Sécurité et enregistrement des mots de passe

beuguissime · Le 02/02/2024, à 13:49

lool_lauris a écrit :

les mdp de la base Firefox reste non visibles en clair

Une fois que le mdp maître est rentré, c'est mort : ta base de donnée de mot de passe est accessible sans beaucoup d'effort. Alors peut-être que les mots de passe ne sont pas accessibles dans la page de gestion de Firefox mais il suffit d'aller sur un site enregistré, remplir les champs et ensuite soit se connecter et faire ce que l'on veut avec ton compte, soit utiliser les outils de débeugage pour réussir en deux clics à lire le mot de passe.

Donc à nouveau, on ne rentre son mot de passe maître que sur une machin en laquelle on a confiance et ensuite, on ne la laisse pas sans surveillance. Ce n'est pas plus compliqué et c'est vrai pour KeepassXC et Firefox.

beuguissime · Le 02/02/2024, à 13:51

Pour compléter krodelabestiole sur les raccourcis KeepassXC :

Et Ctrl-U pour copier l'URL associée, qui est censée être l'URL de connexion.

lool_lauris · Le 02/02/2024, à 14:42

Mais je suis d'accord sur le fait qu'il est relativement aisé pour quelqu'un qui possède quelques connaissances, de récupérer les mdp sous Firefox une fois le mdp principal renseigné, je n'ai jamais contesté cela.
Je dis juste qu'il y a une différence entre :

- aller sur https://forum.ubuntu-fr.org/login.php, firefox remplit les champs automatiquement
- faire un clic droit sur le champs mot de passe -> Inspecter. remplacer type="password" par type="text"
- lire le mdp en clair
(manip qui nécessite quelques savoir faire basique)

et

cliquer sur la fenêtre de la base keepass (ou autre) non verrouillée et lire le mdp en clair
(manip qui nécessite juste d'avoir 2 yeux... ça marche même avec un seul oeil)

krodelabestiole · Le 02/02/2024, à 14:45

krodelabestiole a écrit :

sur un keepass déverrouillé il faut trouver l'entrée qui nous intéresse et cliquer sur le petit œil pour afficher le mot de passe (pas sûr que ce soit tellement plus rapide, mais au moins personne ne pense que ce petit bouton œil assure sa sécurité). il n'est en principe jamais visible pour quelqu'un derrière notre épaule.

lool_lauris · Le 02/02/2024, à 14:53

Bon bah t'as raison ! c'est ça qui importe...

Christophe C · Le 02/02/2024, à 15:41

Bon, nous sommes tous d'accord pour dire qu'une fois déverrouillée, la base de MDP est récupérable de façon plus ou moins simple SI on accède à la session.

Je reformule ce que je comprends dans mon utilisation personnelle :
1. Fx est ouvert 99% du temps. Dès lors, que je mette un MDP ou pas (via keepassx ou firefox) la base MDP sera déverrouillée quand la session est ouverte.
2. J'oublie la protection par le code de session : si quelqu'un accède à la machine physique, il peut voler le DD.
3. La seule différence c'est si on me vole le DD et qu'il n'y a pas de mot de passe maitre, le voleur verra les mots de passe en clair. Avec un mot de passe maitre robuste, il ne verra rien.

Le vol de PC n'étant pas un leurre (surtout les PC portables), c'est un argument très fort pour le cryptage des MDP.

Mais si le PC n'est pas accessible, un mot de passe maitre était est-ce si important ? J'en ai un et je le garderais (déjà parce que mon PC n'est pas inaccessible), mais j'essaie de bien comprendre toutes les configurations et leurs implications.

Dernière modification par Christophe C (Le 02/02/2024, à 15:42)

lool_lauris · Le 02/02/2024, à 17:21

Christophe C a écrit :

1. Fx est ouvert 99% du temps. Dès lors, que je mette un MDP ou pas (via keepassx ou firefox) la base MDP sera déverrouillée quand la session est ouverte.

Eh bien en fait, ça dépend. Notamment avec KeepassXC, tu peux paramétrer le temps d'ouverture de la base. Ça se fait via "Paramètres" > "Sécurité". C'est une bonne sécurité, je pense, mais cela nécessitera de saisir à nouveau le mdp maître lors de la prochaine demande login-mdp sur un quelconque site...
Pour Firefox, je ne reviens pas sur le sujet, tu as clairement exprimé ta compréhension.

