Nos Partenaires

Auteur Sujet: La clé USB ultime pour protéger ses données confidentielles ?  (Lu 7100 fois)

18 février 2014 à 17:27:04
Lu 7100 fois

bluerat


Bonjour,

Je suis tombé par hasard (en cherchant bien quand même  :D ) sur cette clé USB permettant de sauvegarder ses données confidentielles de façon sûre. Le chiffrage se fait de façon matériel, et non de façon logiciel.
Elle se nomme : datAshur, édité par iStorage.
http://www.istorage-uk.com/datashur.php



Cette clé USB chiffre donc tout son contenu en temps réel, via un chiffrage AES 256 bits (je vous laisse voir le sites pour plus d'informations techniques), aux normes militaires/gouvernementales, et a été spécifiquement conçu contre les voleurs.

L'accès est protégé par une combinaison de 7 à 15 chiffres, via son clavier numérique situé sur la clé elle-même (ainsi pas besoin de logiciel tiers permettant de saisir son mot de passe => la clé est ainsi parfaitement compatible avec n'importe quelle système : Windows, Mac, Linux, lecteur multimédia, tablette, imprimantes, etc.).
Une fois le mot de passe correctement saisi, on a alors 30 secondes pour brancher la clé USB. Au bout de ces 30 secondes, la clé se verrouille de nouveau. Elle se verrouille également automatiquement dès qu'elle est débranchée du port USB.
Si une personne saisit un mauvais mot de passe 10 fois consécutivement, la clé se formate automatiquement !

Sa protection en aluminium la protège de la poussière, chocs, etc. et apparemment la rendrait waterproof (1-2 mètres).


Qu'en pensez-vous ?
Quelqu'un a déjà eu la chance de la tester ?

Dans le même genre j'ai vu la http://www.corsair.com/fr/usb-drive/flash-padlock-2-usb-drive/flash-padlock-2-16gb-usb-flash-drive.html

18 février 2014 à 17:44:58
Réponse #1

AC


C'est une bonne chose d'avoir le clavier sur la clé, si on est amené à déverrouiller les données sur un PC auquel on ne fait pas confiance. Idéalement toutes les cartes de paiement à puce devraient aussi avoir leur propre clavier.

D'un autre côté le mot de passe a au plus 15 chiffres soit 50 bits, ce qui est très faible, donc il faut faire confiance aux mécanismes de sécurité qui protègent l'accès à la clé AES. L'autre point faible potentiel, c'est la génération automatique des clés AES; difficile de dire si il y a des sources d'entropie sérieuses dans le produit.

La certification FIPS est toujours rassurante, mais bon, on a vu des produits FIPS 140-2 niveau 2 qui utilisaient en fait tous la même clé AES...


18 février 2014 à 18:01:17
Réponse #2

Hurgoz


Yo,

Le cryptage physique, c'est bien, mais le support est fragile.

Et quand on parle de périphérique mobile, la solidité reste un aspect, à mon sens, important. Par ailleurs, je n'ai lu nulle part la durée de vie annoncée du clavier, qui est à mon avis le point faible de la chose...donc avoir des données (même si elles sont aussi en sécurité ailleurs) sur un périphérique qui risque de ne plus marcher le jour où on en a besoin, je dirais, "pas glop".

Certes, c'est un risque avec tout les supports, mais moins il y a de complexité, mieux sa survie.

Mes deux sous....

Hugo
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

18 février 2014 à 18:17:01
Réponse #3

Phil67


C'est une bonne chose d'avoir le clavier sur la clé, si on est amené à déverrouiller les données sur un PC auquel on ne fait pas confiance.
D'un autre côté si on ne fait pas confiance au PC il vaudrait mieux ne pas y connecter du tout sa clé.

Rien ne garantit qu'il ne va pas pomper ou corrompre discrètement toutes les données une fois la clé déverrouillée qui n'y verra que du feu : impossible de distinguer les actions légitimes du propriétaire de la clé de celles d'un outil de hacking sur une machine corrompue.

