Confiance en soi, bien-être physique et mental - les clés du travail sur soi

Modérateurs: animal, Léo

By James ex S
#181069 Merci pour ta réponse Elan.

Elan a écrit:Le fonctionnement par mot de passe est contradictoire en soi, car son principe est d'avoir des mots de passe faciles à se rappeler quand on est un humain mais difficiles à craquer quand on est un ordi., alors qu'en pratique c'est exactement l'inverse qui se passe : on a du mal à s'en rappeler, mais ils sont toujours aussi faciles à craquer.

Un "mot de passe de qualité" ça n'existe pas dès lors que tu l'utilises sur plusieurs sites. Il faut a minima un mot de passe par site, idéalement généré aléatoirement, avec un gestionnaire de mots de passe qui t'évite de t'en souvenir (de toute façon se souvenir d'une suite de caractères aléatoires différentes pour chaque site c'est infaisable). C'est une chose de se faire pirater son compte hommesdinfluence.com, c'est autre chose que la connaissance de ce mot de passe donne accès à mes mails et autres.

Je n'ai pas voulu détaillé plus haut ce que j'entendais par un mot de passe de qualité mais le principe décrit sur plusieurs pages dans Protegor est plutôt intéressant. En essayant de résumer simplement:
- Tu as une base pour tes mots de passe qui est toujours identique et si possible un mot qui ne se trouve pas dans le dictionnaire (plus compliqué à trouver pour les robots qui essaient des combinaisons de mots existants). Par exemple du prends les premières lettres d'une devise latine que tu aimes bien: Vinum bonum laetificat cor hominis ce qui fait VblcH. Tu rajoutes un ou deux caractère spéciaux. Dans ce cas .VblcH!
- Ensuite tu personnalises ce mots de passe à chaque site en prenant par exemple les trois premières lettre du site en questions:Exemple: VblcH!Hom pour Hommes d'influence, .VblcH!Fac pour Facebook, ..VblcH!Gma si tu es sur Gmail.
- tu peux aussi te créer une deuxième base pour les sites avec des informations plus sensibles. Je n'ai par exemple pas la même base pour mon E-banking ou pour me connecter sur le forum.

C'est une alternative à un générateur de mot de passe mais c'est extrêmement pratique une fois intégré.

---------

Le but n'est pas de se prendre pour un espion russe et de crypter ses photos de vacances mais bien de retarder, de rendre plus difficile et au final de décourager l'accès à ses données personnels. Si tu as le temps je serai également très intéressé par tes un petit guide de tes best practices. Tu semble avoir déjà bien creusé le sujet.
Avatar de l’utilisateur
By Elan
#181070 Si je dois détailler ce que j'utilise, je rappelle que les personnes intéressées cherchent généralement ce qui leur convient le mieux et il y a toujours plusieurs solutions pour un besoin donné.

Le traçage sur internet est limité en supprimant ses cookies (navigation privée sur Firefox) et en ne mettant pas d'infos personnelles si ce n'est pas nécessaire. Après, j'ai besoin d'avoir de la visibilité à titre personnel et j'ai une page web et plusieurs comptes avec mon nom entier (LinkedIn, GitHub...). Tout ça sert surtout à envoyer de la pub, perso je n'en fais pas une priorité mais je peux comprendre que certains cherchent à diminuer leur empreinte sur le net.

Pour le reste, après le récent piratage Yahoo (ma compagne était dans les victimes), je liste les outils que j'utilise pour sécurisé les accès à mes comptes, sites web, mails et autre. Pour moi c'est surtout là que ça se joue. ça peut sembler compliqué mais en fait une fois mis en place ça simplifie aussi la vie.
J'ai utilisé pendant longtemps le même principe que James avec une base de mot de passe complétée par un truc qui dépend du site, mais au final il faut quand même se rappeler de plein de petits trucs. Un site de geek a d'ailleurs fait une blague là-dessus.
Depuis un an environ que j'ai changé ma pratique je n'ai plus aucune idée de mes mots de passe Amazon, Facebook ou même pour ce forum, ils sont entrés automatiquement quand je veux me connecter et je n'en connais que 4 comme vous verrez plus bas.

- gestionnaire de mot de passe (un comparatif ici)
L'idée est d'avoir un logiciel indépendant du navigateur pour stocker ses mots de passe dans une base cryptée. Le mot de passe de la base doit évidemment être très solide, mais ça n'en fait qu'un à se rappeler.

