont à la fois imbitables et peu robustes.

Vous voulez faire mieux ?

Regardez dans quelle colonne est l’utilisateur en fonction des caractères qu’il a déjà tapé et donnez-lui un indicateur en fonction de la longueur de son mot de passe.
- Mot de passe refusé s’il est sur « Have I Been Pwned? »
- Moins de 10 € ? mot de passe insuffisant, refusé
- Moins de 100 € ? mot de passe faible, couleur rouge
- Moins de 1 000 € ? mot de passe moyen, couleur orange
- Mot de passe sûr, couleur verte, à partir de 10 000 €
Si vous gérez un site central, par exemple un réseau social public, vous pouvez probablement relever tout ça d’un cran.

Si ça donne accès à des données sensibles, à des possibilités d’achat, à la boite e-mail ou à l’opérateur téléphonique, mieux vaux relever tout ça de deux crans.

Le tout prend probablement moins de 10 lignes en javascript. C’est une honte que vous acceptiez encore d’implémenter des règles à la con « au moins une majuscule, un chiffre et un symbole, voici les symboles autorisés […] ».

Développeurs, vous devriez avoir honte.
24 septembre 2019

1 €	3,5 × 10^12	2^41,6
10 €	3,5 × 10^13	2^44,9
100 €	3,5 × 10^14	2^48,3
1 000 €	3,5 × 10^15	2^51,6
10 000 €	3,5 × 10^16	2^54,9
100 000 €	3,5 × 10^17	2^58,2

	a-z	a-z A-Z	a-z A-Z 0–9	a-z A-Z 0–9 +-%
1 €	11	9	9	8
10 €	11	10	9	9
100 €	12	10	10	10
1 000 €	13	11	10	10
10 000 €	14	11	11	11
100 000 €	14	12	11	11

Catégorie : Sécurité informatique

C’est quoi ?

Est-ce qu’on peut avoir confiance ?

Ok, mais l’ins­tal­la­tion est cachée quand même…

Pourquoi n’est-il pas Open Source ?

Chif­fre­ment au repos

Chif­fre­ment en tran­sit

Chif­fre­ment au repos et en tran­sit

Chif­fre­ment de bout en bout

Ça fait peur, non ?

Ok, comment on chiffre le disque alors ?

C’est quoi le piège ?

Chif­frer ses données

Les SED

Sécu­rité

Confi­gu­rer un SED

Acti­ver libata.allow_tpm

Instal­ler sedu­tils

Prépa­rer une image PBA

Prépa­rer une clef USB de récu­pé­ra­tion

Confi­gu­rer le disque

Jean réuti­lise son mot de passe

Paul n’a aucune imagi­na­tion

Have I Been Pwned

C’est quoi ?

Est-ce qu’on peut avoir confiance ?

Ok, mais l’installation est cachée quand même…

Pourquoi n’est-il pas Open Source ?

Chiffrement au repos

Chiffrement en transit

Chiffrement au repos et en transit

Chiffrement de bout en bout

Ça fait peur, non ?

Ok, comment on chiffre le disque alors ?

C’est quoi le piège ?

Chiffrer ses données

Sécurité

Configurer un SED

Activer libata.allow_tpm

Installer sedutils

Préparer une image PBA

Préparer une clef USB de récupération

Configurer le disque

Jean réutilise son mot de passe

Paul n’a aucune imagination