Ubuntu-fr

Salut,

J'ai trouvé ceci :

Source : https://linuxfr.org/forums/linux-debuta … -differees

Bonjour,

Vu que ce que tu cherches est assez précis, tu devrais faire ta recherche en anglais.
La meilleure réponse que j'ai trouvé ce situe ici :
https://www.kali.org/tutorials/emergenc … luks-kali/
(Ce n'est pas Ubuntu, c'est Kali, une autre distribution orientée sécurité informatique)
Ou alors (ce que je pense le plus approprié) :
https://unix.stackexchange.com/question … is-entered
Plus précisement, sur cette réponse avec le module PAM : https://unix.stackexchange.com/a/107746

Cela permettrait donc d'accéder exactement à ce que tu veux : tester si c'est le mot de passe "destruction" ou le bon mot de passe.

Je te conseillerai néanmoins de faire très très fortement attention aux manipulations et de te renseigner sur PAM, car tu peux faire beaucoup de choses, incluant... une erreur qui permettrait d'outrepasser ton mot de passe.

Je souhaiterai juste corriger une petite coquille, si je puis me permettre.
La double authentification c'est prouver de deux manières différentes que l'on est bien la même personne.

Petit résumé :
Une manière d'authentification est un moyen, et on a plusieurs moyens :
-Ce que l'on sait (mot de passe/PIN/...) (souvent utilisé comme moyen de base d'authentification)
-Ce que l'on est (empreinte digitale/scan rétine/...)
-Ce que l'on possède (Token USB/OTP/...) (souvent utilisé comme deuxième moyen d'authentification, d'où la double authentification)

Plus l'on combine les moyens, et plus le mécanisme d'authentification est fort

Bonus :
NB : Il y a encore 2 autres moyens d'authentification (mais pas applicable dans tous les cas) :
-Où l'on se trouve (obligation d'être dans un emplacement géographique, car la ressource à protéger se situe dans un lieu spécifique non accessible à distance)
-Ce que l'on fait (procédure particulière/cadre particulier/...)
Exemple final d'authentification très très forte : Avoir deux personnes pour chacune : un mot de passe différent, un One-Time-Password, scan des palmes/veines (oui, sanguines). Le tout dans un bunker, et les deux doivent faire la procédure en même temps, avec un décalage maximum de 30 secondes entre chaque étape. (oui, je sais, ça fait beaucoup de conditions à réunir, mais c'est pour les gros secrets, pas pour les photos de famille )

Je ne vais répondre que sur la partie technique :

Je pense personellement que cela est possible, mais je ne sais pas si il y a ne serait-ce qu'une seule application.

Mode paranoïa extrême de la mort qui tue : activé contre le FBI/NSA/[Insérez ici n'importe qu'elle agence gouvernementale et/ou militaire].

Ce que je vais dire est purement spéculatif et hypothétique, et je ne peux assurer que tout est parfaitement possible car je n'ai pas les compétences nécessaires.

L'idée serait d'avoir un système qui ne puisse pas accéder aux données seules, un système complémentaire serait obligatoire. Mais il faut en même temps que n'importe qui récupérant l'ordinateur n'y voit qu'un ordinateur standard avec des fichiers chiffrés.

Disons que l'OS de base est un Windows (sans bitlocker), avec un dossier personnel (facilement visible) qui est entièrement chiffré.
Ça, c'est si vous démarrez l'ordinateur en n'ayant aucune idée de ce qu'il s'y passe. (vous pourrez donner votre mot de passe de session etc, même celui permettant de déchiffrer les données (oui, oui))

Vous, le propriétaire, avez une clé USB (genre une sandisk cruzer fit) mais qui ne détient qu'un OS live (sans mode persistant, mais avec les outils que vous utilisez au quotidien préinstallés, aucune configuration ne doit être présente, seulement l'OS de base + logiciels dont vous avez besoin)
Puis, pour utiliser le système au quotidien :
1) Vous utilisez votre OS entièrement en "live" (RAM) et vous montez votre partition windows.
2) Déchiffrer les fichiers MAIS, et c'est là que réside l'astuce, vous devez avoir un répertoire distant qui va vous permettre de finir le déchiffrement, car les fichiers seraient partiellement présents et le logiciel de déchiffrement "attend" des portions du fichier, auquel cas... Il vous donne une bouillie d'octect inutilisables.
Et j'insiste sur le fait qu'il est nécessaire que ce soit des portions et non une partie choisie arbitrairement (début ou fin), car une reconstituon partielle d'une image pourrait être faite par exemple.
On s'attend à ce qu'il soit possible de casser le chiffrement, donc le fait d'avoir des portions aléatoires du fichier chiffré qui manquent rend l'opération plus compliquée.
3) Lors de l'utilisation, les fichiers seraient automatiquement chiffrés puis découpés puis écris sur le disque/envoyés sur un serveur distant.