J'utilise KeePass qui fonctionne sous Windows, macOS et Linux et qui s'appuie sur une base locale, donc pas située chez un hébergeur. En pratique, quand on crée un compte sur un site on ouvre le logiciel et on crée une nouvelle entrée avec le site, le login et un mot de passe est généré avec des caractères de notre choix (minuscules, majuscules, chiffres, symboles, etc.). Ensuite le login/mot de passe sont entrés en un clic sur la page désirée, ça fonctionne aussi en dehors des navigateurs si besoin.

Beaucoup de gens synchronisent leur base sur Dropbox (ou autre) pour l'utiliser sur plusieurs ordinateurs, la base de données est de toute façon cryptée et qu'on peut imposer un délai entre deux essais ce qui tue dans l’œuf les tentatives de crackage par force brute. De nombreux utilisateurs se promènent avec leur base de mots de passe sur une clé USB pour l'utiliser simplement depuis n'importe quel ordinateur.
D'autres logiciels intègrent la synchronisation des mots de passe qui se fait chez l'hébergeur. Bien sûr les mots de passe sont encryptés en local avant d'être envoyés chez l'hébergeur.

- Dropbox maison
Plutôt que synchroniser certaines données sur Dropbox j'utilise Owncloud. Ce n'est pas un hébergeur à la Dropbox mais un logiciel qui propose le même service, la grosse différence étant qu'il faut l'installer soi-même sur un ordinateur qui fera office de serveur. Pour ça j'utilise une simple Raspberry Pi à la maison qui est toujours allumée et que je peux atteindre de l'extérieur. À la base la Raspberry me sert de media center (pour envoyer du son sur la chaîne depuis n'importe quelle tablette, ordinateur ou smartphone) et pour d'autres trucs de domotique donc je ne suis pas à un service de plus sur la bête.

- Cryptage du disque
Je n'ai aucune idée de comment ça fonctionne sous Windows, mais macOS et Linux permettent de crypter certains disques, qui ne sont décryptés qu'au login. Sur les ordinateurs portables ça me paraît indispensable car il n'y a rien de plus simple si on vole un ordinateur que de démonter le disque et essayer de le lire avec un autre ordinateur. Si le disque n'est pas crypté, tout son contenu est dispo immédiatement. Si vous lisez vos mails sur Outlook, Thunderbird ou autre et que vous les laisser enregistrer vos mots de passe, ça veut dire que la personne a aussi accès à vos mails. Si vous n'effacez pas les cookies, la personne a aussi accès à vos comptes sur les sites associés, mais il faut être plus motivé et de toute façon c'est moins grave que les mails.

Le cryptage du disque est une option qui s'affiche quand on installe un OS, j'imagine que c'est possible de le faire après-coup. Il y a un léger prix à payer en terme de performances qui est quasi transparent sur nos ordinateurs modernes. Au pire, je conseille de crypter la partie qui contient les données sensibles (mails, historique et cookies, fichiers de boulot qu'on souhaite protéger) et de laisser les autres parties non cryptées (photos de vacance, musiques, films, etc.).

- Sauvegarde des données
Là encore je ne vois pas l'intérêt de le faire en ligne quand il suffit d'un disque à la maison, comme dit plus haut le mien est branché sur la Raspberry (et situé derrière un meuble) donc j'ai mes données depuis n'importe où. Mais encore une fois ça ne fait qu'un service de plus sur la Raspberry.

Au final, au niveau des mots de passe il y en a assez peu à se souvenir :
- celui pour se logger sur son ordinateur (le login automatique étant évidemment le truc de base à éviter)
- celui pour débloquer son gestionnaire de mots de passe
- celui pour lire ses mails (bien sûr il est aussi dans la base de mots de passe mais ça peut être pratique de s'en souvenir)
- celui pour accéder au backup du gestionnaire de mots de passe (mot de passe Dropbox par exemple, ou mot de passe de l'hébergeur du gestionnaire si on en utilise un en ligne).

Encore une fois le fichier contenant tous les mots de passe peut quasiment se trouver dans la nature car il est virtuellement incassable, et y avoir accès facilement permet de se connecter sur d'autres ordinateurs. Ceci dit avec les téléphones portables c'est de moins en moins courant de faire ça.

Un dernier truc, je ne me connecterais pas sur mon compte en banque ou sur mes mails depuis un poste que je ne connais pas. En effet rien de plus simple que d'installer un keylogger et de collecter tout ce qui est tapé.

