Ubuntu-fr

Compte supprimé

Plus de sécurité et moins de mots de passe ? (Résolu)

Bonjour,

Considérez ce sujet comme un échange, une discussion sur le thème "Comment avoir un niveau de sécurité acceptable et moins de mots de passe"; dans le contexte d'une distribution "Linux" comme par exemple Ubuntu.
On place hors sujet la sécurité des données utilisateur pour se centrer sur les mots de passe et codes d'accès aux sites internet et comptes mail, ouverture de session. on considère qu'en cas d'accès physique au PC les données non chiffrées sont compromises. L'utilisation de plusieurs machines est aussi à prendre en compte.

Sur une Ubuntu standard, il faut un mot de passe pour ouvrir la session, par défaut Firefox et Thunderbird n'ont pas de mots de passe, mais on peut en mettre un.
Donc, si on veut protéger les mots de passe et codes d'accès aux sites internet et comptes mail, il faut deux mots de passe en plus de celui de la session.

Sur un PC fixe, on peut considérer que la session peut être ouverte en connexion automatique pour éliminer un mot de passe.
Pour favoriser l'usage avec différents terminaux, on peut utiliser un gestionnaire de mots de passe à la place du mot de passe du navigateur; ou alors ouvrir un compte chez l'éditeur du logiciel pour synchroniser.

Pour économiser le mot de passe principal de Thunderbird, on peut avoir recours à un client mail intégré à la distribution, comme évolution. Mais dans ce cas il faudra déverrouiller avec le mot de passe de la session et cela pousse donc à une ouverture de session avec mot de passe.

Identifions les différentes solutions possibles avec avantages et inconvénients selon le compromis sécurité/nombre de mots de passe/ergonomie.

Dernière modification par Compte supprimé (Le 27/11/2022, à 11:01)

lool_lauris

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Salut,

... par défaut Firefox et Thunderbird n'ont pas de mots de passe, mais on peut en mettre un.

À noter que ce mot de passe pour Firefox ou TBird qui est demandé à l'ouverture et qui se nomme "mot de passe principal", ne sert qu'à protéger l'accès aux mots de passe enregistrés dans chacunes des applis. il ne protège en rien l'accès à Firefox où TBird qui s'ouvriront même si le mot de passe principal n'est pas renseigné. Dans Tbird, les nouveaux messages ne seront pas téléchargés, ceux des comptes imap ne seront pas visibles mais tous les messages stockés dans les dossiers locaux le seront. Dans Firefox, on pourra accéder à tous les sites que l'on souhaite sauf ceux pour lequel un identifiant et un mot de passe est déjà enregistré dans le gestionnaire de mdp de Firefox.

---

Soutenez le Libre => http://www.april.org/

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Merci lool_lauris pour ces précisions.

A/ Le moins performant pour tous les aspects de la question.
Session avec mot de passe
Mot de passe principal dans le navigateur
Mot de passe principal dans le client mail.

B/ Solution avec un seul mot de passe et webmail
Session sans mot de passe
Consultation des mails sur webmail, mais ergonomie très moyenne à mauvaise si pas d'agenda et contacts en caldav carddav.
Gestionnaire de mots de passe pour tous les sites internet dont le webmail. Sa base de mots de passe est réutilisée sur d'autres machines.

Ajoutez vos remarques

Dernière modification par Compte supprimé (Le 26/11/2022, à 10:48)

erresse

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Bonjour,
Tu n'as pas étudié le fonctionnement de MasterPassword qui n'enregistre pas les mots de passe mais les recalcule à la volée lors de la connexion à un site donné ?
Le risque de piratage de la base de mots de passe est donc évité dans ce cas puisqu'elle n'existe pas...

---

Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Une truc bien, se serait un client mail dont les mots de passe seraient gérés par le même gestionnaire de mots de passe utilisé pour le web.
Je vais voir ce MasterPassword, merci.

bruno

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Les gestionnaires de mots de passe ce n'est pas ça qui manque
keepassxc (ne pas installer en snap) a  des extensions pour Firefox et Thunderbird.