Christophe C a écrit :

2. J'oublie la protection par le code de session : si quelqu'un accède à la machine physique, il peut voler le DD.
3. La seule différence c'est si on me vole le DD et qu'il n'y a pas de mot de passe maitre, le voleur verra les mots de passe en clair. Avec un mot de passe maitre robuste, il ne verra rien.
Le vol de PC n'étant pas un leurre (surtout les PC portables), c'est un argument très fort pour le cryptage des MDP.
Mais si le PC n'est pas accessible, un mot de passe maitre était est-ce si important ? J'en ai un et je le garderais (déjà parce que mon PC n'est pas inaccessible), mais j'essaie de bien comprendre toutes les configurations et leurs implications.

AMHA, il est plus prudent de protéger son coffre fort à mdp par un mot de passe maître suffisamment fort (d'ailleurs, avec keepass, je ne pense pas que l'on puisse faire autrement).

Dernière modification par lool_lauris (Le 02/02/2024, à 17:22)

krodelabestiole · Le 02/02/2024, à 18:52

Christophe C a écrit :

2. J'oublie la protection par le code de session : si quelqu'un accède à la machine physique, il peut voler le DD.

je ne vois pas le rapport ?
que quelqu'un te vole ton DD ou pas il n'aura pas le mot de passe de ta session.
si tes mots de passe sont déverrouillés avec ta session ou séparément, ça ne change donc rien.
j'ai l'impression qu'il y a une incompréhension ici...
relis peut-être le #6 :

d'une part on peut déverrouiller keepass avec la session en enregistrant le mot de passe de sa base kdbx dans l'utilitaire secret service - gnome keyring ou KDE wallet (c'est une méthode)
mais on peut aussi l'utiliser avec secret service pour remplacer gnome keyring ou kde wallet

pour le dire autrement :
pour déverrouiller les mot de passe avec la session on peut soit enregistrer le mot de passe principal de keepass chiffré dans gnome keyring (seahorse) ou kde wallet (ça fait un peu doublon mais c'est facile à mettre en place),
soit on utilise directement keepass pour gérer les secrets de sa session.

dans les 2 cas on se facilite la vie et un voleur de DD n'a pas accès aux mots de passe.

lool_lauris a écrit :

c'est ça qui importe...

ce que je trouve plutôt important dans un sujet sur la sécurité c'est de trouver un moyen sûr et le moins contraignant possible pour l'utilisateur.
le concept de session est très bien adapté à ça, et je pense que c'est un bon pilier central pour assurer un niveau de sécurité ordinaire.
ce sera toujours beaucoup plus efficace que des bricolages à droite et à gauche : c'est un système implémenté dans tous les linux qui existe entre autre dans ce but.
je suis d'ailleurs pas du tout convaincu par cette page : https://doc.ubuntu-fr.org/sessions

concernant keepassXC j'aimerais juste bien qu'il puisse gérer mes sudo, c'est le seul truc qu'il ne gère pas sur mon installation.
à ma connaissance ce n'est pas faisable techniquement, et je suppose que ça pourrait être dangereux : avoir à entrer un mot de passe reste un bon garde-fou pour alerter sur les opérations de certains scripts.

Christophe C · Le 02/02/2024, à 19:42

je vais essayer de mieux expliquer mon point :
- si on me vole mon DD et qu'il est remonté sur une autre machine (en DD secondaire), pas besoin de code de session, le disque est en accès libre. D'où l’intérêt de chiffrer un DD, mais c'est une autre histoire.

Ma question : si on oublie le risque de vol de DD (un gros si !) et que la session est bien verrouillée quand on va faire pipi , quel estle risque à ne pas mettre de mot de passe maitre sur son gestionnaire de MDP ? Je ne parle pas de "c'est quand même mieux", je voudrais savoir quelle est la faille concrète : comment un tiers peut-il récupérer les MDP ?

Je pose cette question non pas pour jouer les grands cascadeurs, mais pour bien comprendre le type de pénétration qu'on peut (ou pas) avoir dans ce cas.

Dernière modification par Christophe C (Le 02/02/2024, à 19:44)

krodelabestiole · Le 02/02/2024, à 19:48

Christophe C a écrit :

Ma question : si on oublie le risque de vol de DD (un gros si !) et que la session est bien verrouillée quand on va faire pipi , quel estle risque à ne pas mettre de mot de passe maitre sur son gestionnaire de MDP ? Je ne parle pas de "c'est quand même mieux", je voudrais savoir quelle est la faille concrète : comment un tiers peut-il récupérer les MDP ?

ça dépend ce qui tourne sur l'ordi et qui peut permettre un accès à distance ou présenter des failles (SSH, VNC, serveur web, client P2P ?).
quelqu'un peut aussi démarrer l'ordi sur un support externe (live USB) et accéder à tes fichiers...

si tu as ajouté un PPA exotique qui s'est fait hacker, quelqu'un peut te faire télécharger automatiquement ce qu'il veut, et donc exécuter du code malveillant sur ton ordi.
même si ta base est déverrouillée, ça ne veut pas dire que ce logiciel y aura accès, alors que si c'est en clair sur le disque ça ne pose aucun problème.

bref à aucun moment sa liste de mots de passe ne devrait apparaître en clair dans un fichier.

il y a quelque temps le client FileZilla stockait les mots de passe en clair (ça ne s'est d'ailleurs pas beaucoup amélioré), j'étais tombé sur ceux d'un pote qui partageait trop de choses sur Soulseek !

Dernière modification par krodelabestiole (Le 02/02/2024, à 19:54)

krodelabestiole · Le 02/02/2024, à 19:57

Christophe C a écrit :

pas besoin de code de session, le disque est en accès libre

le disque, mais pas tes mots de passe. même si tu les déverrouilles avec la session.

Christophe C · Le 02/02/2024, à 20:08

oui oui, en cas de vol, tout doit être verrouillé, sinon c'est open bar.

On en revient donc bien à un pb si accès à la session, soit en local soit à distance (programme espion). Là mieux vaut un MDP. Sauf que quand ma machine est allumée, mes MDP sont déverrouillés. Donc si quelqu'un a un accès à ma session (à distance), je suis baisé.

Ce qui me ramène à ce que je disais :
- en cas d'accès physique au DD, un MDP maitre est indispensable, sinon c'est lu sans pb en branchant le DD sur un autre PC.
- en cas d'accès à distance à la session via un logiciel espion, j'ai le sentiment que le MDP maître est un petit plus pas si intéressant, car je déverrouille de toute façon keepassX (ou le gestionnaire de MDP de Fx) pendant toute la session. Donc mot de passe maitre ou pas, tant que ma machine est allumée, je suis baisé si quelqu'un a un accès distant.

Donc en gros, le MDP maître est surtout utile (vue mon utilisation de KeepassX) en cas d'accès physique à ma machine / vol de mon DD. En cas d'accès distant, cela ne fera pas une grosse différence (puisque je le déverrouille quasi tout le temps).

Dernière modification par Christophe C (Le 02/02/2024, à 20:11)

krodelabestiole · Le 02/02/2024, à 20:13

Christophe C a écrit :

mes MDP sont déverrouillés. Donc si quelqu'un a un accès à ma session (à distance), je suis baisé.

pourquoi ? de quel type d'accès à distance tu parles ?

que la base soit déverrouillée ou pas ça ne change rien au niveau fichier : elle n'est déverrouillée que pour keepassXC (et keepass browser peut y avoir des accès très spécifiques et limités)

lynn · Le 02/02/2024, à 20:47

Christophe C a écrit :

Ma question : si on oublie le risque de vol de DD (un gros si !) et que la session est bien verrouillée quand on va faire pipi smile, quel estle risque à ne pas mettre de mot de passe maitre sur son gestionnaire de MDP ?

Il faudrait qu'on m'explique l'intérêt de posséder un coffre fort (physique ou virtuel d'ailleurs) dont la porte resterai ouverte sous prétexte que la porte d'entrée est fermée à clé quand tu vas faire un tour...

krodelabestiole · Le 03/02/2024, à 05:22

en matière de sécurité les logiciels ne sont pas sensés avoir accès à n'importe quelles informations, "déverrouillées" ou pas (ce déverrouillage ne concerne que le gestionnaire de mots de passe lui-même).
c'est un peu aussi la raison d'être de wayland par rapport à Xorg : empêcher n'importe quel logiciel de faire une capture d'écran "discrètement", ce genre de chose.
X n'avait quasi rien prévu côté sécurité et il était temps d'en changer.

linux prévoit aussi des protections contre les failles type buffer overflow qui permettent à n'importe quel logiciel d'accéder à des informations qui ne les concernent pas du tout dans la mémoire vive.

bref il existe des protections contre toutes ces attaques mais la meilleure protection est de faire attention à ce qu'on installe et ce qui tourne sur son ordi. heureusement sur linux à ce niveau on est plutôt bien loti avec une grosse majorité de logiciels libres.

mais je pense qu'il y a ici peut-être une confusion entre une partition chiffrée qui sera accessible pour tous les logiciels quand la session est ouverte, et une base keepass qu'on peut déverrouiller en même temps et par la même action que l'ouverture de la session, mais qui n'en sera pas pour autant accessible aux autres logiciels.

