Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 585
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 585
    Points : 25 968
    Points
    25 968
    Par défaut [Tutoriel] La gestion de mots de passe pour accéder au Web
    Bonsoir,

    Je vous présente un tutoriel de Tanaka59 sur :




    Celui-ci vous présentera les différentes méthodes d'authentification disponibles.

    Qu’en pensez-vous ?
    Selon vous, y a-t-il une solution meilleure que d’autres ?
    Que pensez-vous des substituts au mot de passe traditionnel ?
    Quelle solution voyez-vous dans le futur ?

    Bonne lecture
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  2. #2
    Membre chevronné

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 779
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 779
    Points : 1 910
    Points
    1 910
    Par défaut
    Bonsoir ,

    Je vous propose ici de débattre sur les mots de passes .

    Au passage merci aux admins Malick , chrtophe et ceux ayant participé pour la rédaction de l'article

  3. #3
    Modérateur
    Avatar de tourlourou
    Homme Profil pro
    Biologiste ; Progr(amateur)
    Inscrit en
    mars 2005
    Messages
    3 348
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Biologiste ; Progr(amateur)

    Informations forums :
    Inscription : mars 2005
    Messages : 3 348
    Points : 9 769
    Points
    9 769
    Billets dans le blog
    6
    Par défaut
    Bonjour, et merci pour l'article.

    Quant au brute-force, il n'est pas applicable si le site bloque l'accès après quelques échecs, non ? On en revient donc à une faiblesse des mesures de sécurité des sites plutôt qu'à celle des mots de passe. Même si que les deux soient forts ne peut nuire !
    Delphi 5 Pro - Delphi 10.3.2 Rio Community Edition - CodeTyphon 6.90 sous Windows 10 ; CT 6.40 sous Ubuntu 18.04 (VM)
    . Ignorer la FAQ Delphi et les Cours et Tutoriels Delphi nuit gravement à notre code !

  4. #4
    Membre à l'essai
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    décembre 2008
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : décembre 2008
    Messages : 5
    Points : 12
    Points
    12
    Par défaut
    Quelques mélanges entre crypter et chiffrer. Crypter ne veut rien dire en français dans un contexte sécurité/chiffrement.
    Plus de détails là : https://chiffrer.info/

    Les erreurs relevées :
    "Le tout crypté est chiffré sur le poste utilisateur."
    "il faudra crypter et chiffrer "
    "tout en cryptant et chiffrant"
    "dans un fichier crypté et chiffré"

    + quelques fautes de français.

    Le tuto est sympas et fait un premier tour intéressant sur la gestion des mots de passe.
    Attention cependant avec la transformation des lettres en chiffre/symbole à la p@ssw0rd.
    Si on est capable de faire ce changement, les pirates aussi. Leurs dictionnaires sont remplis des mots et leurs différentes transformations.
    Ça ne les ralentira pas plus que ça.

  5. #5
    Membre à l'essai
    Profil pro
    Inscrit en
    janvier 2009
    Messages
    6
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2009
    Messages : 6
    Points : 10
    Points
    10
    Par défaut Lesspass : une solution élégante et alternative...
    Bonjour,
    Je reste (encore) adepte d'une solution centralisée (Bitwarden pour mon cas) pour l'effet cumulatif et historique des mdps générés et usités depuis plus de dix ans. (plus de 500 entrées dans le coffre).
    Par contre, j'ai découvert récemment Lesspass ( https://lesspass.com ).
    A lire: https://blog.lesspass.com/lesspass-c...e-9f1201fffda5
    Cordialement.

  6. #6
    Membre habitué
    Homme Profil pro
    PHP - HTML5 - CSS3 - Symfony - C/C++ - python
    Inscrit en
    juillet 2012
    Messages
    40
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : PHP - HTML5 - CSS3 - Symfony - C/C++ - python

    Informations forums :
    Inscription : juillet 2012
    Messages : 40
    Points : 145
    Points
    145
    Par défaut Article médiocre
    Bonjour,
    Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.