Si quelqu'un arrive pour récupérer la machine, l'ordinateur doit également posséder une combinaison de boutons permettant d'effacer la RAM et de rédemarrer en urgence, avec une deuxième batterie cachée dedans (cela préviendrait les personnes tentant de récupérer l'ordinateur de vouloir débrancher éléctriquement l'ordinateur afin de récupérer le contenu de la RAM), permettant ainsi de finir l'effacement de la RAM.
J'insiste sur le fait également qu'il faudrait que toutes les informations confidentielles (serveur distant ayant les portions de fichiers, clé de déchiffrement) doivent être éffacées en quelques centièmes de millisecondes, tout au plus, elles doivent donc être localisée afin que le bouton d'éffacement puisse les atteindre et corrompre les informations le plus vite possible.

A noter que l'on également passer par plusieurs relais (proxy/vpn/tor) aléatoirement pour communiquer avec le serveur distant.

Si quelqu'un récupère le PC selon les cas suivants :
-Ordinateur seul => Fichiers chiffrés, mais partiellement disponible, donc la reconstitution est difficile (je prend en compte le fait que le mécanisme de chiffrement a été cassé)
-Ordinateur avec clé USB => On sait que vous n'utilisez pas l'OS installé (ils peuvent facilement le deviner en analysant le système installé sur le disque dur de toute façon), mais vous n'avez pas de fichiers personnels dessus (ni de configuration ou autre raccourcis), seulement les outils permettant de déchiffrer
-Ordinateur démarré avec clé USB mais vous venez d'appuyer sur le bouton => L'effacement continu (car batterie de secours)
-Ordinateur dénarré avec clé USB mais vous n'avez pas eu le temps d'appuyer sur le bouton => Dommage...

Solution la plus probable (selon moi) :
Avoir des armées de serveurs qui se partagent des morceaux de fichiers chiffrés, et à chaque démarrage, vous utilisez un logiciel portable (à télécharger à chaque fois) afin de les récupérer et de les exploiter dans la ram locale (l'OS n'enregistrerai aucune activité), en plus du bouton pour effacer la ram.
Concernant les serveurs, des procédures d'authentification doivent être faites de manière régulière, auquel cas, le serveur commence directement à effacer les données qu'il contient, et même comme ça, ils pourraient en théorie, mettre la main sur tous les serveurs.

Donc au final : Devoir garder des données sur un support informatique en local, mais caché sans dépendre d'aucune personne est quelque chose qui me semble quasiment impossible. Mais il est toujours possible de fractionner le système pour multiplier les contraintes.

Note de fin : N'importe quel juge pourra toujours vous forcer pour que vous indiquiez les mots de passes et toutes les opérations nécesssaires pour récupérer l'intégralité des fichiers.

Voilà !

Et pour finir, un chiffrement intégral, incluant la RAM est possible (le processeur déchiffre, calcule, et rechiffre) : https://en.wikipedia.org/wiki/TRESOR

Voici potentiellement un début de réponse : https://en.wikipedia.org/wiki/Cryptographic_splitting

Après, je vous cache pas que c'est un peu "too much"

BONUS (illégal, en plus d'être complètement dingue) :
Un système complètement fou serait d'avoir ses fichiers chiffrés (portions) présents sur des milliers d'ordinateurs zombies que vous contactez aléatoirement afin de reconstituer les fichiers dont vous avez besoin, vous n'avez donc jamais vos fichiers, mais ils sont là quelque part.

EDIT : C'est peut-être un peu décousu

+1 pour la réponse juste avant.
Je souhaiterai juste préciser que le pare-feu reste nécessaire même si tu es derrière un NAT

Très bien expliqué en effet.

J'ai pas eu le temps de lire toute la discussion du dernier lien, mais ça me semble très pertinent.

La raison principale du pourquoi je recommande de le garder actif : Voir après.