Christophe C · Le 03/02/2024, à 10:41

Si quelqu'un a un accès distant sur ma session, c'est à dire qu'il a le mot de passe de la session, il voit la même chose que moi.

Donc si le gestionnaire de mot de passe est déverrouillé par mon utilisation du navigateur pendant la session, il verra les MDP qui sont dedans.

C'est ce que je veux dire en disant que le MDP maître est surtout intéressant en cas de vol de la machine / du DD.
Par contre, en cas de récupération du mot de passe session pour un accès à distance hostile sur la machine, le MDP maître ne sert pas à grand chose, puisqu'il est déverrouillé pendant l'utilisation de la session (dans mon cas, où ouverture session = ouverture Fx).

Nuliel · Le 03/02/2024, à 11:17

Le principe de mettre des mécanismes de sécurité, c'est pour répondre à des menaces bien définies (généralement choisies selon la difficulté d'exploitation), pas à toutes les menaces possibles et imaginables.
Ex:
- on se protège du vol de pc éteint en chiffrant son disque
- on chiffre la base de données de mdp pour qu'en cas d'accès malicieux à cette base ce soit difficile de retrouver les mots de passe

Si on suppose que l'attaquant est root sur la machine, la menace est différente, et il sera possible de récupérer la clé de chiffrement et donc de déchiffrer directement la base de données (le mdp n'est pas censé resté en mémoire, juste la clé de chiffrement le temps que la base est déverrouillée). Chiffrer sa base de données de mdp est une sécurité qui ne répond donc pas à cette menace spécifique, mais qui répond à d'autres.

NicoApi73 a mentionné un guide de l'ANSSI sur les mdp et le MFA, je conseille d'aller aussi jeter un oeil aux autres guides qui sont très bien. On pourrait mentionner le guide d'hygiène numérique: même si c'est plutôt destinés à des professionnels, on peut y piocher de bonnes idées comme verrouiller sa session systématiquement.

Le problème de ce fil, c'est que les menaces sont mal définies, au final ça part dans tous les sens sans qu'il y ait d'amélioration de sécurité. Pour cette raison je quitte ce fil.

Christophe C · Le 03/02/2024, à 11:56

C'est tout l'inverse. Il ne part pas dans tout les sen : j'essaie de lister tous les cas précis de risques, avec les éventuelles réponses.

Chaque mesure de sécurité n'a de sens que face à un risque donné, pas face un risque général non défini. Au quotidien on ne passe pas son temps à analyser les risques 1 par 1, et on prends donc le meilleur compromis général, c'est légitime. Mais il est quand même intéressant de bien lister les cas.

Et ce que j'ai compris de ces échanges, ce sont plusieurs points pour maximiser sa sécurité :
* risque de vol du DD : idéalement chiffrage du disque, ou au moins du gestionnaire mot de passe avec MDP maitre.
* risque d'accès physique sur le DD quand on a le dos tourné : verrouiller sa session avec un mot de passe robuste et avoir un MDP maitre sur le gestionnaire de mots de passe.
* risque de récupération des MDP via un accès distant par quelqu'un qui aurait le mot de passe de session (via logiciel espion, pour faire simple) : Authentification à 2 facteurs avec une clé USB et un fichier de décryptage. Ou reverrouiller régulièrement son gestionnaire de MDP, mais c'est contraignant. Mais de toute façon, une fois ouvert, le gestionnaire de MDP est ... ouvert, donc pas parfait.

A mon avis, c'est pour le dernier risque que mieux vaut garder les MDP les plus importants dans sa tête, cela règle le pb. C'est ce que je fais avec mes mots de passe bancaires.

Si vous avez d'autres cas d'usage, je suis intéressés.

Je ne sais toujours pas avec certitude quelle est la clé de cryptage du MDP maître sur Fx, et j'aimerais bien le savoir:)

Dernière modification par Christophe C (Le 03/02/2024, à 12:04)

krodelabestiole · Le 03/02/2024, à 14:39

Christophe C a écrit :

Si quelqu'un a un accès distant sur ma session, c'est à dire qu'il a le mot de passe de la session, il voit la même chose que moi.

non

Christophe C a écrit :

* risque de récupération des MDP via un accès distant par quelqu'un qui aurait le mot de passe de session (via logiciel espion, pour faire simple)

mais ça n'empêche que là tu es déjà bien mal barré !

Christophe C · Le 03/02/2024, à 15:58

Christophe c a écrit :

Si quelqu'un a un accès distant sur ma session, c'est à dire qu'il a le mot de passe de la session, il voit la même chose que moi.

krodelabestiole a écrit :

non

Justifie-le ?

krodelabestiole · Le 03/02/2024, à 16:25

le mot de passe de ta session ne permet pas un accès à distance.
à moins d'avoir activé ssh et x à distance et d'avoir autorisé cette méthode de connexion.

et même dans ce cas une connexion ouvre une nouvelle session à ton nom, mais ne permet pas de visualiser la session que tu as sous les yeux.

pour visualiser ton écran on utilise un logiciel de bureau à distance (rdp, vnc, rustdesk, meshcentral...), qui vient avec son propre système d'authentification, indépendant de celui de ton utilisateur unix.

mais surtout ! je ne vois pas l'intérêt de se demander comment assurer sa sécurité quand quelqu'un a accès à ton bureau contre ta volonté, ou a déjà installé un keylogger sur ton système, par ex. : c'est un peu tard là !

bref je suis bien d'accord avec Nuliel et je ne vois pas l'intérêt de se demander comment assurer la sécurité sur un système apparemment déjà complètement flingué, dans une situation qui m'a l'air complètement abstraite.

LukePerp · Le 03/02/2024, à 20:15

krodelabestiole a écrit :

:|dans une situation qui m'a l'air complètement abstraite.

Je crois que Christophe s'amuse à provoquer des réactions autour de ça, c'est que mon avis et c'est pour ça que j'ai arrêté de commenter le sujet de base

Christophe C · Le 04/02/2024, à 12:16

Non. Je n'y connais rien, c'est pour cela que je pose beaucoup de questions. En particulier sur les cas limites. Et les docs sont au mieux fragmentaires.

Mais puisque je sens que je vous agace, je vais arrêter d'en poser. Merci pour vos réponses.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#76 Le 02/02/2024, à 13:49

Re : Sécurité et enregistrement des mots de passe

#77 Le 02/02/2024, à 13:51

Re : Sécurité et enregistrement des mots de passe

#78 Le 02/02/2024, à 14:42

Re : Sécurité et enregistrement des mots de passe

#79 Le 02/02/2024, à 14:45

Re : Sécurité et enregistrement des mots de passe

#80 Le 02/02/2024, à 14:53

Re : Sécurité et enregistrement des mots de passe

#81 Le 02/02/2024, à 15:41

Re : Sécurité et enregistrement des mots de passe

#82 Le 02/02/2024, à 17:21

Re : Sécurité et enregistrement des mots de passe

#83 Le 02/02/2024, à 18:52

Re : Sécurité et enregistrement des mots de passe

#84 Le 02/02/2024, à 19:42

Re : Sécurité et enregistrement des mots de passe

#85 Le 02/02/2024, à 19:48

Re : Sécurité et enregistrement des mots de passe

#86 Le 02/02/2024, à 19:57

Re : Sécurité et enregistrement des mots de passe

#87 Le 02/02/2024, à 20:08

Re : Sécurité et enregistrement des mots de passe

#88 Le 02/02/2024, à 20:13

Re : Sécurité et enregistrement des mots de passe

#89 Le 02/02/2024, à 20:47

Re : Sécurité et enregistrement des mots de passe

#90 Le 03/02/2024, à 05:22

Re : Sécurité et enregistrement des mots de passe

#91 Le 03/02/2024, à 10:41

Re : Sécurité et enregistrement des mots de passe

#92 Le 03/02/2024, à 11:17

Re : Sécurité et enregistrement des mots de passe

#93 Le 03/02/2024, à 11:56

Re : Sécurité et enregistrement des mots de passe

#94 Le 03/02/2024, à 14:39

Re : Sécurité et enregistrement des mots de passe

#95 Le 03/02/2024, à 15:58

Re : Sécurité et enregistrement des mots de passe

#96 Le 03/02/2024, à 16:25

Re : Sécurité et enregistrement des mots de passe

#97 Le 03/02/2024, à 20:15

Re : Sécurité et enregistrement des mots de passe

#98 Le 04/02/2024, à 12:16

Re : Sécurité et enregistrement des mots de passe

Pied de page des forums