C'est le serpent qui se mord la queue !

Même en démarrant un système portable embarqué sur la clé (action normalement bloquée sur une machine sécurisée), rien ne garantit que le port USB femelle visible sur le boîtier ne soit pas un dongle interceptant les données en amont de la carte mère.

Si on commence à pousser la parano autant aller jusqu'au bout ! ;)


Le principal intérêt que je vois de mon côté à ce type de clés est plutôt l'indépendance de tout système d'exploitation ou logiciel de cryptage. De nombreuses machines en entreprise ne permettent pas de monter des volumes encryptés avec des logiciels même embarqués sur la clé (nécessité de droits d'administration qui sont verrouillés, interdiction d'exécution de programmes sur supports externes...). On doit donc forcément y stocker ses données en clair pour pouvoir y accéder ce qui peut être critique en cas de perte ou de "contrôle douanier" (espionnage industriel). Ici l'opération est transparente pour la machine hôte.


Il y a tout de même un truc qui manque à mon goût : la protection physique contre l'écriture. Il y a une 10aine d'années quasiment toutes les clés avaient un petit loquet pour les verrouiller en lecture seule. Malheureusement c'est devenu de plus en plus rare alors que c'est très utile en terrain informatique hostile.
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

18 février 2014 à 19:02:15
Réponse #4

guillaume


J'ai une Corsair depuis plusieurs années dans la poche avec un scan de mes documents important. C'est la deuxième en fait, j'ai flingué la première pour je ne sais plus quelle raison, elle a été remplacé sans soucis par Corsair.
La deuxième que j'ai dans la poche depuis 1 an a déjà perdu plusieurs bouchons (seul inconvénient à mon avis) : Corsair m'en a renvoyé sans soucis...

Je l'ai pour cette raison :

Le principal intérêt que je vois de mon côté à ce type de clés est plutôt l'indépendance de tout système d'exploitation ou logiciel de cryptage. De nombreuses machines en entreprise ne permettent pas de monter des volumes encryptés avec des logiciels même embarqués sur la clé (nécessité de droits d'administration qui sont verrouillés, interdiction d'exécution de programmes sur supports externes...). On doit donc forcément y stocker ses données en clair pour pouvoir y accéder ce qui peut être critique en cas de perte ou de "contrôle douanier" (espionnage industriel). Ici l'opération est transparente pour la machine hôte.

a+

18 février 2014 à 19:28:12
Réponse #5

AC


L'avantage du produit Corsair, c'est qu'il existe depuis plusieurs années, donc les failles de sécurité les plus flagrantes ont dû être corrigées  ;)

La version 1 était piratable en ajoutant simplement une résistance à l'intérieur (2008):
http://news.softpedia.com/news/Hacking-Into-Others-039-Data-Made-Simple-the-Corsair-Padlock-Workaround-81706.shtml

Pour la version 2 la dernière faille connue remonte à 2010:
http://www.guru3d.com/news_story/corsair_flash_padlock_2_security_announcement.html
Notez que la procédure recommandée par le fabricant pour corriger le problème revient à changer le mot de passe sans fournir l'ancien et sans perdre les données. Autrement dit, il n'y avait aucune sécurité au départ.

Personnellement j'ai vraiment du mal à croire que c'est seulement de l'incompétence.

18 février 2014 à 19:45:00
Réponse #6

Jibax


Bonsoir,
J'ai eu une clef corsair antichoc similaire quelque mois,j'en étais content la soudure de la prise a lâchée très vite.