    Voici quelques rectifications :

    §2.1, il est écrit:
    Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.
    Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password"), les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe")

    §7.2
    La technologie de carte à puce est une technologie plutôt récente
    Je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Carte_à_puce).

    et §7.3 sur La RFID, je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Radio-identification), pas si récent, utilisé de plus en plus dans l'industrie.
    le trafic d’onde « RFID » peut être écouté
    Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…). Avoir une portée de plusieurs centimètres nécessite des lecteurs bien plus gros (par exemple carré de 8cm ×8cm !)

    Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende
    * 1 = risque inexistant
    * 0 = risque
    aucune mention n'est faite à l'ANSSI: https://www.ssi.gouv.fr/
    où il y a des infos sur les mots de passe, où le logiciel de séquestre keepass a été validé… certes en 2010 (keepassXC sous linux)

    Le conseil d'utiliser plusieurs langues dans ses passphrases me semple en revanche effectivement un bonne pratique… des noms propres peut usités peuvent aussi aider.


    Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!

    Qu’en pensez-vous ?
    Selon vous, y a-t-il une solution meilleure que d’autres ?
    Le double facteur avec des solutions suffisamment "éloignées", ceux qui perdent leur sac à main ou sacoche avec carte, infos et smartphone… le smartphone n'est peut-être pas le meilleur moyen pour ce double facteur (d'ailleurs non utilisé par ma banque)
    Que pensez-vous des substituts au mot de passe traditionnel ?
    Je n'aime pas la biométrie… car ce n'est pas dit, mais à la différence d'un mot de passe, il est difficile de changer de tête ou d'empreinte digitale (parlez-en aux jardinier ou pratiquant de l'escalade)!
    Quelle solution voyez-vous dans le futur ?
    Proche: de plus en plus de double facteur avec une carte (à puce ou rfid…). Le souci est effectivement la perte de ce second moyen d'identification.

  7. #7
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2006
    Messages
    60
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : février 2006
    Messages : 60
    Points : 190
    Points
    190
    Par défaut
    J'ai lu un peu en diagonale, je l'avoue... mais ça manque un peu de cohérence.

    Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ? Comment l'utilisateur est-il identifié alors s'il n'y a pas de mot de passe maitre ? Un certificat ? un token dans le navigateur ? Amais à ce moment là, il y a un risque de perte du certificat / token / autre en cas de perte / vol / destruction de la machine. Et ce n'est pas répertorié dans le tableau final....


    Pour la part, j'utilise une base de données locale chiffrée (KeePass), dont le fichier est synchronisé avec un cloud en Europe.

    Ainsi, les seuls risques sont :
    - Risque d’accès frauduleux après piratage
    - Risque de rançongiciel et keylogger (a la condition d'avoir également réussi à copier la BDD locale/distante pour le pirate)

  8. #8
    Membre régulier
    Homme Profil pro
    Chef de projets
    Inscrit en
    mai 2006
    Messages
    71
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Chef de projets

    Informations forums :
    Inscription : mai 2006
    Messages : 71
    Points : 110
    Points
    110
    Par défaut Les cartes
    Bonjour,

    Pour le §9, je bloque un peu (beaucoup) sur la ligne "Carte". Englober les cartes magnétiques, sans contact et à puce, c'est mélanger les torchons et les serviettes. On parle de supports qui ne sont pas du tout comparables sur le plan de la sécurité.

    Sébastien

  9. #9
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 585
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 585
    Points : 25 968
    Points
    25 968
    Par défaut
    Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.
    Certes, mais l'article est orienté vers les mots de passe Web comme le précise son titre.

    §2.1, il est écrit: Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.



    Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password"), les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe")
    Ça c'est le choix de l'utilisateur, si il ne met pas de mot de passe, la base est en clair. C'est sûr qu'un utilisateur de base va pas le savoir, la plupart ne savent même pas accéder aux mots de passe enregistrés. Sur Chrome, je crois que c'est lié au compte utilisateur, on n'y accède pas aussi simplement qu'avec Firefox en recopiant le profil (là je parle sans mot de passe maitre) Reste à voir ensuite la solidité de la base cryptée de cette base.

    Pour la carte à puce, elle est utilisée assez récemment avec les ordis, mais de toute façon la carte à puce est d'une fiabilité relative.

    le trafic d’onde « RFID » peut être écouté Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…).
    Cela n’empêchera pas les recopies de carte, les fraudes dans ce cas seront surtout au niveau bancaire. (paiement sans contact notamment).
    13.56Mz ça semble être 1m.

