Pages : 1
#1 Le 24/06/2007, à 13:22
- Nazebrock
Les données personnelles et Linux
Bonjour,
J'ai commencé à me poser des questions ici (http://forum.ubuntu-fr.org/viewtopic.php?id=129073).
J'ai remarqué que par défaut, le FW de Ubuntu était désactivé, ou du moins qu'il n'y en avait pas. Les polices par défaut permettent à tout un chacun d'entrer et sortir sur votre système en toute impunité.
Même si Linux est un système sécurisé qui requiert un mot de passe pour la modification ou la suppression de beaucoup de repertoires du système, il n'en est pas de même pour les répertoires /media et /home, là où vous avez vos données personnelles et d'autres disques montés (et donc qui contiennent vos travaux, souvenirs, projets et j'en passe).
Par conséquent, le pirate qui s'attaque à un système linux d'un particulier (j'insiste sur le fait que c'est un particulier) n'a d'autres choix que de supprimer nos données personnelles dans /home et /media étant donné que le reste lui demandera plus de boulot.
Par conséquent, en tant qu'utilisateur, je comprend l'utilité d'un système Linux sur un serveur. Peu ou pas de données personnelles y sont stockées, juste des services sont proposés. Le pirate qui veut nuire n'a pratiquement pas d'autres choix que de passer son chemin (vision simpliste, je sais).
Sur le système d'un particulier, la sécurisation du système fait que le pirate n'a d'autres choix que de nous nuire en supprimant nos données.
Et c'est cela qui me gêne.
En tant qu'utilisateur, je me suis déjà ramassé pas mal de crasses qui ont ravagé mes Win95, ou 98 de l'époque. Mais jamais je n'ai perdu de données. Tout simplement parce que le but du virus/pirate était de me nuire en neutralisant mon système.
Mes données ont pu être récupérées tout simplement via Dos ou sur XP via le mode sans echec.
Il faut savoir que, personnellement, je n'en ai rien à faire qu'on me crashe mon système. Ce n'est vraiment pas le plus important. Un système pet être remis à neuf en 2 heures.
Les données personnelles par contre c'est autre chose.
Je ne pense pas etre le seul a stocker ma vie de manière numérique sur mon disque et donc d'avoir peur de les perdre un jour.
Pour résumer mon bla bla, j'ai en fait l'impression que même si mon système Linux est plus "dur" qu'un système comme Windows, je n'ai pas l'impression que mes données persos sont elles aussi sécurisées et encore pire, j'ai l'impression qu'a la moindre visite d'un pirate sur mon ordi, ma vie a disparu.
Alors qu'en est-il de votre avis ?
Me suis-je trompé totalement dans ma vision de la sécurité de mes données persos sur Linux ?
Ou bien n'ai-je pas totalement tort ?
Signé: un semi-linuxien pas tranquille
Dernière modification par Nazebrock (Le 24/06/2007, à 13:30)
Hors ligne
#2 Le 24/06/2007, à 13:43
- mrf
Re : Les données personnelles et Linux
Tant qu'aucun service ne tourne, on ne peut pas accéder à ta machine, si tu as un desktop tu n'as normalement pas de service.
Cela dit, je préfère toujours avoir mon parefeu.
Quant à tes fichiers perso, tu peux les chiffrer aussi si tu as peur pour elles.
Hors ligne
#3 Le 24/06/2007, à 13:50
- Goldy
Re : Les données personnelles et Linux
Je dirais que tu te trompes totalement vis à vis des risques que tu encoures au niveau de tes données personnelles.
Il faut savoir que par défaut, même pour accéder à tes données perso, le pirate aura besoin du mot de passe de ta session, si tu es un administrateur, non seulement il pourra alors accéder a tes données personnelles, mais il pourra alors faire un sudo comme bon lui semble pour bousiller la totalité de ton système s'il le souhaite. Or, dès l'instant que ton mot de passe reste inconnu, à moins qu'il fasse usage d'une faille de sécurité d'une application lancé en utilisateur, alors il n'aura accès à rien du tout, ni en lecture, et encore moins en écriture à ton système. Dans l'éventualité qu'il arrive à exploiter une faille de sécurité d'un programme lancé sur ta session utilisateur, alors il aura éventuellement accès en écriture sur tes données personnelles, et en lecture sur le reste du système. Mais pour cela, faut qu'il exploite une faille de sécurité, et normalement, si tu n'utilises pas de logiciels exotiques qui ne sont pas supporté officiellement par ubuntu, tu ne devrais, a priori, ne rien risquer (d'un point de vu statistique je dirais que tu as autant de chance que quelqu'un s'en prenne a toi personnellement que de gagner deux fois de suite au loto).
De plus, tu as une vision biaisé du phénomène hacking et des vilains pas beau qui passent leurs journées à, soit-disant, s'attaquer aux ordinateurs de particuliers rien que pour les embêter. Encore une fois, d'un point de vue purement statistique, les risques de tomber sur un tel type sont extrêmement faibles. Sur windows, se sont des scripts qui se multiplies et qui passent leur temps à se propager de pc en pc grâce aux failles de sécurité de windows, le coups du gars qui va visiter ton pc de façon manuelle est un mythe qui perdure de l'époque où l'informatique et le réseau était réserver à une élite et dont le nombre de machines n'étaient absolument pas aussi conséquent qu'aujourd'hui.