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Oui, j'utilise Keepassxc et keepassxc-browser pour Firefox.
Mais là, très gros merci, tu m'apprends qu'il existe aussi une extension pour Thunderbird. Je vais vite la tester, ce serait le top

Edit:
L'extension ne se connecte pas à Keepassxc et je ne vois pas comment le faire.
Dans les paramètres de Keepassxc il n'y a que l'intégration aux navigateurs, rien pour Thunderbird.

Installation for KeePassXC

Hopefully we can get this as simple as for KeePassXC-Browser in the future.

    Configure KeePassXC-Browser as described in this document. Make sure to enable the integration for Firefox.
    Create the configuration file for Native Messaging as described below in Native Messaging configuration.
    Install the add-on in Thunderbird. Either install it from addons.thunderbird.net or download the latest prebuilt xpi or build it yourself (npm install, npm run build, the xpi will be in the mail-ext-artifacts directory).

Il ne reste plus qu'à le faire ...

Dernière modification par Compte supprimé (Le 25/11/2022, à 20:34)

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Il y a donc maintenant une variante à la solution avec un seul mot de passe en utilisant un client mail qui a une extension avec Keepassxc.

C/ Solution avec un seul mot de passe et client mail
Session sans mot de passe
Keepassxc comme gestionnaire de mots de passe
Consultation des mails par Thunderbird avec les extensions pour l'agenda et les contacts, mais aussi pour garder les mots de passe dans Keepassxc.
Consultation des sites internet par Firefox avec son extension Keepassxc-browser  pour garder les mots de passe dans Keepassxc.

Sauf que l'extension Keepassxc-mail que j'ai installée dans Thunderbird fonctionne pour l'agenda mais pas pour les comptes mail.

Dernière modification par Compte supprimé (Le 26/11/2022, à 11:59)

Nuliel

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

+1 pour keepassxc: ça permet de garder tous les mots de passe avec uniquement un seul mot de passe
Qu'il y ait une base de données de mot de passe ou pas, dans tous les cas la sécurité repose sur le mot de passe de la base de données ou qui permet de regénérer les mdp. Il est donc important qu'il soit bien choisi (phrase de passe typiquement), et l'algo de vérification du mot de passe principal qui doit être assez long à exécuter (pour rendre le bruteforce du mdp difficile), et si possible coûteux en mémoire (pour limiter l'utilisation de gpu pour cracker le mdp)
Il existe aussi des solutions matérielles qui sont complémentaires du keepass: yubikey et autres, qui permettent de faire du mfa

Dernière modification par Nuliel (Le 26/11/2022, à 11:06)

---

[ poster un retour de commande ] [ poster une photo ]

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Keepassxc-mail ne fonctionne pas bien.
Je vais tester avec Keepass 2 et son addon.

Dernière modification par Compte supprimé (Le 27/11/2022, à 11:05)

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Après quelques tâtonnements, Thunderbird 102.5.0 et Keepassxc 2.7.4 fonctionnent bien ensemble avec Keepassxc-mail.
Il faut bien appliquer la procédure décrite sur Github :
https://github.com/kkapsner/keepassxc-mail

Il reste une anomalie car à l'ouverture de Thunderbird il s'affiche une fenêtre popup pour demander le mot de passe de l'un des comptes mail. Il suffit d'ignorer la demande.
La solution avec un seul mot de passe et un client mail est donc possible.
Sujet résolu, merci aux intervenants.

Dernière modification par Compte supprimé (Le 27/11/2022, à 11:12)

Coeur Noir

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

En quoi le chiffrement de données protège-t-il de quoi que ce soit, sur un pc allumé, avec une session ouverte, sans mot de passe parce qu'en connexion automatique et éventuellement avec un trousseau de clés qui n'a pas non plus de mot de passe ? ? ?

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

Nuliel

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Une personne qui a sa session qui s'ouvre automatiquement, avec un trousseau de clés sans mot de passe (ce qui n'est pas possible avec keepassxc à ma connaissance) ne se préoccupe pas de sa sécurité (et n'a probablement pas de trousseau de clé).
Le chiffrement de données, ça protège tant que le trousseau n'est pas déverrouillé (et plus le mot de passe est bien, plus il est résistant, après il y a des alternatives très intéressantes aux mdp), et lorsqu'il est déverrouillé, la sécurité dépend notamment du processus qui manipule le trousseau de clé (pas que, mais c'est le principal intéressé, puisque lui seul a en RAM la clé pour déverrouiller le trousseau).

C'est comme LUKS: c'est utile quand le pc est éteint (sans le mdp, tu ne peux pas démarrer ni accéder aux données). Et c'est donc utile contre le vol lorsque le pc est éteint.

Dernière modification par Nuliel (Le 10/05/2023, à 08:07)

---

[ poster un retour de commande ] [ poster une photo ]

Coeur Noir

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Voilà. C'est exactement ça qu'il faut rappeler à propos du chiffrement :
c'est utile quand le pc est éteint (…) Et c'est donc utile contre le vol lorsque le pc est éteint.
Il y a bien sûr des nuances et stratégies diverses à ce sujet, mais restons simples.

et n'a probablement pas de trousseau de clé
Un trousseau de clés n'est-il pas installé dans chaque variante Ubuntu - SeaHorse, Kwallet, etc ? ? ?

Ce qui me tracasse dans la démarche de Tamarou, c'est le fait d'enlever un verrou élémentaire de sécurité :
l'accès à la session d'un utilisateur.

Si
n'importe qui peut se retrouver devant la session ( automatiquement ) ouverte / déverrouillée / déchiffrée d'un utilisateur
alors
tôt ou tard c'est laisser à n'importe qui ( potentiellement illégitime ) l'opportunité d'en savoir trop sur le titulaire ( légitime ) d'une session,
qu'importe les « protections » ultérieures mises en place.

Quelqu'un qui ne veut pas se soucier outre-mesure de sécurité informatique devrait toujours à minima :
⋅ se connecter à sa session avec son mot de passe et jamais en automatique ;
⋅ activer le verrouillage d'écran et son déverrouillage par mot de passe.
→ C'est loin d'empêcher toute sorte « d'attaque » mais c'est déjà le plus simple moyen de « filtrer » les risques.

Si on enlève ce premier « filtre » alors forcément il faut mettre en place d'autres « filtres », après, au delà, qui finalement ajoutent de la complexité dans l'usage quotidien de l'utilisateur légitime d'une session.

Dans le même ordre d'idées, il ne devrait jamais y avoir qu'une seule session dans un OS Ubuntu :
⋅ une « administrative » avec accès sudo qui ne sert qu'à ça, paramétrer l'OS, installer des logiciels, etc ;
⋅ et ( au moins ) une autre non administrative ( utilisateur de type normal ) qui, elle, sert au quotidien à son humain titulaire.

Dernière modification par Coeur Noir (Le 10/05/2023, à 12:13)

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

@Coeur Noir
Ce matin, j'avais lu ton message sans bien comprendre son sens.

On place hors sujet la sécurité des données utilisateur pour se centrer sur les mots de passe et codes d'accès aux sites internet et comptes mail, ouverture de session. on considère qu'en cas d'accès physique au PC les données non chiffrées sont compromises. L'utilisation de plusieurs machines est aussi à prendre en compte.

Dans cette discussion, j'excluais le cas de la partition chiffrée. Dans ce cas, un seul mot de passe (ou phrase) est bien suffisant pour protéger, en plus de données, les mots de passe courriels  et sites internet, mais il reste la question de leur partage partage avec les autres appareils. Cela implique l'usage d'un gestionnaire de mots de passe  et donc d'un mot de passe en plus. 

Donc je retenais la solution d'un poste fixe non chiffré et un gestionnaire de mots de passe pour les accès aux sites internet et serveurs mail par client mail. Les postes mobiles n'ont pas de données personnelles et utilisent la même base de donnée pour le gestionnaire de mots de passe.

Dernière modification par Compte supprimé (Le 10/05/2023, à 19:10)

Coeur Noir

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

On place hors sujet la sécurité des données utilisateur

Bah non, puisque :

les mots de passe et codes d'accès aux sites internet et comptes mail, ouverture de session

sont foncièrement des données utilisateur - et des plutôt sensibles.

on considère qu'en cas d'accès physique

ou distant

les données non chiffrées

comme les données (dé)chiffrées

sont compromises

dès lors qu'une session s'ouvre automatiquement sans mot de passe.

Disons que j'ai l'impression que tu risques de prendre des risques à vouloir éviter les « verrous » les plus simples.

Dernière modification par Coeur Noir (Le 10/05/2023, à 13:38)

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Chacun son point de vue en fonction de son contexte.
Je vois que nous sommes d'accord sur les conséquences de chaque choix possible.

Nuliel

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Par trousseau de clé, je parlais de keepassxc. Je ne sais pas comment fonctionnent les autres.

Voilà. C'est exactement ça qu'il faut rappeler à propos du chiffrement :
c'est utile quand le pc est éteint (…) Et c'est donc utile contre le vol lorsque le pc est éteint.

Non, là tu parles du trousseau de clé avec mes propos sur LUKS, C'est tant que le trousseau est verrouillé qu'il n'y a pas de risque. En gros que la clé soit pas en mémoire (comme pour LUKS en fait, d'où le parallèle)

---

[ poster un retour de commande ] [ poster une photo ]

Coeur Noir

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

Je crois qu'on ne parle pas de la même chose à propos du « trousseau de clés » effectivement.

Sous Gnome~Ubuntu, il y a d'office un trousseau de clés, qui stocke ( entre autres ) les mots de passe réseau ( ftp, etc ), ssh, ceux de certains navigateurs web ( chromium & cie ), on le trouve en tapant « trousseau » ou « clés » dans la vue des applications et son p'ti nom c'est seahorse ( utilisé dans d'autres env. de bureau gtk ). Sous KDE-plasma, c'est kwallet ( peut-être aussi utilisé par Lubuntu/LxQt ). Et c'est là par défaut.

Y'a pas besoin d'autre chose. Sauf à vouloir synchroniser entre des machines distantes ( et encore, même ça on peut le faire sans donner ses mots de passe à une appli' tierce qui - vu la sensibilité des données concernées - sera forcément visée par de vilains attaquants… )

Tant que seul un utilisateur légitime se trouve devant sa session à lui - il y a peu de risques.

Dernière modification par Coeur Noir (Le 10/05/2023, à 21:04)

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

L'utilisation de plusieurs machines est aussi à prendre en compte.

Compte supprimé

Re : Plus de sécurité et moins de mots de passe ? (Résolu)

je reviens sur ce sujet parce que j'ai changé de solution pour atteindre le même objectif : un seul mot de passe pour la connexion à la session et toutes les autres fonctions, plus portabilité sur d'autres machines.

Après avoir lu cette remarque de krodelabestiole j'ai cherché à faire la même chose pour KDE Plasma.
En fait, c'est l'inverse que je pratique : tous mes mots de passe des sites internet et des comptes IMAP de Thunderbird sont bien gérés par keepassxc, mais c'est le mot de passe d'ouverture de la session qui déverrouille keepassxc grâce à un script lancé à l'ouverture.

kwallet-query -r keepassxc kdewallet | keepassxc --pw-stdin  ma_base.kdbx

Vu ici.

De plus, cela fera plaisir à ceux qui préfèrent une session avec mot de passe

Dernière modification par Compte supprimé (Le 05/09/2023, à 08:14)