    Je n'aimes pas les gestionnaires de mots passe externes, car si compromis, c'est tous les mots de passe qui le sont. Ça déporte la responsabilité à un tiers. Ca peut être un avantage ou un inconvénient. L'article présente justement un cas avéré de piratage d'un gestionnaire de mot de passe.


    L'authentification à deux facteurs permet une meilleure sécurité, peut être problématique en cas de perte ou vol du téléphone par exemple (ou tout simplement plus de batterie). Ça reste un bon compromis et relativement simple à mettre en place.

    Quant à l'authentification biométrique, je me rappelle d'un disque devenu inaccessible car ne reconnaissant pas l'empreinte (mais c'était au début de ceux-ci et je garanti pas que l'utilisateur est fait consciencieusement le relevé d'empreintes), par contre ça peut éviter de saisir le mot de passe comme sur les iphones, il reste possible de saisir le mot de passe.

    J'ai vu des travaux pour utiliser les veines pour la reconnaissance biométrique, apparemment c'est comme les empreintes digitales, unique.

    Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!
    Tenez compte du fait qu'il est tout public.

    Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ?
    Tu ne saisis pas ton mot de passe, vu que c'est le gestionnaire qui l'affiche, donc il ne sera pas récupérable par keylogger, ce qui n'empechera pas celui-ci de récupérer d'autres trucs.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  10. #10
    Membre chevronné

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 779
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 779
    Points : 1 910
    Points
    1 910
    Par défaut
    Bonjour,

    Tiens justement on reparle de LastPass : https://www.developpez.net/forums/d2.../#post11134761 ... Preuve est que les gestionnaires de mots de passes sont des vraies passoires en terme de sécurité

    Citation Envoyé par tourlourou Voir le message
    Quant au brute-force, il n'est pas applicable si le site bloque l'accès après quelques échecs, non ?
    Le brute de force est censé être limité , genre toutes les x minutes seulement 3 à 5 essais. Après on se fait jeter pour X heures ou minutes. Il y a quand même une première barrière. A moins que le site n'est une faille et que le brute de force puisse être contourné.

    Citation Envoyé par Aesahetr Voir le message
    Quelques mélanges entre crypter et chiffrer. Crypter ne veut rien dire en français dans un contexte sécurité/chiffrement.
    Plus de détails là : https://chiffrer.info/

    Les erreurs relevées :
    "Le tout crypté est chiffré sur le poste utilisateur."
    "il faudra crypter et chiffrer "
    "tout en cryptant et chiffrant"
    "dans un fichier crypté et chiffré"
    C'est bon à savoir , je voyais pas une subtilité pareil entre ces 2 termes.

    Citation Envoyé par bcag2 Voir le message
    Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.
    C'est vrai , ici je vise avant tout un publique large . Donc commencer à faire des pages et des pages ... pas vraiment possible. Tout ce qui passe par le Web est le plus connu du commun des mortels. C'est pour cela que j'ai volontairement limité le périmètre.

    Citation Envoyé par bcag2 Voir le message
    §7.2

    Je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Carte_à_puce).

    et §7.3 sur La RFID, je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Radio-identification), pas si récent, utilisé de plus en plus dans l'industrie.

    Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…). Avoir une portée de plusieurs centimètres nécessite des lecteurs bien plus gros (par exemple carré de 8cm ×8cm !)
    Ce n'est pas une invention , c'est dans les colonnes de Zataz.com et Le Point : https://www.zataz.com/piratage-de-ca...sur-sable-fin/ , https://www.lepoint.fr/societe/plage...2328919_23.php

    Le piratage de puce RFID est une réalité. Le nier c'est de la mauvaise fois !

    Citation Envoyé par bcag2 Voir le message
    Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende
    Que voulez vous dire par l'inverse ? (0= pas de risque , 1=risque) . Au plus le score de risque est élevé au plus la techno est faiblarde ...