Je suis tombé sur ce modèle industriel qui me tente pas mal:
http://radiospares-fr.rs-online.com/web/p/cles-usb/7761945/
résiste aux choc et à l'eau

J'ai une lacie comme ça http://www.lacie.com/fr/products/product.htm?id=10611 avec un zip crypté avec les documents importants dedans

Si je doit me brancher sur un ordi suspect je me suis installé TAILS  sur une deuxième clef https://tails.boum.org/
C'est un linux configuré par défaut pour utiliser TOR, on boot l'ordi dessus sans utiliser son système d'exploitation, on peu même y créer une partition crypté.
++

18 février 2014 à 19:49:29
Réponse #7

Phil67


Le cryptage physique, c'est bien, mais le support est fragile.
...
Certes, c'est un risque avec tout les supports, mais moins il y a de complexité, mieux sa survie.
En effet toutes les clés USB sont fragiles : certaines sont conçues pour résister physiquement à l'eau et au passage sous un camion, mais elles finiront par rendre l'âme au niveau électronique comme les autres.

Je n'achète plus de clés USB : support pas assez fiable au niveau électronique pour un usage régulier sur la durée. Mes vieilles clés antédiluviennes (commençant à 128MO : ça date ;)) fonctionnent toujours (à la vitesse d'un escargot en USB1 ;)), mais la plupart des clés remontant à moins de 6 ans on finit par rendre définitivement l'âme en 2 à 3 ans (y compris des modèles de marques réputées). J'ai l'impression que plus une clé est rapide et de grosse capacité moins elle est durable (et l'échange SAV fait une belle jambe lorsque les données sont perdues ou que les frais d'envois sont supérieurs à la valeur résiduelle vu la croissance des capacités).

Du coup je n'utilise plus que des cartes micro-SD sur adaptateur en les considérant comme du consommable pas cher. De plus leur taille minuscule est gage de solidité en les laissant dans l'adaptateur (lui aussi minuscule) ou les glissant dans l'importe quel petit conteneur.


=> Est-ce que quelqu'un connaîtrait système similaire en version lecteur de cartes micro-SD cryptant et décryptant les cartes à la volée : indépendance du support (et de l'évolution des volumétries), possibilité de crypter toutes ses micro-SD sur un seul adaptateur, possibilité de lire ses micro-SD sur un autre adaptateur en cas de problème de fiabilité, possibilité de les sauvegarder sous forme cryptée...
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

18 février 2014 à 20:13:33
Réponse #8

Phil67


Notez que la procédure recommandée par le fabricant pour corriger le problème revient à changer le mot de passe sans fournir l'ancien et sans perdre les données. Autrement dit, il n'y avait aucune sécurité au départ.

Personnellement j'ai vraiment du mal à croire que c'est seulement de l'incompétence.
C'est du joli cette procédure corrective ! ;#
Ils auraient au moins pu essayer de noyer le poisson en cachant la possibilité de récupération des données sans mot de passe.

Tout ceci démontre une seule chose : on ne peut faire vraiment confiance qu'à du logiciel (ou firmware embarqué) dont les sources (et les composants) peuvent être audités par n'importe qui.

Tout ce qui n'est pas ouvert est potentiellement suspect. Même l'ouverture et la reconnaissance officielle des experts n'est pas une garantie totale : la NSA avait bien réussi à introduire des failles mathématiques dans des algorithmes du NIST.

Pour les clés cryptées en dur et autres puces sécurisées : le NSA a financé les backdoors sur les systèmes de token RSA type SecureID en payant RSA Security plusieurs millions de $$$.

Corsair et iStorage ne sont probablement pas non plus totalement hermétiques à ce genre de "subventions"... ;#


Rien n'est donc totalement sûr mais il suffit généralement d'adapter le niveau de protection en fonction des besoins réels...
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

19 février 2014 à 00:05:05
Réponse #9

musher


Je n'achète plus de clés USB : Du coup je n'utilise plus que des cartes micro-SD

Le souci des supports magnétiques, c'est qu'ils sont pas fiables quelqu'il soit : disque dur HS au bout de 6 mois, carte SD HS au bout d'un mois...
La seule sécurité est la redondance : c'est à dire que l'info est stockée sur plusieurs supports différents pour qu'en cas de casse de l'un d'entre eux, on a la sauvegarde sur les autres.