Si on utilise un gestionnaire de mots de passe, les caractères ne sont jamais entrés à la main et c'est à peu près sûr, à moins que le proprio de l'ordinateur ait installé des outils beaucoup plus complexes car il faut aller jouer dans l'espace mémoire. En rédigeant ce mail j'ai appris que le logiciel KeePass par exemple a été évalué par Thalès, l'expert est allé jusqu'à trouver une faille dans le cas où des outils visant spécifiquement ce logiciel sont présents sur l'ordinateur et où n'importe quelle méthode moins sécurisée serait de toute façon également outrepassée.

Là encore, à chacun de savoir à quel point il se prend pour un espion russe surveillé par la CIA, j'imagine qu'après ce post certains penseront ça de moi :mrgreen:

Mais quand je vois que ma compagne utilise des mots de passe de moins de 8 caractères pour s'en rappeler, qu'elle les stocke quand même dans son bloc-note sur le smartphone, que ça l'oblige à les retaper malgré tout et que rien n'est synchro quand elle utilise l'ordinateur de la maison, je me dis que ces solutions sont bonnes à la fois pour la sécurité et pour le confort d'utilisation.
Avatar de l’utilisateur
By Persée
#181071
Elan a écrit:-
le mode navigation privée de Firefox quand je vais voir ma banque .


C'est quoi l'intérêt de naviguer en privé sur le site de ta banque, uniquement ?

Naviguer en privé permet essentiellement de ne rien transmettre aux fournisseurs de service et donc de ne pas se faire tracer à des fins commerciales.
Les sites des banques sont normalement carré en termes de sécurité (on est déconnecté au bout de x minutes d'inactivité). Je ne vois pas ce qui peut poser problème avec la navigation classique.
By James ex S
#181079
Persée a écrit:Un site pratique qui recense les piratages connus et vous dit si un de vos comptes de messagerie ou de réseaux sociaux a été compromis :
https://haveibeenpwned.com/
Ça vaut le coup d'y jeter un coup d’œil de temps en temps.

Pour ces mêmes comptes, l'idéal est d'activer la double authentification (mot de passe + sms par exemple) quand cela est possible, et de paramétrer les alertes qui indiquent qu'il y a eu connexion depuis un pc ou mobile non connus.

Attention aussi aux usages sur smarphones, il est préférable d'éviter d'installer n'importe quelle application ou de "jaibreaker" son terminal.

Merci pour le partage, j'avais loupé un message.
La double authentification est un très bon se sécuriser une connexion. Je l'utilise pour mon Ebanking ou pour les paiements par carte de crédit avec un contrôle par SMS.

Eviter aussi toutes les applications qui vous proposent de vous connecter en passant par FB. Si il n'y a pas d'autre alternative, j'évite tout simplement.
By James ex S
#181080 Merci ces précieux conseils Elan.

Elan a écrit:Le traçage sur internet est limité en supprimant ses cookies (navigation privée sur Firefox) et en ne mettant pas d'infos personnelles si ce n'est pas nécessaire. Après, j'ai besoin d'avoir de la visibilité à titre personnel et j'ai une page web et plusieurs comptes avec mon nom entier (LinkedIn, GitHub...). Tout ça sert surtout à envoyer de la pub, perso je n'en fais pas une priorité mais je peux comprendre que certains cherchent à diminuer leur empreinte sur le net.

Je cherche justement à distinguer le côté professionnel ou j'ai besoin d'avoir un peu de visibilité: page Web, Linkedin, etc, avec mon vrai nom... de mes navigations privées. Pas forcément envie que certaines personnes fassent le rapprochement entre les deux.

Elan a écrit:Mais quand je vois que ma compagne utilise des mots de passe de moins de 8 caractères pour s'en rappeler, qu'elle les stocke quand même dans son bloc-note sur le smartphone, que ça l'oblige à les retaper malgré tout et que rien n'est synchro quand elle utilise l'ordinateur de la maison, je me dis que ces solutions sont bonnes à la fois pour la sécurité et pour le confort d'utilisation.

Je jetais souvent des coups d'oeil sur les pc des filles des rangées devant moi en amphi. Je restais abasourdi du nombre de sites sur lesquels les filles entraient des infos perso pour bénéficier de 10% de remise sur des sites de fringues, les newsletters à n'en plus finir, les mots de passe de 6 caractères, les publicités ciblées qui ne leur évoquaient pas la moindre remise en question.
Avatar de l’utilisateur
By Persée
#181081
James ex S a écrit:Merci pour le partage, j'avais loupé un message.

De rien !
James ex S a écrit:Eviter aussi toutes les applications qui vous proposent de vous connecter en passant par FB. Si il n'y a pas d'autre alternative, j'évite tout simplement.