    Citation Envoyé par bcag2 Voir le message
    Le conseil d'utiliser plusieurs langues dans ses passphrases me semple en revanche effectivement un bonne pratique… des noms propres peut usités peuvent aussi aider.
    Des pirates d’Europe de l'Est ou des Chinois qui siphonnent un site web germanophone , utiliser un mot de passe en allemand sera plus risqué que le mec qui est hispanophone ... Les tentatives en allemand pour casser le mot de passe en espagnol seront ... veines .

    Citation Envoyé par bcag2 Voir le message
    Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!
    C'est qu'il manque pas de culot celui la

    Citation Envoyé par Sebajuste Voir le message
    J'ai lu un peu en diagonale, je l'avoue... mais ça manque un peu de cohérence.

    Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ? Comment l'utilisateur est-il identifié alors s'il n'y a pas de mot de passe maitre ? Un certificat ? un token dans le navigateur ? Amais à ce moment là, il y a un risque de perte du certificat / token / autre en cas de perte / vol / destruction de la machine. Et ce n'est pas répertorié dans le tableau final....
    Peut être auriez vous vu plutôt "clef" en lieu et place de "token" ou "master password" ?

    Citation Envoyé par Seb_de_lille Voir le message
    Pour le §9, je bloque un peu (beaucoup) sur la ligne "Carte". Englober les cartes magnétiques, sans contact et à puce, c'est mélanger les torchons et les serviettes. On parle de supports qui ne sont pas du tout comparables sur le plan de la sécurité.
    Et pourtant ces cartes sont des systèmes que nous utilisons tous les jours au travail (pointage avec bande magnétique, ouverture de porte par puce ou RFID , carte de crédit avec demande d'autorisation via une requête internet ... ) . Le tout est bien branché sur le SI interne de l'entreprise et lui même branché sur internet ou un intranet ...

  11. #11
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    733
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 733
    Points : 1 674
    Points
    1 674
    Par défaut
    Citation Envoyé par bcag2 Voir le message
    Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…). Avoir une portée de plusieurs centimètres nécessite des lecteurs bien plus gros (par exemple carré de 8cm ×8cm !)
    Vous seriez surpris de ce que peux contenir un "backpack" d'un agent de police en civil... comme un lecteur de pass Navigo par exemple. La portée ne dépend pas que de la fréquence, ça dépend avant tout de la puissance du signal, et la puissance admissible du récepteur (avant de cramer).

    Citation Envoyé par tanaka59 Voir le message
    Tiens justement on reparle de LastPass : https://www.developpez.net/forums/d2.../#post11134761 ... Preuve est que les gestionnaires de mots de passes sont des vraies passoires en terme de sécurité
    Comme je le précise dans l'article, les gestionnaires de mdp "libres" sont nettement moins sujets à ces problèmes. De même que la presque totalité des solutions libres qui ont une forte activité /sollicitation (comparativement aux concurrents propriétaires).
    Le principaux atouts du gestionnaire, c'est de :
    1) pouvoir les stocker de manière plus fiable que le font M. et Mme Michu (en claire sur un bloc-note, excel, un papier dans un tiroir... et qui s’appelle "mes mots de passes")
    2) permettre de s'affranchir des problèmes /capacités de mémorisation, et par incidence, a) utiliser des mdp bien plus forts, b) ET DIFFÉRENTS !
    3) présenter une immunité contre certaines techniques

    Citation Envoyé par bcag2 Voir le message
    Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende
    Citation Envoyé par tanaka59 Voir le message
    Que voulez vous dire par l'inverse ? (0= pas de risque , 1=risque) . Au plus le score de risque est élevé au plus la techno est faiblarde ...
    Je confirme, il y a une incohérence de convention, prenons la première ligne :
    Le tableau présente un score de "faiblesse" (score de "risque" serait plus approprié), plus il est élevé, plus il est mauvais.
    La première case est verte avec un 0, les autres sont rouges avec un 1, le score est élevé. Or la légende indique que "1" signifie "risque inexistant".
    Je ne comprend pas ce qui motive cette aversion pour les gestionnaires de mdp locaux, c'est comme si seul leurs défauts étaient pris en compte.