L'intéret de ce type de clé à sécurité physique, c'est qu'il y a pas de problème de compatibilité avec l'ordi hôte.
Quand elle est déverrouillée, c'est une bête clé USB.

Avec une Verbatin cryptée, un coup l'ordinateur ne laissait pas les programmes auto démarré sur les clés USB, une autre fois, le programme de la clé était pas compatible avec l'OS...

Quand au clé normale cryptée avec un logiciel de cryptage (tel Truecrypt), c'est parfait pour transférer des données entre ses ordis mais quand pour lire le volume sur un autre ordi, il faut déjà commencé à installer le logiciel (ou lancer True Crypt portable) donc pas évident que ça marche.

Ces clés sont bien pour des documents persos ou professionnels (pas des secrets d'état) et en gardant à l'esprit que ce n'est que du matériel et donc susceptible de tomber en panne

19 février 2014 à 09:55:04
Réponse #10

jeanjeanjean


Salut,

Comme beaucoup j'ai eu plusieurs clés usb, Lacie et autres marques plus ou moins chères, plus ou moins grosses et plus ou moins fiables.

Ce que j'en retiens c'est que plus cher ne signifie pas forcément mieux.

Corsair et Lacie sont deux très bonnes marques, pourtant assez récemment j'ai eu une Lacie qui m'a lâché assez vite sans raison particulière. Je l'avais payée assez chère.

Concernant le cryptage, perso je ne m'en soucie pas. Ce serait même plutôt un inconvénient pour mon utilisation :

J'ai pas envie d'intriguer quelqu'un de mal intentionné avec une clé à cryptage physique.
J'ai pas non plus envie que le clavier incorporé me lâche ou bug.
J'ai pas envie d'encore retenir encore un code long ^^

Et puis, le cryptage c'est bien, mais si vous êtes vraiment soucieux de vos informations, j'espère que tout votre chaîne informatique est cohérente ?

Pas de Windows, pas de Mac OS, il est de notoriété publique que ces systèmes d'exploitation contiennent des portes dérobées. De même pas de smartphones aux formats propriétaires (donc à ce moment là, on peut presque dire pas de smartphones ^^).

Une solution est de s'orienter vers du tout libre (et du autohébergé pour les serveurs). Sans oublier les navigateurs web, les clients mail, etc.

Contrôler toute sa chaîne informatique me semble plus important que de crypter un support physique indépendant comme une clé usb. Parce que le fichier que la clé crypte, avant d'être crypté, il n'est pas protégé sur votre ordi ^^

Sinon en clé usb j'utilise maintenant une clé peu chère, non cryptée mais tout de même étanche (ça arrive qu'elle passe à la machine à laver ^^).
« Modifié: 19 février 2014 à 13:27:37 par filisimao »

19 février 2014 à 12:54:55
Réponse #11

Moleson


Rien n'empêche de protéger le contenu par Truecrypt avec le programme sur la clef.

Il n'y a strictement aucune raison pourquoi on ne protégerai pas notre vie privée.

Mint Linux + Clef USB cryptée par Truecrypt = Vie privée protégée.

19 février 2014 à 17:59:30
Réponse #12

musher


Avec la paranoia du à Snowden, on est sur de rien.

Sur certains forums, on voit sortir des articles sur la possibilité que même Linux ait des portes dérobées :'(

Le conseil de barbouzes français est de ne plus rien envoyer par internet mais par courrier postal, de ne pas connecter son ordi à internet...

Après sauf exception, les données qu'on a sur nos ordis n'intéressent pas (à priori) la NSA, la CIA , l'Ex-KGB ou la Piscine.

Donc on doit surtout se prémunir contre le piratage de nos données bancaires (CB, Paypal, banque en ligne...) et contre l'usurpation d'identité.

