Logiciel sécurité informatique

[Lemuel]

Salut,

Suite à cet article http://www.davidmanise.com/forum/index.php/topic,61380.0.html j'ai commencé à me poser des questions sur la sécurité de mes données. Effectivement j'ai plein de passwords identiques même si je me soigne à l'aide d'un mot de passe unique "évolutif"..
J'ai vu qu'il existe des logiciels pour simplifier la vie et qui offrent des services me paraissant tout à coup indispensables. Je suis sous mac.

J'en ai retenu 2 :

1password
 keepass

Je ne sais que choisir.

1 password :
avantages :
Integration mac os x maximum
plein de services en plus (gestion ID multiples sur un même site etc.)
service réputé "ca marche" populaire.

Inconvénients :
cher (44 euros)
agilebits est l'éditeur. C'est quoi ce nom. Ca veut dire qu'il enculent les gens vite ? Y a des backdoors dans leur truc ?
est ce que tout ne devient pas mégachiant si je surfe ailleurs que sur mon ordi ?


Keepass :
avantages :
gratuit
opensource (pas de backdoor)

inconvénient :
moins commercial > moins d'options, pas userfriendly.

Est ce que quelqu'un à une opinion issue de l'expérience sur ce dilemme ?

Merci !

[bidon]

Bonsoir,

Si tu es sous OS X, tu peux utiliser directement le "Trousseau d'accès" (inclus dans OS X). Dans Trousseau d'accès, tu peux te créer plusieurs trousseaux. Je gère des centaines de mots de passe (et autres informations) avec. Je me suis créé un trousseau dédié. Pour chaque mot de passe, je crée une note sécurisée dans ce trousseau et je mets les informations sur le mot de passe (Machine, compte, site, identifiant, url…). Comme ce sont de simples notes de texte, on peut mettre ce qu'on veut. Quand j'ajoute ou modifie mon trousseau j'en fait une copie sur une clé USB.

L'inconvénient de ma méthode (utilisation de notes sécurisée) est qu'elle est relativement "manuelle" car quand je n'ai pas un mot de passe en tête, je suis obligé de déverrouiller mon trousseau (qui a un mot de passe à rallonge) et d'ouvrir la note qui contient le mot de passe et ensuite taper le mot de passe au bon endroit.

Mais la méthode que j'utilisais avant était encore pire : j'utilisais un fichier texte que j'encroûtais/décryptais à la volée (utilisation de openssl en ligne de commande). Ce qui était pratique dans cette méthode c'est que j'avais tout dans un seul doc, mais faut être bien organisé.

Trousseau d'accès gère d'ailleurs la plupart des mots de passe de sites, de mails, etc… et au lieu des notes sécurisées tu peux créer des mots de passe qui sont ensuite directement utilisés par les applications (Mail, Navigateur web…).

Sinon 1Password est bien. Son gros avantage est qu'il existe en version Windows, OS X, IOS… et que les données sont utilisables sur toutes les plateformes (bon faut quand même acheter une licence par plateforme).

Si tu es seulement sur Mac, utilise directement Trousseau d'accès et copie régulièrement ton trousseau sur une clé pour retrouver tes infos si tu te déplaces sans ta machine.

[Jco]

Hello !

Je me suis posé une question similaire...

Quand j'ai commencé à tester, c'était surtout pour les mots de passe "internet", et j'avais donc essayé "lastpass". Puis au final je trouvais embêtant de ne pas avoir une sauvegarde "locale" de mes mots de passe.

J'avais déjà essayé keepass, et ce qui me génait comme toi était le manque d'intégration (surtout le fait d'avoir à ouvrir la base, copier coller le mot de passe)...

Jusqu'a ce que e découvre l'extension pour Firefox "KeeFox" qui permet d'avoir une intégration très souple : keepass tourne en tache de fond, et une icone te permet, dans Firefox, de te logger direct sur le site dont tu as sauvegardé le mot de passe (il "reconnait" le site, il propose aussi plusieurs accès si tu as des comptes différents pour le même site). Lorsque tu t'identifie pour la première fois sur un site, il peut enregistrer le mot de passe dans la base de donnée de Keepass (de la même manière qu'il pourrait garder le mot de passe en mémoire dans Firefox).

Evidemment lors du premier login, il faut ouvrir la base (l'extension permet de le faire facilement depuis Firefox). Ensuite, il faut jouer avec les paramètres de keepass pour gérer la confidentialité des données (par exemple fermer la base au bout de x minutes d'inactivité, fermer la base lorsque tu te déloggue, entre en veille, etc...). Perso, je laisse la base ouverte quasi tout le temps, avec comme option "fermer la base lors de la mise en veille", ainsi qu'au bout d'un certain temps d'inactivité.

Et enfin, je stocke mon trousseau sur un compte Dropbox : je peux y accéder de partout. Comme keepass est multiplateforme, je peux même utiliser une même base entre différents PCs (au boulot, Windows 7, à la maison, Linux. Attention toutefois au type de base employée, la version "2" des bases ne fonctionne pas encore sous le port de linux, "keepassx").