    Citation Envoyé par chrtophe Voir le message
    J'ai vu des travaux pour utiliser les veines pour la reconnaissance biométrique, apparemment c'est comme les empreintes digitales, unique.
    Oui, mais attention, cette techno scanne à quelques millimètres de profondeur seulement, les réseaux capillaires, et si vos doigts sont trop froid... vos tentatives seront "veines".

    Citation Envoyé par tanaka59 Voir le message
    C'est bon à savoir , je voyais pas une subtilité pareil entre ces 2 termes.
    NB: en français, "crypté" signifie que c'est mis en crypte : une infrastructure où l'on place des cadavres... ^^'

    Citation Envoyé par tanaka59 Voir le message
    Des pirates d’Europe de l'Est ou des Chinois qui siphonnent un site web germanophone, utiliser un mot de passe en allemand sera plus risqué que le mec qui est hispanophone ... Les tentatives en allemand pour casser le mot de passe en espagnol seront ... veines .
    Oui, pour l'emploi d'une autre langue... mais plus important, le but recherché est de s'éloigner des conventions (en France on parle français, un dossier de finances est nommé "*finnance*", etc.)?
    On évitera donc l'anglais et la langue géographique, pour une langue plus rarement employé... exemple, dans la marine française, à une époque, on employait des bretons de souche pour les communications chiffrés (ou non d’ailleurs), car quand bien même le code était cassé, les chances que l'adversaire emploi un breton "non français" était infinitésimal, et les chances de pouvoir le traduire sans, d'autant.



    En définitive, j'ai bien apprécié l'article, c'est une bonne ébauche que je peux présenter tel quelle à bien des personnes.
    Mon seul regret, c'est le titre qui parle de gestion, alors qu'en définitive il est question de sélection. Je m'attendais donc à un éventail sur les gestionnaire.
    Au vu de l'usage croissant des gestionnaires (notamment ceux des navigateurs), je pense qu'il serait utile d'y inclure une partie dédié. Ne serait-ce que pour démystifier certains mythes, et rappeler certains atouts.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  12. #12
    Futur Membre du Club
    Profil pro
    Développeur Logiciels
    Inscrit en
    novembre 2010
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2010
    Messages : 4
    Points : 7
    Points
    7
    Par défaut Mon avis
    Bonjour Tanaka59,

     Bravo belle effort d’écrire un article, surtout sur un sujet compliqué et délicat comme la sécurité.

     Il n’est pas simple de comprendre exactement qu’elle est le sujet, c’est le principe d’authentification par mot de passe ou les gestionnaires de mots de passe ? car par exemple quand tu parles des alias d’email comme solution cela n’a rien avoir avec le stockage des mots de passe (où je n’ai peut-être pas bien compris).

     Note sur le RFID : oui on peut espionner les communications, mais les vrais professionnels utilisent une communication sécurisée (un peu comme https pour faire simple), et beaucoup des failles sont due à des personnes qui ont implémentés leur propre système de chiffrement au lieu de s’appuyer sur des standards éprouvés.

     Ton tableau comparatif ne me semble pas le plus pertinent (sans parler de l’erreur de légende), on ne peut pas comparer des solutions de sécurité à l’emporte pièces comme tu le proposes, pour pouvoir estimer les risques de sécurité il faut utiliser des outils plus précis, utilisant par exemple une TVRA, car un risque est plus ou moins faible, tout n’est pas que noir ou blanc (0/1).

     Quant à la conclusion, je ne sais pas qu’elles sont tes compétences (diplômes ou expériences) dans la sécurité pour être aussi affirmatif. Sache que les gestionnaires de mots de passe sont recommandés par beaucoup d’experts de la sécurité, bien qu’ils poussent pour augmenter le niveau de sécurité avec la double authentification par exemple. Ta phrase « Le plus sage, reste bien évidemment d’écarter cette technologie qui n’est pas du tout aussi fiable qu’elle veut le prétendre. » me dérange, aucune solution n’est fiable à 100%, le risque zéro n’existe pas, donc partir du principe que s’il y a un risque même très faible il ne faut pas l’utiliser est trop excessif. Ces outils répondent à un besoin, car tout le monde n’est pas aussi fort que toi pour inventer et mémoriser des mots passe différents et complexes. Je pense qu’il faut plus former les gens sur l’utilisation et les informer sur les risques que de leur dire de ne pas utiliser ces outils. Et espérer que les authentifications multi facteur vont se développer pour augmenter le niveau, bien que l'on découvre la aussi des attaques qui contournent celle-ci.