Avec un minimum de bon sens et les outils qui vont bien (firewall, anti virus, anti malwares), nos ordis fixes sont protégés contre les attaques en masse de la cybercriminalité.
Le cryptage des données perso va nous protéger en cas de cambriolage et qu'ils emmènent le fixe (+ les sauvegardes, NAS...) (mais est ce que nos factures EDF, extraits bancaires... papier sont cryptés ????)

Le problème avec les clés USB, les téléphones portables ou les ordis portables, c'est que si on les perd dans la rue, la personne, qui va les récupérer, peut essayer de regarder ce qu'il y a dedans. Le cryptage des données (physique ou soft) va lui compliquer la tache.

Après si on est suivi par les barbouzes et qu'ils nous volent notre clé USB, c'est pas ces clés USB (ni truecrypt) qui va les arrêter longtemps.

On parle de solutions pour protéger notre vie privée (et nos comptes bancaires), pas pour le N°2 d'Al qaïda qui a tous les barbouzes aux fesses ou pour le responsable du service RD d'Airbus ou d'EADS.  ::)

19 février 2014 à 23:50:59
Réponse #13

Hurgoz


Yo,

Alors, juste: l'inviolabilité de Linux repose essentiellement sur le fait qu'il soit peut répendue et donc assez inintéressant. Pour la petite anecdote, y a pas mal d'année de sa, un petit bug a été descellé dans la Debian: quelqu'un avait inhibé pas mal de lignes dans leur package VPN (me souviens plus exactement desquels), mais si bien que le cryptage du tunnel tournait sur 8bits depuis plus d'une année... (bon, j'ai retrouvé un link: http://www.pcinpact.com/archive/43598-debian-openssl-faille-cle.htm) <- Bon, j'me suis un peu planté dans l'histoire, mais c'était de mémoire, et là, j'ai les yeux qui se ferment tout seuls ;)

Le seul système inviolable et stable qui existe, c'est deux machines qui communiquent entre elles, sans qu'il puisse y avoir d'interaction de quiconque (du coup, je sais pas vraiment ce qu'elles auraient à ce dire ;) ).

Après, tout système à ces failles, penser le contraire, c'est comme penser qu'on peu se planter en bagnole parce qu'on a un airbag et une ceinture.

Maintenant, je suis de l'avis de Musher: il ne serre à rien d'acheter un coffre fort pour n'y mettre qu'un billet de 50....les données, c'est pareil: blinder la sécurité de ces machines à 800% pour planquer ces photos de vacances, sa ne serre à rien, sa n'intéresse personne (même s'il y a des photos de madame en petite tenue ;) ).

Parcontre, un truc sur les systèmes de cryptage, c'est prévue pour ne donner accès qu'aux personnes en possédant les clefs...donc, paumer la clef = plus de données. Et sauvegarder les données sur un support non protégé= énorme brèche. Idem: il existe des programmes permettant de crypter l'ensemble d'une partition. Le truc à ne pas oublier: si la partition crash, je vous met au défi de la réparer alors qu'elle est cryptée ;)

Tcho

Hugo
« Modifié: 19 février 2014 à 23:58:58 par Hurgoz »
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

20 février 2014 à 00:03:14
Réponse #14

Moleson


...
Après si on est suivi par les barbouzes et qu'ils nous volent notre clé USB, c'est pas ces clés USB (ni truecrypt) qui va les arrêter longtemps.
..

Truecrypt c'est inviolable tout comme une cryptage asymétrique avec une clef suffisamment longue. En tout cas suffisamment longtemps pour que ça n'intéresse plus personne. C'est l'intérêt des cryptages open-source.

Plus on utilise ce genre produit plus notre vie privée sera conservée. La question c'est pas savoir "moi j'ai rien a cacher", mais a quels principes on adhère.

20 février 2014 à 00:14:27
Réponse #15

Hurgoz


Ben tu en as à peu près pour 30sec de récupérer un mot de passe avec un Keylogger (30 sec de recheches sur google: http://volvox.wordpress.com/2007/10/26/logiciel-keylogger-capture-des-touches-du-clavier/), de monitorer quels fichier sont en accès avec un autre soft.....donc, en gros, il ne faut pas grand chose pour récupérer un mot de passe et des fichiers passe.... ;)

Tcho

Hugo
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

20 février 2014 à 07:48:17
Réponse #16

angus


Ca s'éloigne un peu du sujet des clés USB, mais bon ton keylogger tu l'installe comment? Il te faut un accès physique à la machine pour un keylogger logiciel et 2 accès pour un modèle matériel.
Après d'un point de vue vocabulaire dans ce fil il s'agit de chiffrement et non de cryptage mais la je chipotte.
Pour en revenir aux clés, sans que l'on transporte des données confidentielles, il est légitime de vouloir protéger ses données en cas de perte ou de vol du support. J'ai déja perdu une clé avec des documents personnels ben ça m'a bien fais chier, rien n'était utilisable à mauvais escient mais je n'ai pas envie qu'un inconnu ait accès à des données perso. Ni même envie de voir mes photos de vacances circuler sur le net, sinon j'aurai un compte facebook.
Depuis pour le privé j'ai une corsair padlock (merci à AC je ne savais pas qu'il y avait une faille et je vais la corriger). Etant sous Linux Debian un chiffrement logiciel ne m'intéressait pas surtout qu'au boulot n'ayant pas les droit admin sur le poste windows il est impossible d'installer quoi que ce soit.
Pour ce qui est d'une panne du clavier physique, pour moi pas de soucis les données sont également sur mon PC (chiffré), la clé me sert à avoir les données sur moi en cas de besoin à l'extérieur et de sauvegarde.

20 février 2014 à 08:49:14
Réponse #17

Hurgoz


Ca s'éloigne un peu du sujet des clés USB, mais bon ton keylogger tu l'installe comment? Il te faut un accès physique à la machine pour un keylogger logiciel et 2 accès pour un modèle matériel.

A priori, si tu balades tes données sur un clef usb, c'est pour pouvoir la brancher sur un autre poste que le tiens....le miens par exemple, sur lequel je peux, sans aucun soucis coller un keylogger... ;)
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

20 février 2014 à 09:57:45
Réponse #18

Draven


Du même avis que musher, faut vraiment avoir la necessité de protéger des données sensibles pour aller plus loin dans le cryptage/etc...

En revanche, juste pour éviter que des données personnelles ( photos, papiers, etc... ) tombent entre de mauvaises mains, ce genre de clé USB est pas mal, mais faut pas vouloir s'en servir pour le stockage longue durée, juste pour les apporter sur un autre ordinateur sans les envoyer par mail. Sur la durée je n'aurais pas confiance pour stocker des trucs persos sans redondance. Rien que la clé USB que j'utilise pour mon autoradio de bagnole elle a une durée de vie limitée, ça fini toujours par déconner, mais j'ai que de la musique dessus ( que j'ai également en cd, sur mon pc et sur un disque dur externe... ).
Version humaine de l'Ursus arctos middendorffi
FlickR

20 février 2014 à 10:05:03
Réponse #19

Barbara


En voyage, je me déplace avec mes documents d'identité, assurances, photos sur clef USB.
Si je ne la chiffre pas, je risque le vol d'identité (à la mode ces derniers temps).

Je ne comprends pas cet acharnement à vouloir démontrer l'inutilité de ce genre de matériel (?).




20 février 2014 à 10:37:35
Réponse #20

Draven


Je ne comprends pas cet acharnement à vouloir démontrer l'inutilité de ce genre de matériel (?).

J'ai surtout vu de l'acharnement pour faire comprendre aux gens que ce genre de matériel a ses limites, dans le cadre de ton utilisation, ou de la mienne ( transport de photos, données personnelles dont je garde un double sur moi, etc... ), le cahier des charges est rempli, c'est même plus pratique qu'un cryptage des données en elle même.
En revanche, en informatique rien n'est inviolable, donc faudrait pas croire que les données top secrètes ( plan du futur avion furtif Iranien, recette du bœuf bourguignon de la grand mère ou adresse du père noël ), serait a l'abri dans une telle clé USB.

Mais c'est vrai que ces débauches d'explications ont fait sortir un peu du cadre de l'utilisation basique d'une clé USB  ;# ;#
Version humaine de l'Ursus arctos middendorffi
FlickR

20 février 2014 à 11:09:29
Réponse #21

François


Même chose pour moi. Pour se protéger de la petite délinquance, un cryptage léger suffit, à condition qu'on ne trouve pas la méthode de décryptage sur Internet. :)
Par contre, il ne faut pas se leurrer, contre l'espionnage d'état, si celui ci est motivé on est un peu impuissant. Vu mes activités professionnelles passées, les pays où j'ai voyagé et travaillé, l'usage que j'ai d'Internet, je suis sur que les "grands services" (et certains petits) ont mon CV détaillé et une copie de mes papiers. Et à vrai dire, cela ne gène guère. Le seul moyen simple de garder secrètes les informations qu'on veut confidentielles, c'est que leur existence soit inconnue et que leur présence sur un support soit invisible.
Espérer le meilleur, prévoir le pire.

20 février 2014 à 11:51:48
Réponse #22

Moleson


A priori, si tu balades tes données sur un clef usb, c'est pour pouvoir la brancher sur un autre poste que le tiens....le miens par exemple, sur lequel je peux, sans aucun soucis coller un keylogger... ;)
Pas vraiment c'est dissocier les données de l'ordinateur.
Et comme c'est très difficile de détruire un disque dur, encore plus de l'effacer une carte SD ou une clef USB c'est nettement plus facile.

Le Keylogger est un keylogger, c'est pour cela que l'on peut utiliser un clavier virtuel. Et de plus on peu compliquer la chose avec un token. Donc un fichier banal + un mot de passe + un truc comme truecrypt et en plus ton token tu peux le mettre sur une clef digital PKI.
Bon avec un peu de bonne volontés on peut se protéger même contre un état. Quoique c'est vrai contre la rubber-hose cryptanalyse on est impuissant.

Après c'est un problème d'état d'esprit. Soit un part sur le j'ai rien à cacher ou on tient a sa sphère privée et on prend les mesures ad hoc.


Ceci dit si le FBI n'est pas arrivé à décrypter un volume Truecrypt, ça doit quand même être assez sur. On discute pas sur ce qu'a potentiellement commis la personne concernée...

http://www.ca11.uscourts.gov/opinions/ops/201112268.pdf

20 février 2014 à 11:55:50
Réponse #23

AC


Je ne comprends pas cet acharnement à vouloir démontrer l'inutilité de ce genre de matériel (?).

Il s'agit simplement d'éviter l'effet gri-gri, exactement comme si quelqu'un débarquait ici en demandant "salut, j'ai acheté ce spray lacrymo triple jet 360°, pensez-vous que je peux aller faire du jogging à 3h du matin maintenant ?"

+1 avec filisimao et François: Le gros inconvénient de ces clés USB à clavier, c'est qu'elles attirent l'attention. Je n'ai pas envie de donner aux douaniers de tel ou tel pays un prétexte pour dégainer les matraques en caoutchouc, ou simplement pour me faire rater mon avion. D'ailleurs même sans voyager très loin:
Citer
Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre [...]
Et j'imagine que c'est pareil ailleurs de nos jours.

20 février 2014 à 12:27:58
Réponse #24

Phil67


Par contre, il ne faut pas se leurrer, contre l'espionnage d'état, si celui ci est motivé on est un peu impuissant.
Oui et non : c'est effectivement une question de motivation mais également de ratio entre gain potentiel et moyens à mettre en œuvre (cf. ci-dessous).