Sur ce point je vois du pour et du contre.
L'avantage est qu'on n'a pas besoin de se créer un nouveau compte et que l'authentification est déléguée à Facebook ou Google, qui font ça très bien.
Le point négatif est que l'application va récupérer des infos du profil Facebook ou Google (normalement c'est indiqué). Si c'est juste la partie publique, c'est acceptable, si c'est plus, comme la liste d'amis par exemple, effectivement il vaut mieux éviter de passer par son compte Facebook et créer un compte spécifique à cette application ou réseau social.
Avatar de l’utilisateur
By Persée
#181085 Pour continuer sur les mots de passe, je viens de voir passer ça :
"La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.

Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Deux méthodes pour choisir vos mots de passe :

La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A."


Cela va dans le sens des propos d'Elan, de bons mots de passe sauvegardés dans un gestionnaire de mot de passe est le meilleur compromis sécurité/ergonomie.

Pour ceux qui veulent approfondir : https://www.ssi.gouv.fr/guide/mot-de-passe/

L'ANSSI (dont le rôle est de protéger l'état français des risques cyber) publie de plus en plus de guides à destination du grand public.
Avatar de l’utilisateur
By Elan
#181087
James ex S a écrit:Je cherche justement à distinguer le côté professionnel ou j'ai besoin d'avoir un peu de visibilité: page Web, Linkedin, etc, avec mon vrai nom... de mes navigations privées. Pas forcément envie que certaines personnes fassent le rapprochement entre les deux.
Une grande partie du pistage est automatisée, je ne sais pas si à un moment il y a une personne physique qui sait que tu es à la fois X sur un site et Y sur un autre. Mais pour cloisonner les deux, tu peux utiliser deux navigateurs ou bien deux profils (possible sur Firefox, sûrement sur les autres navigateurs).

James ex S a écrit:Je restais abasourdi du nombre de sites sur lesquels les filles entraient des infos perso
Pour ça la base est d'avoir une adresse mail poubelle et d'entrer de fausses infos en nom, adresse ou numéro de téléphone si on estime que ça ne sert à rien.

Persée a écrit:La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A."[/i].
Trouver un ou deux mots de passe forts peut se faire facilement, le hic étant d'en avoir un différent sur chaque site et là c'est impossible. D'où effectivement le gestionnaire, qui souvent fait générateur automatique et il faut juste se souvenir du mot de passe du gestionnaire (qui doit être bon, du coup).
Notez que pas mal de navigateurs proposent de les enregistrer et de synchroniser entre différents ordinateurs (ainsi que les marque-pages et autres). Ça équivaut à utiliser un gestionnaire de mots de passe hébergé en faisant confiance à la société qui fait le navigateur. Notez aussi qu'il faut un mot de passe principal sans quoi les mots de passe stockés par le navigateur ne sont pas cryptés, ce qui est un risque en cas de vol de disque dur (pour les portables notamment).
Mais on n'est pas à l'abri, comme les utilisateur du navigateur Opéra, d'une fuite ou d'un rachat par une entreprise chinoise.

Après, à un moment il faut faire confiance à moins d'être soi-même capable de se coder un tel système. Pour ces aspects j'ai tendance à faire confiance à l'open-source et au cloisonnement des fonctionnalités. Le logiciel que j'utilise par exemple est censé ne jamais se connecter sur internet car il gère les mots de passe en local. Comme par hasard, une vulnérabilité a été identifiée dans la fonction de mise à jour automatique dans le cas où un site frauduleux arrive à se faire passer pour le fournisseur du logiciel et à proposer une mise à jour vérolée. Mais ça va chercher assez loin et on en revient à la question de l'espion russe.

Suite au piratage de son compte Yahoo ma compagne commence à s'y intéresser et a appris que son employeur proposait déjà les outils adéquat, avec synchronisation sur les mobiles et compagnie. Comme quoi c'est souvent un problème d'information.
Avatar de l’utilisateur
By coug
#181088
Elan a écrit:Une grande partie du pistage est automatisée, je ne sais pas si à un moment il y a une personne physique qui sait que tu es à la fois X sur un site et Y sur un autre. Mais pour cloisonner les deux, tu peux utiliser deux navigateurs ou bien deux profils (possible sur Firefox, sûrement sur les autres navigateurs).

A partir du moment ou il y a un début d'enquête et ou des comportements croisés d'un individu se recoupent et apparaissent sur le radar.
By Léon
#181121
Synchronn a écrit:Sérieusement, qui a de véritables données sensibles? (je sais qu'on aime se raconter des histoires sur le net mais une vraie discussion avec soi-même s'impose)

Protéger des données sensibles est un des objectifs possibles de la sécurité informatique, il y en a d'autres comme les protections contre : la surveillance de masse, l'interception de ses communications (par des agences gouvernementales ou des criminels), l'usurpation d'identité, le profilage par les agences publicitaires, etc... Il n'y a pas de solution unique pour demeurer en sécurité en ligne. Il faut définir son propre modèle de menace sur ce qu'on veux protéger, contre qui, la probabilité qu'on aie à le protéger, les conséquences en cas d'echec et jusqu'à quel point on est prêt à sacrifier la facilité d'utilisation pour se protéger.

Une bonne ressource est la partie "Surveillance Self Defense" sur le site de l'Electronic Frontier Foundation qui milite pour la défendre la liberté d'expression sur internet, avec notamment son article sur le modèle de menace et celui sur les sept phases de la sécurité digitale. C'est une des ressources les plus complètes, commencer par la partie Aperçus pour comprendre les concepts et enjeux avant d'attaquer la partie Tutoriels pour mettre en place des solutions. Le site est traduit en français, mais il me semble qu'il y a quelques articles en anglais qui n'apparaissent pas dans la traduction française.

Une autre bonne ressource est les CryptoParties. C'est un mouvement qui vise à enseigner les bases de la cryptographie pratique au grand public en organisant des ateliers publics. Il y a énormément d'évènements à Berlin et régulièrement en Suisse, mais très peu en France malheuresement.

Pour les mots de passe (en plus de l'utilisation d'un gestionnaire de mots de passe comme Keepass déjà évoqué par Elan), le système diceware permet de créer des mots de passe forts et faciles à retenir. On n'a plus un password mais une passphrase faite d'une suite de mots (anglais ou français ou autres, il y a plusieurs dictionnaires) qu'on génère de manière aléatoire en tirant des dés. Le site est très complet pour tout ce qui concerne les mots de passe, en détaillant les bonnes pratiques à avoir, et également celles qui vous font tomber dans la paranoia (à un moment, il explique que en effet mettre en place telle tactique est plus sécurisé, mais que à ce stade il est plus important de mettre en place une équipe de gardes du corps qui surveillent votre ordinateur portable en permanence). Si ça vous intéresse, il explique aussi des concepts comme l'entropie des mots de passe et les théories mathématiques qu'il y a derrière, mais l'utilisation du système et l'application des conseils eux-même sont très simples.

Sur la surveillance de masse, il y a d'abord le livre No Place to Hide de Glenn Greenwald sur les détails de sa rencontre avec Edward Snowden, la publication des articles, la répression du gouvernement américain et un état des lieux de ce qu'on sait(en 2014 du coup) sur la surveillance opérée par la NSA et le GCHQ britannique. Ensuite, le documentaire CitizenFour de Laura Poitras porte sur à peu près les mêmes sujets mais est complémentaire du livre et très bon aussi et (à mon avis, bien plus représentatif de la réalité que le film Snowden sorti en 2016).

Autres ressources intéressantes :
By James ex S
#181126 Merci pour ta réponse et pour le partage des ressources.

Comme ça a été dit plusieurs fois, il n'y a pas de solution unique pour rester en sécurité en ligne et le but de ce sujet est bien de définir mon propre modèle et me protéger en fonction de mes données personnelles et professionnelles et des risques qui me sont propres. J'ai tâtonné pendant plusieurs semaines (voire plusieurs mois) en piochant des ressources ici et là sans savoir vraiment par ou commencer. Je paie aussi aujourd'hui mon désintérêt pendant des années pour ce qui touche de près ou de loin à l'informatique. la partie "Surveillance Self Defense" est vraiment très utile et me permet de reprendre les choses dans l'ordre.

Je vous recommande aussi le blog de François Charlet, un jeune avocat stagiaire et juriste stécialisé en droit des technologies. Il y a de nombreux articles sur son blog sur la sécurité informatique.
By Léon
#181245 Si vous utilisez Chrome, Safari ou Opera, vous êtes vulnérables à des attaques au remplissage automatique : quand vous remplissez un formulaire et utilisez ce système, ces navigateurs internet remplisse tous les champs de texte, visibles mais aussi invisibles. On peut donc vous piéger à donner plus d'informations personelles que vous ne le souhaitez.

Entres autres, ces navigateurs stockent identifiants, adresses email, nom, prénom, adresse, numéros de téléphone, et parfois numéros de cartes de crédit...

Moralité : si vous êtes sensibles à ces problèmes, utilisez Firefox (ou au moins n'utilisez pas le remplissage automatique sur des sites inconnus).

Source avec vidéo de démonstration