Discussion :

[transgohan]

Je pense que c'est encore du bruit pour rien.
Qui dit que Google stocke en clair les mots de passe ? C'est exactement la même chose chez Apple, c'est sans doute chiffré avec une clé spécifique à chaque utilisateur.

Mais en fait, c'est que du vent. Il y a pire. Vous vous rendez compte que des entreprises utilisent Google Apps ? Donc Toute leur documentation est visible par Google. Franchement, les journaleux...

Non c'est un fichier que tu retrouves dans le système de fichier Android, tous les noms de réseau et les clés y sont en clair.
Je ne pense pas qu'ils s'amusent à crypter les données à sauvegarder avant de les envoyer...

[Mr_Exal]

Sur les roms AOKP tout est écrit noir sur blanc (CM 10.1 entre autre (que ce soit la sauvegarde des mots de passe wifi, données d'applis ou autre )).

[niarkyzator]

bah même si c'était sauvegardé en crypté, la NSA a la puissance pour décrypter en quelques secondes alors.

Depuis quand ?

Je pensait que la NSA avait simplement les clefs privées les plus utilisées (par Google facebook etc). Avoir un double des clefs et entrer par effraction c'est pas la même chose.

Le FBI c'était pas pété les dent sur TrueCrypt il y a quelques temps ?

Et je crois pas que l'AES 256 tombe aussi facilement que ça même pour la NSA. Ils ont peut-être des moyens détournés mais arrêtez de crier à tout bout de champs que le cryptage est inutile et dépassé, c'est faux.

[tchize_]

J'irais même plus loin en disant "Mot de passe = hashé + transmission du hash du mot de passe = crypté" .

Vachement utile de hasher un backup, c'est irrécupérable après Ca n'a aucun intérêt. Le hashage des mot de passe ça ne sert que pour le serveur faisant l'authentification, pas pour celui qui doit préserver ce mot de passe.

Pas forcément: la clef peut être calculée de manière déterministe à l'aide du couple login/password. Ce que la société n'a pas (en tout cas, pas en clair, enfin j'espère ).

Et donc tu pronerais un système où l'intégralité de ton téléphone s'efface le jour où tu réinitialise ton mot de passe google? Parce que, mine de rien, beaucoup de gens réinitialisent des mots de passe oublié. Dans ton cas, ce serait une catastrophe bien pire au niveau de la qualité de service. En ce qui me concerne, soit tu accepte que la société conserve tes données personelles, et dans ce cas tu assume, soit tu évite de cocher cette case.

Je rappelle accessoirement aussi que, dans les données "personelles" associées aux applications, on trouve aussi vos donnée bancaire si vous avez eu la bonne idée d'installer ce truc à la mode, les application pour faire ses virement depuis son téléphone / tablette. Même si dans le dernier cas, l'application fait un effort de protection.

Bref, c'est l'éternel problème du truc assis sur la chaise qui est pas foutu de lire un manuel d'un appareil avant de l'utiliser ou de lire ce qui est écrit à coté de la case.

[Neckara]

Vachement utile de hasher un backup, c'est irrécupérable après Ca n'a aucun intérêt. Le hashage des mot de passe ça ne sert que pour le serveur faisant l'authentification, pas pour celui qui doit préserver ce mot de passe.

Rien n'empêche au client de conserver le hash du mot de passe au lieu de conserver l'original du mot de passe.

[tchize_]

ta borne wifi n'acceptera jamais que tu lui envoie le hash du password plutot que le mot de passe, elle ne saura rien en faire. Donc lehash du mot de passe ne te sert à rien dans le cas présent. Le hash, ca ne sert que pour le serveur faisant l'authentification. Ici on parle d'un serveur gardant un backup. On ne hashe pas un backup, c'est comme le passer dans une machine à confettis, c'est inutilisable après.

Conserver ds hash, ça se fait quand on est dans des procédure pouvant comparer deux tas de confettis.

[nirgal76]

Je sais que beaucoup de personnes s'inquiètent sur la confidentialité des informations stockées sur leur smartphone / ordinateur / tablette... mais je ne vois pas en quoi cela peut poser un problème. Savoir que Google connait mon mot de passe Wifi, savoir où j'ai été hier après midi (cf Waze) etc. Aujourd'hui je m'en fiche royalement. En quoi cela est censé me gêner ?

Ben, tu sais les mêmes qui critiquent google la dessus paie avec leur carte bleu qui les trace partout, ils vont mettre leur empreinte sur un écran d'iphone (qui va se constituer une bien belle base de données pour la NSA) mais ça, ça ne les gêne pas. Ils se révoltent contre google mais c'est une révolte "de mode" parceque faut se révolter contre google de nos jours pour être rebelle puisque c'est lui le leader du moment.

[Pelote2012]

Encore une fois, il dépasse les limites.
Je me demande à quoi ça peut leur servir les données Wifi.

[nicroman]

Encore une fois, il dépasse les limites.
Je me demande à quoi ça peut leur servir les données Wifi.

A eux ? rien du tout.
A nous ? pouvoir changer de smartphone sans rien avoir à entrer comme mot de passe (sauf celui du compte google principal)
Comme pour les applications qui se réinstallent toutes seules, avec *leurs* données.

Pour info, la synchro des login/mots de passe de sites web entre chrome "desktop" et les divers mobiles rattachés au compte existe aussi.

[RaphAstronome]

Pour ma part l'option présente dans le menu "confidentialité" présente une description tout à fait claire (cf screenshot, c'est un téléphone Sony).

Par contre je ne me souvent plus si je l'avais décoché ou si c'était désactivé depuis le début. Mais je trouve que ce genre d'option devrait être désactivé par défaut et avec un message d'avertissement lors de l'activation. L’utilisateur n'est pas sensé aller dans chaque menu pour décortiquer chaque option.

[nicroman]

L'option est affichée dès l'entrée d'un compte google, à l'installation du téléphone (premier allumage ou après un wipe-data / factory-reset). Là encore la description est très claire.
Si il y avait déjà une configuration sauvegardée, l'installation demande même si on veut la récupérer ou non.

Et je trouve très bien qu'elle soit activée par défaut, donc c'est une question de goûts et de couleur.
Sachant que la majorité des gens n'y comprennent rien et passeront un temps fou à "retrouver" le mot de passe de leur wifi, je pense qu'il vaut mieux la laisser activer.

A noter que sur un appareil Samsung, l'entrée d'un compte samsung fait exactement la même chose, et sauvegarde quasiment les mêmes données.

Sur un iPhone, l'entrée d'un compte iCloud a aussi le même effet. Pas sur qu'on puisse désactiver l'option de sauvegarde permanente après coup par contre.

[ILP]

Et hop, une petite visite sur ton PC à la maison via une backdoor dans Windows, ou via un cheval de troie, ou que sais-je encore... Sinon pourquoi pas une voiture noire au vitres teintées qui se gare le long de ton trottoir... après tout, ils connaissent déjà ton mot de passe, non?

C'est là où un utilitaire du style Wireless Network Watcher peut s'avérer pratique. Même si l'adresse MAC n'est pas une information fiable.

[transgohan]

Ouais enfin, pas besoin d'installer une application pour ça. Les routeurs ont tous dans leur menu, quelque par, la liste des device wifi actuellement connectés

Et au moins, ça peux se consulter depuis son desktop filaire

Sauf que certaines box grand public ne propose pas ce menu (hormis peut être pour un technicien de la marque).
C'est mon cas, j'ai une freebox v5.
Aucun accès à l'interface de la box hormis via le site de free.
J'ai trouvé une url d'administration de la box en local en lisant le net mais elle ne fonctionne pas (accès refusé). Quand on contacte free à ce sujet ils te répondent que ce n'est pas possible avec une v5 et tentent de te vendre une box v6...

[Mr_Exal]

Sauf que certaines box grand public ne propose pas ce menu (hormis peut être pour un technicien de la marque).
C'est mon cas, j'ai une freebox v5.
Aucun accès à l'interface de la box hormis via le site de free.
J'ai trouvé une url d'administration de la box en local en lisant le net mais elle ne fonctionne pas (accès refusé). Quand on contacte free à ce sujet ils te répondent que ce n'est pas possible avec une v5 et tentent de te vendre une box v6...

Sérieusement? ... Même les Castle Net merdiques de chez NC ont une interface d'administration

[transgohan]

Sérieusement? ... Même les Castle Net merdiques de chez NC ont une interface d'administration

Bah il y a bien une interface d'administration.
Mais elle est attaquée par leur site, donc tu ne peux pas contrôler ta freebox v5 sans avoir un accès à internet.
Et leur site ne te propose pas toutes les configurations possible que propose cette interface.

Je reste persuadé qu'ils ont joué le côté commercial car j'ai lu de nombreux messages sur internet parlant de cette interface alors que la v6 n'existait pas encore. Donc j'ai un problème avec ma box...

[Mr_Exal]

Bah il y a bien une interface d'administration.
Mais elle est attaquée par leur site, donc tu ne peux pas contrôler ta freebox v5 sans avoir un accès à internet.
Et leur site ne te propose pas toutes les configurations possible que propose cette interface.

Je reste persuadé qu'ils ont joué le côté commercial car j'ai lu de nombreux messages sur internet parlant de cette interface alors que la v6 n'existait pas encore. Donc j'ai un problème avec ma box...

Même en l'attaquant via l'ip privée de ta box par navigateur ?

[transgohan]

Même en l'attaquant via l'ip privée de ta box par navigateur ?

J'ai trouvé une url d'administration de la box en local en lisant le net mais elle ne fonctionne pas (accès refusé).

C'était sous-entendu avec l'ip locale de la box (ip passerelle donc).
Racine de cette ip ou bien arborescence trouvé sur le net me donne le même résultat.

[Mr_Exal]

C'était sous-entendu avec l'ip locale de la box (ip passerelle donc).
Racine de cette ip ou bien arborescence trouvé sur le net me donne le même résultat.

Ah oui autant pour moi il faudrait que j'ouvre mes yeux plus grand