Citer
Vu mes activités professionnelles passées, les pays où j'ai voyagé et travaillé, l'usage que j'ai d'Internet, je suis sur que les "grands services" (et certains petits) ont mon CV détaillé et une copie de mes papiers.
Justement l'affaire Snowden a démontré qu'il n'y a pas besoin d'être James Bond ou une VIP pour être tracé car la NSA s’intéresse en fait aux échanges d'une bonne partie de la population mondiale :
   - elle est autorisée à tracer jusqu'à 3 niveaux de contacts d'un suspect (l'homme qui a vu l'homme qui a vu l'homme qui a vu l'ours) or avec Internet nous sommes maintenant à 4,7 degrés de séparation de n'importe quel autre humain
   - elle pratique l'espionnage industriel : il suffit d'être identifié comme cadre dans une entreprise importante ou innovante (pas besoin d'être lié de loin au domaine de l'armement ou de la sécurité) ou de travailler de temps en temps avec une entreprise américaine importante.

Il y a donc une part non négligeables de lecteurs et participants à ce forum dont une partie du "graphe social" se trouve déjà dans leurs bases de données.

Il est donc d'autant plus important de généraliser le cryptage(1) même pour des données non critiques en n'ayant "rien à cacher"(2). Ces données pourront toujours être décryptées(1) ponctuellement par une autorité motivée, mais une masse importante de donnés cryptées et sans intérêt devient rapidement dissuasive pour un flicage généralisé à l'échelle mondiale.

À force d'insinuer dans les esprits que l'on n'a "rien à cacher" on va finir un jour par suspecter tout ceux qui ne sont pas adeptes de la transparence totale : la liberté ne s'use que si l'on ne s'en sert pas !


Dans tous les cas la sécurité reste relative, même en ayant des volumes TrueCrypt sur partition crypté nativement avec clé aléatoire à 36000 bits le tout stocké sur périphérique sécurisé avec un Linux endurci + clavier virtuel + token :

(Grand classique traduit également en français : http://www.lirmm.fr/~gambette/xkcd/index.php?id=538 )


(1) On n'est pas entre experts sur un forum de crypto, autant employer le terme le plus courant dans la population générale (et je connais la nuance entre décryptage sans clé et déchiffrement avec clé ;)) :
Citation de: wikipedia
Le terme « chiffrement » est utilisé depuis le XVIIe siècle dans le sens de chiffrer un message.

Le terme « cryptage » et ses dérivés viennent du grec ancien κρυπτός, kruptos, « caché, secret » et se rencontre dans cette acception à partir des années 80. Le Grand dictionnaire terminologique de l'Office québécois de la langue française mentionne le mot « cryptage » comme synonyme de « chiffrement » : « La tendance actuelle favorise les termes construits avec crypt-. Plusieurs ouvrages terminologiques récents privilégient cryptage au lieu de chiffrement, terme utilisé depuis longtemps pour désigner cette notion ». Des informaticiens et publications informatiques francophones en revanche contestent cette acception du terme « cryptage »


(2) Que ceux qui n'ont "rien à cacher" commencent par se balader à poils et à vivre dans des maisons de verre sans rideaux ni clés et avec des caméras de vidéo-surveillance dans chaque pièce. :lol:
Nous avons deux vies, la seconde commence lorsqu'on réalise qu'on en a qu'une.

 


Keep in mind

Bienveillance, n.f. : disposition affective d'une volonté qui vise le bien et le bonheur d'autrui. (Wikipedia).

« [...] ce qui devrait toujours nous éveiller quant à l'obligation de s'adresser à l'autre comme l'on voudrait que l'on s'adresse à nous :
avec bienveillance, curiosité et un appétit pour le dialogue et la réflexion que l'interlocuteur peut susciter. »


Soutenez le Forum

Les dons se font sur une base totalement libre. Les infos du forum sont, ont toujours été, et resteront toujours accessibles gratuitement.
Discussion relative au financement du forum ici.


Publicité