De plus, sur les motivations de ces hackers, quelqu'un qui t'attaque personnellement cherchera toujours à détruire ton système et non pas a rendre ta machine inopérante tout en conservant tes données. Encore une fois, les problèmes que tu as connu sous windows était le fait de scripts qui exploitaient de manière automatique les failles, et cela m'étonnerait que ce soit l'affaire d'un hacker qui s'en soit prit a toi parce que ton ip lui plaisait.
Dernière modification par Goldy (Le 24/06/2007, à 13:52)
Hors ligne
#4 Le 24/06/2007, à 13:57
- mrf
Re : Les données personnelles et Linux
Ah oui ... un autre truc, tant qu'on est en ipv4, ta machine n'est accessible depuis internet que si tu n'as pas de routeur avec NAT (une *box par exemple)
Donc ça limite encore plus.
D'ailleurs, est-ce que SSH est actif sur Ubuntu par défaut ? je crois que non, mais je ne sais plus
Hors ligne
#5 Le 24/06/2007, à 14:06
- Goldy
Re : Les données personnelles et Linux
D'ailleurs, est-ce que SSH est actif sur Ubuntu par défaut ? je crois que non, mais je ne sais plus
Non, il n'est pas installé par défaut (d'ailleurs, c'est source de critique de beaucoup d'admin d'après ce que j'ai pu lire).
Mais ssh est très sécurisé, il ne laissera entrer personne qui ne connait pas le mot de passe de l'utilisateur.
Dernière modification par Goldy (Le 24/06/2007, à 14:06)
Hors ligne
#6 Le 24/06/2007, à 14:11
- mrf
Re : Les données personnelles et Linux
Oui oui bien sûr, mais bon, pour un desktop c'est pas essentiel, (et pour un admin, c'est pas super chaud de l'installer après)
Je sais bien qu'il est sécurisé, mais si ça peut rassurer qu'il ne soit pas là...
Hors ligne
#7 Le 24/06/2007, à 14:14
- Nazebrock
Re : Les données personnelles et Linux
Merci Goldy pour ta réponse.
Quelqu'un qui arriverait donc sur mon ordi aurait besoin en plus d'un mot de passe session ?
Il ne serait pas, par défaut loggé sur mon système car j'y suis déjà ?
Je suis effectivement derrière un routeur avec NAT et j'utilise de plus Firestarter depuis hier
Dernière modification par Nazebrock (Le 24/06/2007, à 14:17)
Hors ligne
#8 Le 24/06/2007, à 14:20
- Smarter
Re : Les données personnelles et Linux
Pour "arriver" sur ton ordi il faudrait déjà que:
- tu es ssh ou vnc ou un serveur web qui tourne
- que ton routeur ne le bloque pas(la plupart des routeurs ont un pare-feu intégré)
- que ton routeur redirige la connection vers un certain port ou d'une certaine adresse IP sur ton ordi.
Si toutes ces conditions sont réunis et que tu n'as pas de pare-feux qui tourne sur la machine, alors le pirate pourra essayer de trouver ton login/pass (ce qui prends un certain temps si le mot de passe est sécurisé et qui se répère très facilement si on consulte les logs, ou en utilisant un logiciel qui bloque la connexion après x essais).
Hors ligne
#9 Le 24/06/2007, à 14:34
- Nazebrock
Re : Les données personnelles et Linux
Bon, je vous crois et je pense avoir fais ce qu'il fallait pour ne pas avoir de problèmes...
Merfi
Hors ligne
#10 Le 24/06/2007, à 14:42
- Goldy
Re : Les données personnelles et Linux
(ce qui prends un certain temps si le mot de passe est sécurisé et qui se repère très facilement si on consulte les logs, ou en utilisant un logiciel qui bloque la connexion après x essais).
Il est également à noter qu'en cas d'erreur de mot de passe, ubuntu met 3 secondes à répondre avant de pouvoir faire un nouvel essaie. En gros, même quelqu'un faisant une attaque de type "dictionnaire" (en essayant la totalité des mots présents dans le dico par exemple), ça lui prendrait au maximum 50 heures pour pénétrer le système (ce qui est court, d'où l'intérêt de mettre un mot de passe qui ne soit pas dans un dictionnaire ou avec une fôte d'orthographe).
Hors ligne
#11 Le 24/06/2007, à 14:47
- mrf
Re : Les données personnelles et Linux
Euh .. quand on dit une attaque basée sur un dico c'est pas celui de l'acédémie française hein 
les fautes d'orthographes communes en font parties aussi 
Mais bon, généralement c'est de l'anglais. D'où l'intérêt d'avoir aucun rapport avec un mot existant
Hors ligne
#12 Le 24/06/2007, à 16:43
- Nazebrock
Re : Les données personnelles et Linux
Disons que il en faut un (de pass) dur, mais pas trop long. Parce que devoir taper sans arret un truc compliqué de 6 lettres/chiffres c'est fort pénible.
Hors ligne
#13 Le 24/06/2007, à 18:57
- mrf
Re : Les données personnelles et Linux
on n'a pas la même notion des longueurs
Pour mois 6 c'est strictement en dessous de mon minimum
Doit être sympa ton pc .... je peux le visiter ?
Hors ligne
#14 Le 24/06/2007, à 19:23
- lawl
Re : Les données personnelles et Linux
Je ne pense pas etre le seul a stocker ma vie de manière numérique sur mon disque et donc d'avoir peur de les perdre un jour.
Oui enfin le plus risque de perdre ses donnée est un crach disque il faut ABSOLUMENT faire des sauvegardes !
Pages : 1