Je pense qu'ils ont déjà bien répondu au sujet, notamment au travers de ce point ci (dans la discussion) :

Je suis d'accord, mais, c'est simplement dans le cas où une application (inconnue) pour X raison tente une connexion sortante et que l'on ait une notification du pare-feu totalement inatendue qui nous dit qu'une application tente d'accéder à internet.

Ne pas installer n'importe quoi, je suis d'accord, mais on est jamais à l'abri d'une commande ou d'un paquet installé un peu bizarrement ou autre.
Je pars du principe qu'on peut tous faire des erreurs (on a suivi un tuto un peu obscur d'un topic quelque part à propos d'une erreur qu'on a eu sur notre machine), et qu'un pare-feu sur un poste de travail ne va rien consommer en ressource, mais qui pourrait servir à un moment.
(Et je parle d'un pare-feu qui ne se limite qu'aux ports et aux processus, rien d'autre, le pare-feu un peu débile quoi, mais qui fait le travail de base de bloquer les programmes qui n'auraient pas eu notre autorisation lors de leur premier démarrage (comportement windows ça je crois))

Et pour la réponse de bruno, je n'ai rien de spécial à dire, mes réponses sont ci-dessus.

Pour résumer : Je dirai que globalement, je suis en tord (en relisant plusieurs sources) (on fait tous des erreurs, libres à vous de défouler ), et il serait préférable de suivre les autres indications (je vais retourner me renseigner sur la question !)
Les raisons principales de mes erreurs : J'utilise principalement linux sur serveur (donc le fait de configurer iptables est un des premiers réflexes), et pas assez en desktop (je sais que le topic traite de pc de tout le monde, et j'utilise principalement linux en VM) ainsi que le manque de recul par rapport à la question posée.

Voilà, je crois avoir fait le tour et m'être couvert de ridicule (oui, j'aime bien taper sur la tête des libristes, mais je reconnais mes erreurs)

EDIT :

En effet, je vais arrêter de spammer

Bonjour,

Lorsque tu écris un mot de passe dans la console, celui-ci n'affiche pas les étoiles indiquant que tu as saisi un caractère, mais celui-ci est bel et bien tapé

Essaies à nouveau en ne te concentrant que sur ton clavier puis valide par entrée.

Slitaz installé sur cle usb + script au démarrage (rc local) pour lister (et éviter la cle usb) les disques et les effacer + notification quand cela est fini.

Fort possible, je ne vais pas nécessairement régulièrement dans les autres pages, et je cherche par moi même une très grosse majorité du temps.
Mais si les gens ne lisent déjà pas la notice pour des appareils basiques qu'ils achètent, alors pourquoi le feraient-ils pour un ordinateur ?
Ils achètent un ordinateur, ils le branchent, ça marche, voilà.

Bah si tu as déjà cherché de l'aide, vu le nombre astronomique de messages (souvent en anglais) que tu trouves sur internet, il y a de fortes chances que la solution soit quelque part par là.

Je ne sais pas si ce genre de réflexion existe encore. Mais les élitistes n'ont jamais vraiment été bien vus par tout le monde (chacun a sa vision là dessus).

Pour beaucoup, beaucoup, beaucoup d'outils, oui. Apple est incontestablement le meilleur dans l'ergonomie (je parle d'ergonomie, je ne parle pas du reste) en changeant les interfaces pour qu'elles soient beaucoup plus lisibles et simples... Pour faire la même chose.

Possible, je dirai qu'il y a une majorité silencieuse dans le tas.

Oui, c'est ce qu'on aimerait voir dans certains cas, au lieu de certaines lignes de commande à taper (qui, je le conviens, un copier-coller et PAF, TOUT est résolu, c'est du texte, facile à partager, à écrire, pas de capture d'écran etc... Mais bon, le fait de taper des lignes de commande sur un ordinateur, les gens n'aiment pas. Je m'arrête là, car c'est un sujet a controverse et qu'il a été débattu de nombreuses fois.

Quel est le juste milieu là dessus ? Je dirai que sur ce forum, les gens sont très fortement aidés quelque soit leur niveau, et c'est vraiment bien.

Pour la contribution, même si cela est possible, peu de personnes vont le faire (j'ai déjà fait un tuto pour l'installation d'une webcam sur Ubuntu, mais je ne l'ai jamais posté sur la doc par exemple)
Pour le fait que la doc est nulle, je dirai simplement qu'il faudrait mettre un message indiquant qu'elle est rédigée par des bénévoles, qui n'ont pas nécessairement envie de passer leur vie à mettre à jour une documentation pour la beauté du geste.

Dans la communication, ce n'est pas tant le message que l'on veut faire passer, mais la manière qui prime.
En fonction de la rédaction du message, leur ressenti sera clairement différent. Exemple :
-> Tu peux trouver la fonction en allant en haut à gauche sur "Activités", puis écrire "nuit" ou "bleu", puis l'option de réglage de l'écran apparaîtra, tu cliques dessus et tu règles le mode nuit comme tu veux
OU
-> C'est dans les options faut chercher un peu, c'est simple pourtant.

Inutile de préciser dans quel cas la personne se sentira gênée et remarquera que c'est bien plus facile qu'elle ne le pensait. Et de l'autre où la personne pourrait s'énerver ou mal le prendre.
Le message était globalement le même (plus ou moins de détail), mais la manière était différente.

Après, devoir expliquer étape après étape, cela peut être vraiment agaçant de répéter des choses encore et encore, et prendre les gens par la main à chaque fois. Je pense que l'on glisse plus sur un débat de société qu'autre chose.

On est d'accord.

J'ai peur de mal interprêter ton message, mais je vais faire de mon mieux.
Je vais me citer moi-même :

Parce que parfois, les démarches sont expliquées sur le net. (pour des options aussi simples, on en a normalement pas besoin)
Le réflexe de chercher sur internet, parfois les gens ne l'ont pas.

J'avais compris que les gens chercheaient sur un site et sur une app mais pas sur un ordinateur, ce qui, avec du recul, je suis plutôt d'accord.

Merci pour cette réponse, ça m'a l'air de bien correspondre à ce que je cherche, je vais essayer ça !
Un grand merci !

Pour sûr qu'ils ne l'ont pas eu, la majorité des .com de moins de 4 ou 5 caractères sont quasiment tous pris.

Oui... Mais non. Ayant travaillé dans des supports informatiques (avec des gens de tout horizon, des experts aux néophytes les plus total qui ne savaient même pas qu'on pouvait cliquer sur la molette de leur souris).
La seule chose qu'ils devaient savoir pour que je les aident : Connaître leur version Windows, juste ça.
Ils ne savaient pas si ils avaient XP ou 7, du coup, je leur demandaient si ils avaient un bouton vert "démarrer" ou une "boule avec des carrés".
Alors, leur demander leurs versions d'Ubuntu

Plus rapide que sous windows, oui.
Plus facile, non.
Sur Windows, ils font quelque chose qu'ils ont l'habitude de faire : cliquer.

Bah oui, tout le monde sait qu'elle architecture il a... (encore heureux que le 64 bits est bien généralisé...)
Un peu comme toi qui connaît exactement la cylindré de ta voiture et qui va évidemment choisir l'huile moteur en adéquation avec le moteur ?
Tu ne te soucies pas de ce détail ? Ça tombe bien, ton mécanicien quand il utilise son ordinateur il en a rien à faire aussi de savoir que c'est un 64 bits ou un 32 bits.
Mais bon, on ne se pose plus trop la question, car maintenant, tout le monde a une version 64 bits.

On est d'accord, suffit de cliquer, je choisis rien, c'est directement la bonne version (ou c'est la 32 bits, mais entre nous, 32 ou 64, tant que ça marche, je suis pas là à faire un benchmark pour gagner 10 points dans un barème)
Après, j'ai indiqué juste après que j'étais passé par Ubuntu Software.

QTox, je ne connais pas.
Telegram, je n'ai jamais vu d'ID comme ça, car j'ai juste indiqué mon numéro de téléphone (un peu comme WhatsApp), et j'ai choisi un username (facultatif, et non présent lors du premier démarrage).
Signal, jamais utilisé.

En fait, Facebook, WhatsApp, Telegram, ils utilisent tous le même principe : On écrit notre numéro de téléphone, l'application accède à nos contacts, croise les contacts, et on peut directement parler.
Première fois :
Etape 1 : On installe
Etape 2 : On insère notre numéro de téléphone
Etape 3 : On utilise.
Les fois suivantes :
Etape 1 : On utilise.
C'est tout.

Instagram, Twitter, etc : idem, mais avec e-mail/username.

Solutions libres :
Première fois :
Etape 1 : On installe
Etape 2 : Ah désolé, ça dépend de ce que tu utilises. Donc potentiellement, étapes supplémentaires.
Etape 2: On choisit un pseudonyme, on insère son adresse e-mail, on choisit son mot de passe (encore le même que les 89 autres sites sur lesquels on est inscrits) (on est mr tout le monde je rapelle)
Etape 3 : On utilise (en se perdant dans les interfaces, car on veut donner 3972834 options dont tout le monde s'en fout).
Les fois suivantes :
Etape 1 : On utilise (en se perdant dans les interfaces, car on veut donner 3972834 options dont tout le monde s'en fout).
C'est tout.

En prenant des outils en ligne :
https://hex-works.com/eng (Permet la création d'un fichier à partir d'une entrée hexadécimale.
https://www.garykessler.net/library/file_sigs.html ou https://www.filesignatures.net/index.php?page=all (Permet de déterminer le type de fichier à partir des quelques premiers octets)

=> Je n'ai pas réussi à trouver quel fichier cela pouvait être. Je me suis soit trompé dans mon interprétation, soit dans ma procédure, soit le fichier n'est pas complet (le plus probable, car la gauche indique des valeurs incrémentées en hexadécimal).

En effet, sans plus de détails, ça va être compliqué.

EDIT :

En effet, dans la capture on a bien le début du fichier.

Et ceci :

0330340 8e30 967d 3e4d e6fb 2f71 e5c7 3e47 0850
0330360 5a8f 93a2 3e42 3dc0 bb85 e435 3e3b 56ca
0330400 d443 294c 3e34 2174 96be df35 3e2b 247d
0330420 bfc5 6850 3e22 0ccd 1625 03a9 3e18 4b50
0330440 aa4f 8cd1 3e11 b0a5 c837 3cc5 3dfd 8ff2
0330460 6265 1e76 3e07 e340 1168 c336 3e13 e4cb
0330500 c96f 59c9 3e1f 3472 36b8 c6d7 3e26 6a77
0330520 c437 be2a 3e2e 9827 3280 8b7d 3e33 211d
0330540 17fb a0a1 3e37 581a 17c9 495f 3e3b 6ff2
0330560 ecca 3137 3e3e c179 907f 10d7 3e40 88e9
0330600 347b 8962 3e40 88eb 347b 8962 3e40 c17e
0330620 907f 10d7 3e40 7000 ecca 3137 3e3e 5828
0330640 17c9 495f 3e3b 2127 17fb a0a1 3e37 982f
0330660 3280 8b7d 3e33 6a7f c437 be2a 3e2e 3477
0330700 36b8 c6d7 3e26 e4cc c96f 59c9 3e1f e340
0330720 1168 c336 3e13 8fef 6265 1e76 3e07 b0a2
0330740 c837 3cc5 3dfd 32a1 937e f5ba 3ddd ba80
0330760 2a93 4a91 3df4 d1ec f5e4 357a 3e06 a1aa
0331000 dcf8 41c1 3e13 464a f265 8a18 3e1c c4e5
0331020 1157 e30e 3e22 19a1 833d dafc 3e26 4d19
0331040 4b69 9a7f 3e29 d7a1 1125 c63b 3e2a 6707
0331060 2462 748d 3e2a f802 c663 4f16 3e29 2907
0331100 b902 591f 3e28 2907 b902 591f 3e28 f80a
0331120 c663 4f16 3e29 6716 2462 748d 3e2a d7ae
0331140 1125 c63b 3e2a 4d26 4b69 9a7f 3e29 19a8
0331160 833d dafc 3e26 c4e8 1157 e30e 3e22 464c
0331200 f265 8a18 3e1c a1a9 dcf8 41c1 3e13 d1e8
0331220 f5e4 357a 3e06 ba76 2a93 4a91 3df4 3296
0331240 937e f5ba 3ddd b000 0001
0331252

C'est tout simplement le copier-coller de ce que tu voyais dans ta fenêtre de terminal qui a du défiler des miliers de valeurs hexadécimales, mais tu n'as copier-coller que la fin (encore heureux...)

Et même en prenant les premiers octets (généralement les 4 premiers suffisent) de la capture :
18 00 00 00 58 02 00 00
Je n'ai pas trouvé la correspondance dans https://www.garykessler.net/library/file_sigs.html, ni dans https://www.filesignatures.net/index.php?page=all.