  13. #13
    Membre éclairé Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2008
    Messages
    237
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2008
    Messages : 237
    Points : 837
    Points
    837
    Par défaut
    Pour ma part, je suis un fervent partisan des gestionnaires de mots de passe.

    Ils permettent d'avoir des mots de passe unique pour les comptes auxquels on a accès, et ce, de manière simple.

    De plus, ils ont l'avantage de recenser/lister tous les sites auxquels on a accès. Donc en cas de pépin, on peut les changer plus facilement.
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence celui-ci

  14. #14
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    733
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 733
    Points : 1 674
    Points
    1 674
    Par défaut
    Citation Envoyé par NobodyIsPerfect Voir le message
    car par exemple quand tu parles des alias d’e-mail comme solution cela n’a rien avoir avec le stockage des mots de passe (où je n’ai peut-être pas bien compris).
    Les alias permettent d'envoyer et recevoir à partir d'une adresse sur laquelle il n'est pas possible de se "connecter" (à l'aide d'un mot de passe). Cela permet de choisir une politique de mot de passe plus durable, de sécuriser un peu plus sa boite mail.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  15. #15
    Futur Membre du Club
    Profil pro
    Développeur Logiciels
    Inscrit en
    novembre 2010
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2010
    Messages : 4
    Points : 7
    Points
    7
    Par défaut
    Citation Envoyé par Steinvikel Voir le message
    Les alias permettent d'envoyer et recevoir à partir d'une adresse sur laquelle il n'est pas possible de se "connecter" (à l'aide d'un mot de passe). Cela permet de choisir une politique de mot de passe plus durable, de sécuriser un peu plus sa boite mail.
    Effectivement cela limite les tentatives d'attaque sur le compte de sa boite mail, mais cela ne supprimera pas le besoin d’avoir des mots de passe associés à ces alias sur les comptes des site web, et donc de retomber sur la problématique de la génération et mémorisation de ceux-ci.
    Ce point va dans le sens de ma remarque sur le sujet de l’article, c’est plus la problématique du système d’authentification par mot de passe que les gestionnaires qui est en question.

  16. #16
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    733
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 733
    Points : 1 674
    Points
    1 674
    Par défaut
    Citation Envoyé par NobodyIsPerfect Voir le message
    mais cela ne supprimera pas le besoin d’avoir des mots de passe associés à ces alias sur les comptes des site web, et donc de retomber sur la problématique de la génération et mémorisation de ceux-ci.
    en fait, si, cela supprime des mots de passe, plus précisément : tous sauf un.
    un alias n'a pas la possibilité de login, il ne fait que suivre/ du courrier sur une adresse principale, ou envoyer depuis son adresse principale comme si on le faisait depuis l'alias (une sorte de domiciliation). Donc tu te retrouves avec un seul mot de passe à gérer, pour 31 adresses, dont 30 sont sécurisées (ce que permet G-Suite). si une adresse devient problématique, tu supprimes l'alias et tu en crées un autre... pas de mots de passe supplémentaires à gérer donc, simplement des adresses.

    Ce qui est indiqué en section 10 est correcte, la formulation laisse simplement ambigüe certains détails pour ceux ne connaissant pas le principe d'alias.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  17. #17
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 585
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 585
    Points : 25 968
    Points
    25 968
    Par défaut
    Correction coquille en dessous du tableau : risque inexistant remplacé risque existant.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  18. #18
    Membre habitué Avatar de francis60
    Homme Profil pro
    Modélisation coût/process
    Inscrit en
    août 2011
    Messages
    168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Modélisation coût/process
    Secteur : Conseil

    Informations forums :
    Inscription : août 2011
    Messages : 168
    Points : 160
    Points
    160
    Par défaut
    Citation Envoyé par Steinvikel Voir le message
    en fait, si, cela supprime des mots de passe, ...
    Bonjour Steinvikel,
    C'est à dire que tu utiliserais le même mot de passe sur ces 30 sites ?

