[RESOLU] Archive protégée par un mot de passe.

lynn · Le 15/08/2014, à 07:26

Bonjour,

Je viens de me rendre contre d'une chose et je ne sais pas si c'est une faille de sécurité ou autre chose.

Je m'explique:

Pour cet exemple, je crée un fichier nommé "test" que je compresse en utilisant 7z et en incluant un mot de passe pour protéger l'archive des regards indiscrets. Je me retrouve avec un fichier "test.7z".

Pour reproduire ce qu'il me semble être une faille, je clique sur mon archive .7z fraîchement créée. Le gestionnaire d'archive se lance et une petite fenêtre m'invite à entrer mon mot de passe pour ouvrir l'archive, ce que je fais. Je décide de ne pas extraire le fichier nommé "test" mais simplement de l'ouvrir en cliquant dessus ( ou clic droit sur le fichier puis "ouvrir" ). Gedit m'ouvre le fichier et peux voir son contenu. Je ferme la fenêtre de gedit et le gestionnaire d'archives. Jusqu'ici, tout va bien.

Maintenant, si je regarde dans le cache de mon dossier personnel ( ~/.cache ), un dossier nommé .fr-zztNT1 s'est crée avec dans celui ci le fichier "test" que je viens juste de consulter et où tout apparaît en clair...

Quelqu'un à déjà remarqué ça ? Et si oui, quel est l'intérêt de mettre un mot de passe sur une archive si le contenu de celle ci est conservé en clair dans le cache de l'utilisateur et à la vue de tout le monde ?

N.B: Dans le cas où on choisit d'extraire le fichier de l'archive plutôt que de le lire directement dans l'archive, il n'y a pas ce comportement... Aucune trace dans ~/.cache.

Dernière modification par lynn (Le 03/12/2014, à 16:59)

PPdM · Le 15/08/2014, à 07:38

lynn a écrit :

Bonjour,
Je viens de me rendre contre d'une chose et je ne sais pas si c'est une faille de sécurité ou autre chose.
Je m'explique:
Pour cet exemple, je crée un fichier nommé "test" que je compresse en utilisant 7z et en incluant un mot de passe pour protéger l'archive des regards indiscrets. Je me retrouve avec un fichier "test.7z".
Pour reproduire ce qu'il me semble être une faille, je clique sur mon archive .7z fraîchement créée. Le gestionnaire d'archive se lance et une petite fenêtre m'invite à entrer mon mot de passe pour ouvrir l'archive, ce que je fais. Je décide de ne pas extraire le fichier nommé "test" mais simplement de l'ouvrir en cliquant dessus ( ou clic droit sur le fichier puis "ouvrir" ). Gedit m'ouvre le fichier et peux voir son contenu. Je ferme la fenêtre de gedit et le gestionnaire d'archives. Jusqu'ici, tout va bien.
Maintenant, si je regarde dans le cache de mon dossier personnel ( ~/.cache ), un dossier nommé .fr-zztNT1 s'est crée avec dans celui ci le fichier "test" que je viens juste de consulter et où tout apparaît en clair...
Quelqu'un à déjà remarqué ça ? Et si oui, quel est l'intérêt de mettre un mot de passe sur une archive si le contenu de celle ci est conservé en clair dans le cache de l'utilisateur et à la vue de tout le monde ?
N.B: Dans le cas où on choisit d'extraire le fichier de l'archive plutôt que de le lire directement dans l'archive, il n'y a pas ce comportement... Aucune trace dans ~/.cache.

Sauf erreur de ma part ce cache doit disparaître a la fermeture de la session, et de plus il n'est pas visible de tout le monde mais seulement de toi et comme c'est toi qui l'a ouvert je ne vois pas trop le souci.

bruno · Le 16/08/2014, à 10:22

Il n'y a aucune faille là dedans. Comme le dit PPdM le dossier ~/.cache n'est accessible et lisible que par l'utilisateur (aucun droit pour le groupe ni pour le reste du monde).

Quand tu veux « simplement ouvrir » un fichier de ton archive compressée il faut bien que le logiciel il faut bien que ce fichier soit extrait quelque part, en l’occurrence dans ~/.cache, pour que tu puisse le lire…

C'est le choix des développeurs de ton application de gestion d'archives et je pense qu'ils ont réfléchi un minimum à ce qu'ils faisaient D'autres applications utilisent /tmp et effacent immédiatement le dossier à la fermeture.

Dernière modification par bruno (Le 16/08/2014, à 10:23)

agensbur · Le 16/08/2014, à 10:40

Je n'ai rien d'un spécialiste, mais je me suis posé le même type de question.

Une archive crypté 7zip, c'est bien, mais se pose toujours peu ou prou le type de problème que tu rencontres si on ne gère pas rigoureusement les "traces" (et si toute trace du dossier original n'est pas complètement "effacé").
L'archive crypté, vu de ma petite lucarne, c'est bien pour de l'échange, éventuellement pour archiver en "longue durée" moyennant des précautions de "nettoyage".
Par contre une archive crypté à laquelle tu accèdes sans arrêt sur disque, cela risque bien d'être une passoire face à quelqu'un ayant un minimum de niveau technique et de connaissance d'un os (recherche dans les caches, dans les fichiers temporaires).
Tout cela dépend aussi grandement du contexte, pourra-t-on vraiment accéder à ces fichiers, est-on vraiment entouré de personnes susceptibles d'y accéder et sachant quoi faire ?
- Si non, l'archive crypté doit pouvoir suffire
- Si oui il faut peut-être passer par un dossier crypté.

Dernière modification par agensbur (Le 16/08/2014, à 11:01)

lynn · Le 16/08/2014, à 10:44

Merci pour vos éclaircissements.

bruno a écrit :

D'autres applications utilisent /tmp et effacent immédiatement le dossier à la fermeture.

Effectivement, je pense que cette solution aurait été plus judicieuse pour le cas ou l'archive en question est protégé par un mot de passe...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 15/08/2014, à 07:26

[RESOLU] Archive protégée par un mot de passe.

#2 Le 15/08/2014, à 07:38

Re : [RESOLU] Archive protégée par un mot de passe.

#3 Le 16/08/2014, à 10:22

Re : [RESOLU] Archive protégée par un mot de passe.

#4 Le 16/08/2014, à 10:40

Re : [RESOLU] Archive protégée par un mot de passe.

#5 Le 16/08/2014, à 10:44

Re : [RESOLU] Archive protégée par un mot de passe.

Pied de page des forums