Je crois savoir que d'autres ports ont été réalisés (Android, etc...).

Sinon dans la même logique de protection des données, je t'invite à regarder d'un oeil le logiciel "truecrypt", qui permet très facilement de créer un "coffre" sécurisé (sur un disque dur, une clé usb, etc...). A titre d'exemple, j'ai crée un petit container truecrypt (99 Mo) que je stocke sur le dropbox pour y stocker des infos sensibles. Quand j'en ai besoin, je l'ouvre, accède aux docs, etc... Puis referme le container (dismount). Important : c'est au dismount que le container est "synchronisé" par Dropbox.

[migo]

J'ai vu qu'il existe des logiciels pour simplifier la vie et qui offrent des services me paraissant tout à coup indispensables. Je suis sous mac.

La première sécurité, c'est ton cerveau. À partir du moment où tu confies tes mots de passe à une entité extérieure, tu ouvres automatiquement une faille potentielle de sécurité.

J'en ai retenu 2 :

1password
 keepass

Je ne sais que choisir.

1 password :
avantages :
Integration mac os x maximum
plein de services en plus (gestion ID multiples sur un même site etc.)
service réputé "ca marche" populaire.

Inconvénients :
cher (44 euros)
agilebits est l'éditeur. C'est quoi ce nom. Ca veut dire qu'il enculent les gens vite ? Y a des backdoors dans leur truc ?

À partir du moment où le logiciel n'est pas libre ou opensource, ce qui revient à dire que le code qui à servi à le programmer n'est pas disponible pour vérification, tu n'auras aucune garantie de ce qu'ils font réellement des données que tu leur fourniras. Donc en matière de sécurité, c'est pas top.

est ce que tout ne devient pas mégachiant si je surfe ailleurs que sur mon ordi ?

pas compris la question 

Keepass :
avantages :
gratuit
opensource (pas de backdoor)

inconvénient :
moins commercial > moins d'options, pas userfriendly.

mouais, on peut pas tout avoir non plus...

[polartux]

sinon pgp, c'est le couteau suisse qui sert à tout: http://www.gnupg.org

[migo]

gnupg, c'est en ligne de commande et c'est plus complexe qu'un simple enregistreur de mots de passes.
à déconseiller si l'on recherche la simplicité.

[Lemuel]

Salut !
Merci pour vos réponses.

Ma question est : comme l'appli est sur mon ordinateur, si je vais sur le web depuis un autre terminal, est ce que ça ne devient pas la mmisère avec tous ces codes imbitables stockés je ne sais ou.

[Jco]

Salut !
Merci pour vos réponses.

Ma question est : comme l'appli est sur mon ordinateur, si je vais sur le web depuis un autre terminal, est ce que ça ne devient pas la mmisère avec tous ces codes imbitables stockés je ne sais ou.

C'est l'avantage principal de "lastpass" : l'identification (et le stockage des mots de passe) se fait en ligne. Donc accessible de partout. Mais c'est aussi son principal défaut (à mes yeux)...

Reste ensuite, avec keepass, la solution Dropbox (si tu peux installer Dropbox et keepass sur l'ordinateur "hôte"), ou encore la sauvegarde sur clé USB (keepass est "portable", donc tu peux le mettre sur une clé USB et le lancer). Cela implique d'avoir une clé avec soi... Mais ca fait souvent partie des EDC (on pourrait y rajouter une copie des papiers d'identité par exemple, ainsi que carte d'allergie / vaccination, sauf si on est agent secret).

[Galileo]

Essai roboform pour mac http://www.roboform.com/platforms/browsers/safari

j utilise la version PC 2go (non dispo sur mac) et celle en ligne depuis des annees, rien a redire que du bonheur de n avoir qu a retenri un seul mdp aussi bien sous mon Pc, linux et mon smartphone.

[migo]

Ma question est : comme l'appli est sur mon ordinateur, si je vais sur le web depuis un autre terminal, est ce que ça ne devient pas la mmisère avec tous ces codes imbitables stockés je ne sais ou.

Je ne connais pas l'appli ; je ne sais pas si elle sert de serveur mais si ce n'est pas le cas, en utilisant un tunnel ssh ou bien un vpn pour te connecter au pc qui a ladite appli, ça ne devrait pas poser de problème.

[Jco]

À partir du moment où le logiciel n'est pas libre ou opensource, ce qui revient à dire que le code qui à servi à le programmer n'est pas disponible pour vérification, tu n'auras aucune garantie de ce qu'ils font réellement des données que tu leur fourniras.

C'est un point très important. Il y a un article Wikipedia sur ce concept de "sécurité par l'obscurité" (http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9).

Tout ceci est d'autant plus vrai lorsque c'est une société qui opère derrière le service : selon son lieu d'implantation, celle ci peut être (légalement ou pas) contrainte de divulguer des informations (bien que parfois ces mêmes sociétés expliquent que le chiffrement a lieu en amont de leur serveur, comme pour lastpass par exemple. Cependant d'autres informations (dates et lieux de connexion) peuvent être données).