  19. #19
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    733
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 733
    Points : 1 674
    Points
    1 674
    Par défaut
    non, je vais faire un exemple.

    Prenons un fournisseur de service hypothétique (www.dvp.com), chez lequel j'ai souscrit un service me permettant d’accéder à une adresse e-mail (steinvikel@dvp.com).
    - steinvikel@dvp.com est mon adresse principale, pour y accéder, j'entre cette adresse et un mot de passe, j'accède alors à ma boite mail distante correspondante.
    - J'y paramètre ensuite des alias : inscription@dvp.com, SAV@dvp.com, contact@dvp.com, poubelle@dvp.com, ephemere@dvp.com... 30 comme cela.
    - Lorsque quelqu'un reçoit un mail semblant provenir de SAV@dvp.com, il envoi ça réponse à la même adresse.
    Cette réponse arrive chez le fournisseur de service qui attribue l'adresse SAV@dvp.com à l'adresse steinvikel@dvp.com, il y redirige donc le mail sur la boite mail de ce dernier pour y être stocké (d'où l'analogie avec la domiciliation --> 1 local, plusieurs adresses physiques).
    - Lorsque je veux accéder aux mails de SAV@dvp.com, il n'existe pas de boite mail dédié à cette adresse, je me connecte uniquement à steinvikel@dvp.com.

    Si un jour cette adresse est pollué, j'ai juste à supprimer l'alias dans mes paramètres, et configurer un nouvel alias si besoin.
    Si un attaquant souhaite tenter de s'y connecter, il ne pourra pas, car l'adresse n'est pas une boite mail, ce n'est qu'un "alias", un lien qui "pointe vers".

    J'espère que l'exemple est limpide, il l'est pour moi. ^^'
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  20. #20
    Membre habitué
    Homme Profil pro
    PHP - HTML5 - CSS3 - Symfony - C/C++ - python
    Inscrit en
    juillet 2012
    Messages
    40
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : PHP - HTML5 - CSS3 - Symfony - C/C++ - python

    Informations forums :
    Inscription : juillet 2012
    Messages : 40
    Points : 145
    Points
    145
    Par défaut
    À propos de la RFID,
    Citation Envoyé par tanaka59 Voir le message

    Ce n'est pas une invention , c'est dans les colonnes de Zataz.com et Le Point : https://www.zataz.com/piratage-de-ca...sur-sable-fin/ , https://www.lepoint.fr/societe/plage...2328919_23.php

    Le piratage de puce RFID est une réalité. Le nier c'est de la mauvaise fois !
    Merci pour ces sources que j'ai lu: d'une part, il n'y a aucune précisions techniques. D'autre part, l'article sur le site du point.fr précise bien en fin d'article: "Nous recevons 50 plaintes par an […],mais parce que la carte a été perdue ou volée".
    Pour être précis car chrtophe parle de portée de 1m pour la RFID, je vous laisse consulter les caractéristiques techniques d'un lecteur industriel:
    https://www.se.com/fr/fr/product/XGC...ormat-d-13mhz/
    On y lit: "portée nominale: 10…70 mm"… nominale… c'est à dire sans métal environnant (stylo, clés…), sans seconde carte contre celle qu'on veut lire… et je le répète, les usagers des transports en commun ne me démentiront pas, on ne valide pas son trajet en passant sa carte SNCF ou pass navigo a 50mm du lecteur!
    Donc mon propos n'est pas de nier mais d'éclairer.
    Et pour ma part, quand je vais à la plage… je n'ai pas de carte bancaire mais un maillot de bain

Discussions similaires

  1. Réponses: 2
    Dernier message: 01/11/2017, 19h22
  2. supprimer mot de passe pour accèder à une partition
    Par julien.63 dans le forum Administration système
    Réponses: 6
    Dernier message: 22/08/2007, 18h22
  3. Mot de passe pour accéder au code
    Par donkey21 dans le forum VBA Access
    Réponses: 1
    Dernier message: 26/06/2007, 22h19
  4. Réponses: 1
    Dernier message: 03/01/2006, 21h38
  5. Réponses: 4
    Dernier message: 29/11/2004, 22h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo