Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 25/07/2013 00:36, Gilles Mocellin a écrit : Bientôt dans CyanogenMod, Privacy Guard, qui permet d'interdire pour chaque application l'accès à certaines données. Bon, c'est pas tout de suite, et pas dans l'Android de monsieur tout le monde... Merci à tous les trois pour les tuyaux. Ceci-dit, il semblerait bien qu'hors procédure de root de l'android, point de solution.. et je n'ai pour l'instant pas envie de perdre la garantie. :P --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
C'est encore une idée recue, http://www.androidpit.fr/root-garantie - La garantie est sur la materiel, pas sur l'OS. -RB 2013/7/26 Laurent lpo...@free.fr Le 25/07/2013 00:36, Gilles Mocellin a écrit : Bientôt dans CyanogenMod, Privacy Guard, qui permet d'interdire pour chaque application l'accès à certaines données. Bon, c'est pas tout de suite, et pas dans l'Android de monsieur tout le monde... Merci à tous les trois pour les tuyaux. Ceci-dit, il semblerait bien qu'hors procédure de root de l'android, point de solution.. et je n'ai pour l'instant pas envie de perdre la garantie. :P --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
2013/7/26 Laurent lpo...@free.fr Le 25/07/2013 00:36, Gilles Mocellin a écrit : Bientôt dans CyanogenMod, Privacy Guard, qui permet d'interdire pour chaque application l'accès à certaines données. Bon, c'est pas tout de suite, et pas dans l'Android de monsieur tout le monde... Merci à tous les trois pour les tuyaux. Ceci-dit, il semblerait bien qu'hors procédure de root de l'android, point de solution.. et je n'ai pour l'instant pas envie de perdre la garantie. :P Le 26/07/2013 13:39, Romain Bourdy a écrit : C'est encore une idée recue, http://www.androidpit.fr/root-garantie - La garantie est sur la materiel, pas sur l'OS. -RB Au pire, c'est facile de reflasher la ROM d'origine avant d'envoyer le téléphone en réparation. Enfin, sauf si il est vraiment mort, auquel cas, root ou pas, ils ne verront rien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 26 juillet 2013 18:55, Laurent lpo...@free.fr a écrit : Ceci-dit, il semblerait bien qu'hors procédure de root de l'android, point de solution.. et je n'ai pour l'instant pas envie de perdre la garantie. :P D'après cet article [0], il semble qu'Android 4.3 apporte (enfin) une solution native de contrôle des permissions par application. [0] http://www.zdnet.fr/actualites/android-43-une-fonctionnalite-cachee-pour-controler-les-permissions-des-apps-39792771.htm -- Yohann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 26/07/2013 17:53, Yohann Lepage a écrit : D'après cet article [0], il semble qu'Android 4.3 apporte (enfin) une solution native de contrôle des permissions par application. Et il sera disponible de base sur les téléphones dans combien de temps ? Il y en a encore qui sont vendus avec Android 2.6. - -- Alarig Le Lay - From Rennes, France http://swordarmor.fr/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iQEcBAEBAgAGBQJR8p0uAAoJEK84SsFrICuIjbwH/0O9uFLe2MMgEHgqVKJGT3ZZ 4ZYn9TpKBD2sbHUNW+ghYCDFDk/qP2N11poQgKwJELgereIx3+gcdbtOCe2qi+vn aILgJZiFCVpUA2OAt5Cx5Q1bLRtggpW634DL0Y8ZOXwmSYcvCKupA35vPVChY9HF 1QYDtcCuw8TRl6QsGW+2SPa2l+SMmM1lqP/WiPH00IGttWu0tekV8riSDO1A0mXu kFgI0kmCmSvc34ieDGvDRVDpHVXssOUN/ZghY4rde6h4Fu0SVEFGEKOsAAZ5j7h5 LJHaIMuzZHRn4Nflc4t0A951mRgWjMDVTIPgrqOl4x3IbHJXs2/8OGmtVDwC09M= =ENf0 -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
2013-07-24T09:28:48+02:00, Damien Nicolas damien+fr...@gordon.re wrote: ../.. Si vous souhaitez enregistrer vos mots de passe, ce qui est compréhensible parce que personne n’est capable de mémoriser tous ses mots de passe (ou alors commet l’erreur de réutiliser le même), je vous conseille, en solutions libres, keepass(x), ou tout bêtement la fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un mot de passe maître solide, que vous mémoriserez. Il existe aussi des solutions qui utilisent des logiciels dans lesquels on peut avoir confiance, comme GPG. Et si on veut utiliser VIM avec, il y a le pluging gnupg.vim [1] [1] http://www.vim.org/scripts/script.php?script_id=3645 Ce script fait son boulot, et il semble être clean. Salutations, -- Thibaud CANALE thican [at] thican [dot] net http://thican.net/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Thu, Jul 25, 2013 at 10:11:15AM +0200, Thibaud CANALE wrote: Si vous souhaitez enregistrer vos mots de passe, ce qui est compréhensible parce que personne n’est capable de mémoriser tous ses mots de passe (ou alors commet l’erreur de réutiliser le même), je vous conseille, en solutions libres, keepass(x), ou tout bêtement la fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un mot de passe maître solide, que vous mémoriserez. Il existe aussi des solutions qui utilisent des logiciels dans lesquels on peut avoir confiance, comme GPG. Et si on veut utiliser VIM avec, il y a le pluging gnupg.vim [1] [1] http://www.vim.org/scripts/script.php?script_id=3645 Ce script fait son boulot, et il semble être clean. Il semble être clean ? A-t-il été audité ? Est-il possible de le récupérer de manière sécurisée, de vérifier de manière fiable son intégrité ? C’est une question très importante quand on parle de solutions de sécurité, et c’est pour cette raison que je conseille plutôt quelque chose comme Keepassx, qui est conçu pour ça, et donc audité pour ça. De plus, avoir confiance dans le logiciel est une chose, mais s’assurer qu’il n’a pas été altéré avant qu’on le récupère est tout aussi important (c’est pour ça que l’utilisation de scrypt pour dériver un mot de passe est sujette à précautions) -- Damien signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Yop, Il existe aussi des solutions qui utilisent des logiciels dans lesquels on peut avoir confiance, comme GPG. on utilise à $taf pass ( http://zx2c4.com/projects/password-store/ ) qui couple gpg et git. En gros, il définit dans un dépot une arborescence qui représente la structure de l'infra (structure entièrement définissable bien sûr). On le couple avec une config gpg portable qui inclu un groupe gpg et la liste des clés publiques de ce groupe. A chaque fois qu'un mot de passe est ajouté, il est chiffré pour chaque membre du groupe qui ne peut le déchiffrer qu'avec sa clé privée. Le seul coté chiant est lors de l'ajout/suppression d'un admin. Il faut tout déchifrer, modifier le groupe, et tout rechiffrer. Mais bon, on ajoute/supprime pas des admins tous les jours :) Maxence -- Maxence DUNNEWIND Contact : maxe...@dunnewind.net Site : http://www.dunnewind.net + 33 6 32 39 39 93 GPG : 18AE 61E4 D0B0 1C7C AAC9 E40D 4D39 68DB 0D2E B533 signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On 24.07.2013 06:39, Romain Bourdy wrote: Hello la liste, Je ne suis pas un expert de la crypto, mais à priori rien n'empeches d'avoir une clé maitre qui peu décoder tout les stores, de la même facon qu'un mail GPG est lisible par l'expediteur, étant donné que tu n'as pas accès au code le doute est permis. Bonne journée, -RB d'ici a ce que lastpass soit une filiale d'une agence de sécurité bien connue... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24/07/2013 03:45, FB a écrit : En ce qui concerne LastPass par contre, peux-tu expliquer en quoi c'est une mauvaise idée ? Ils n'ont pas accès à nos données puisque comme pour Clipperz le principe est de crypter en local via javascript avant d'envoyer quoi que ce soit sur leurs serveurs (en tous cas c'est ce qu'ils disent). Tu m'as mis le doute du coup là :) Tu fais quoi le jour où LastPass ferme ? Le jour où ils perdent les données ? Et le jour où on découvre une faille dans le protocole de cryptage utilisé ? LastPass, il doit y avoir quelques milliers de pirates à temps plein dessus :-) Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Wed, Jul 24, 2013 at 09:09:45AM +0200, Christophe Baegert wrote: Tu fais quoi le jour où LastPass ferme ? Le jour où ils perdent les données ? Et le jour où on découvre une faille dans le protocole de cryptage utilisé ? Pour rappel, et afin de préserver la santé mentale de notre Stéphane préféré, je tiens à rappeler qu’à moins que vous ne parlier d’enfermer de pauvres gens dans des cryptes, le verbe « crypter » est incorrect, et c’est « chiffrer » qui convient. Sur le fait d’utiliser un service tiers pour stocker les mots de passe, j’ai du mal à comprendre pourquoi, pour vous, il est dangereux de se faire voler une base de clients contenant des empreintes de mots de passe, alors qu’il vous semble naturel de fournir à un tiers l’intégralité de vos propres mots de passe, chiffrés. Sachant d’une part que sur le papier, une empreinte ne permet pas de retrouver la donnée initiale alors que le chiffrement si, et d’autre part que le chiffrement permet tout au plus de *gagner du temps*, car on doit considérer qu’il sera cassé un jour ou l’autre. Donc, vraiment, stocker ses mots de passe sur un service tiers, quand bien même celui-ci serait de confiance, est une très grave erreur. Si vous souhaitez enregistrer vos mots de passe, ce qui est compréhensible parce que personne n’est capable de mémoriser tous ses mots de passe (ou alors commet l’erreur de réutiliser le même), je vous conseille, en solutions libres, keepass(x), ou tout bêtement la fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un mot de passe maître solide, que vous mémoriserez. -- Damien signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Wed, Jul 24, 2013 at 09:28:48AM +0200, Damien Nicolas wrote: Pour rappel, et afin de préserver la santé mentale de notre Stéphane préféré, je tiens à rappeler qu’à moins que vous ne parlier d’enfermer de pauvres gens dans des cryptes, le verbe « crypter » est incorrect, et c’est « chiffrer » qui convient. Après avoir fini mon café, je précise qu’il fallait bien lire « parliez », mes excuses. -- Damien signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le Wednesday 24 July 2013 (09:28), Damien Nicolas écrivait : ou tout bêtement la fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un mot de passe maître solide, que vous mémoriserez. Bof. Si ça n'a pas changé, toutes les extensions ont accès aux mots de passe enregistrés ... sans qu'on le sache forcément. -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24/07/2013 10:34, Pierre-Yves Maunier a écrit : pour l'instant j'en suis très satisfait Ca je n'en doute pas, mais le problème ce n'est pas pour l'instant c'est le jour où : Tu fais quoi le jour où LastPass ferme ? Le jour où ils perdent les données ? Et le jour où on découvre une faille dans le protocole de cryptage utilisé ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Faut savoir faire des compromis et franchement lastpass c'est quand même vraiment sympa d'autant que jamais ils n'ont la version non chiffrée de tes mdp vu que tout est fait en local : chiffrement/déchiffrement. Très honnêtement je ne connais pas Lastpass autrement que par le nom. Je n'ai donc rien contre. Mais je ne suis pas sûr que l'aspect chiffrement avant envoie soit une garantie. Se souvenir que la faille dans les outils de chiffrement n'est ni dans l'algo, ni dans la taille de clé mais dans l'implémentation … Sauf si tu chiffres, toi même à la méthode geek, avec openssl. Et encore …. Julien. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Wed, Jul 24, 2013 at 10:34:51AM +0200, Pierre-Yves Maunier wrote: Avant j'utilisais un keypass stocké dans un conteneur truecrypt sur dropbox pour le côté dispo mais c'est quand même contraignant, pas d'accès mobile etc. Ce genre de fichiers n’est pas censé transiter sur le réseau, même encapsulé dans tout ce que tu veux. Je le répète, le chiffrement n’est jamais quelque chose de définitivement fiable, tout est une question de temps. Keepassx existe sur android, possiblement aussi sur iphone, ou du moins un truc compatible. Sachant que la sécurité que tu auras sur un téléphone est fatalement plus faible (pas de chiffrement de disque, pas de possibilité de stocker un keyfile en externe…) que sur un pc, je ne suis pas sûr que ce soit une bonne idée d’y stocker tes mots de passe d’une quelconque façon que ce soit. Du coup je suis passé sur lastpass, pour l'instant j'en suis très satisfait, et je ne stocke que des trucs non critiques ou alors si c'est critique j'y ajoute un two factor avec un token à la yubikey/Google authenticator. Je suis persuadé qu’Octave était très satisfait de son infra, avant qu’elle ne se fasse ouvrir :). Malheureusement, c’est une notion qui n’a aucun sens en sécu. Les « ou alors » non plus. Faut savoir faire des compromis et franchement lastpass c'est quand même vraiment sympa d'autant que jamais ils n'ont la version non chiffrée de tes mdp vu que tout est fait en local : chiffrement/déchiffrement. C’est parfaitement vrai : tout est question de compromis, car « sécurité = utilisabilité⁻¹ ». Mais pour décider du niveau de sécurité nécessaire, il faut penser aux risques, pas à « pour l’instant ça va ». -- Damien signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Hello, Je suis aussi enclin à saluer l'effort de communication d'OVH face à cet incident, face au lot de critiques qu'on a pu voir. Suffisamment rare pour le mettre en valeur et inciter les autres à suivre cette attitude. Le 24/07/13 10:34, Pierre-Yves Maunier a écrit : Avant j'utilisais un keypass stocké dans un conteneur truecrypt sur dropbox pour le côté dispo mais c'est quand même contraignant, pas d'accès mobile etc. Pareil, sauf que ... jamais stocké ailleurs que sur des postes dits sécurisés (selon les règles définies au sein de l'entreprise). Autant pour du pro, que du perso. Penser à augmenter le nombre de rounds pour le chiffrement du fichier. Ca tend à fortement réduire les risques liés aux attaques par force brute. Pour l'accès mobile, je n'ai pas suffisamment confiance (mot-clé) dans les smartphones/tablettes, y compris ceux avec chiffrement intégral du stockage, donc je ne fais pas. Je ne suis pas prêt d'utiliser un Lastpass ou autre, bien que je comprenne le raisonnement de Pierre-Yves. Et les solutions existantes ne sont pas toutes pour l'ensemble _des_ publics visés. -- Baptiste MALGUY signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24 juillet 2013 10:55, Damien Nicolas damien+fr...@gordon.re a écrit : C’est parfaitement vrai : tout est question de compromis, car « sécurité = utilisabilité⁻¹ ». Mais pour décider du niveau de sécurité nécessaire, il faut penser aux risques, pas à « pour l’instant ça va ». Je dis souvent : Le chiffrement c'est comme les préservatifs, c'est beaucoup plus sécure, mais ça enlève toute notion de spontanéité. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24 juil. 2013 à 11:45, Pierre-Yves Maunier fr...@maunier.org a écrit : Le 24 juillet 2013 10:55, Damien Nicolas damien+fr...@gordon.re a écrit : C’est parfaitement vrai : tout est question de compromis, car « sécurité = utilisabilité⁻¹ ». Mais pour décider du niveau de sécurité nécessaire, il faut penser aux risques, pas à « pour l’instant ça va ». Je dis souvent : Le chiffrement c'est comme les préservatifs, c'est beaucoup plus sécure, mais ça enlève toute notion de spontanéité. Pour continuer dans le parallèle, le chiffrement ne doit pas t'empêcher d'analyser avec qui tu traites … -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On 07/24/2013 09:55 AM, Damien Nicolas wrote: Sachant que la sécurité que tu auras sur un téléphone est fatalement plus faible (pas de chiffrement de disque, pas de possibilité de stocker un keyfile en externe…) que sur un pc C'est vrai, mais il faut en revanche préciser que l'isolation des applications est bien meilleure que sur un smartphone que sur un PC. Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. Ça rend le développement d'un malware voleur de mots de passe nettement plus difficile. En d'autres termes le modèle de sécurité est supérieur. -- Etienne Dechamps --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le Wed, Jul 24, 2013 at 10:57:07AM +0100, Etienne Dechamps [etie...@edechamps.fr] a écrit: C'est vrai, mais il faut en revanche préciser que l'isolation des applications est bien meilleure que sur un smartphone que sur un PC. Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. Ça rend le développement d'un malware voleur de mots de passe nettement plus difficile. En d'autres termes le modèle de sécurité est supérieur. Mais la faille principale reste la même : l'humain qui clique [oui] (et pas forcément parcequ'on lui a promis de voir un bout de fesse :) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On 07/24/2013 11:08 AM, Dominique Rousseau wrote: Le Wed, Jul 24, 2013 at 10:57:07AM +0100, Etienne Dechamps [etie...@edechamps.fr] a écrit: C'est vrai, mais il faut en revanche préciser que l'isolation des applications est bien meilleure que sur un smartphone que sur un PC. Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. Ça rend le développement d'un malware voleur de mots de passe nettement plus difficile. En d'autres termes le modèle de sécurité est supérieur. Mais la faille principale reste la même : l'humain qui clique [oui] (et pas forcément parcequ'on lui a promis de voir un bout de fesse :) Je suis pas sûr, mais il me semble que si une application Android met les bonnes permissions sur ces propres données, elle peut empêcher toute autre application d'y accéder, même si l'utilisateur dit oui. Qu'on me corrige si je me trompe. -- Etienne Dechamps --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24/07/2013 11:57, Etienne Dechamps a écrit : C'est vrai, mais il faut en revanche préciser que l'isolation des applications est bien meilleure que sur un smartphone que sur un PC. Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. Ça rend le développement d'un malware voleur de mots de passe nettement plus difficile. En d'autres termes le modèle de sécurité est supérieur. Sauf que moi j'oublie rarement mon PC de bureau dans le métro ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
C'est vrai, mais il faut en revanche préciser que l'isolation des applications est bien meilleure que sur un smartphone que sur un PC. (...) En d'autres termes le modèle de sécurité est supérieur. Ivre, il s'est cru Vendredi… -- Manu Bourguin / Thy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24/07/2013 11:57, Etienne Dechamps a écrit : Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. C'est vrai. Mais comme 99% des applis android demandent à accéder à tout le réseau, à ton carnet d'adresse, à l'identification du téléphone, à la carte sd, à l'envoi de mail, de sms, et j'en passe et des meilleurs, et que je ne connais pas de moyen de bloquer ou tuner ça à l'installation de la dite application - sauf à ne pas l'installer, bien sûr.. Et que chacun sait que 99% des problèmes démarrent à un endroit situé entre la chaise et le clavier... suis pas certain que le modèle de sécu soit si meilleur de ça :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Wed, Jul 24, 2013 at 12:41:08PM +0200, Manu Bourguin wrote: Ivre, il s'est cru Vendredi… Ivre, il se moque d’une affirmation pourtant parfaitement juste ☺. -- Damien signature.asc Description: Digital signature
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le Wednesday 24 July 2013 (13:05), Laurent écrivait : Mais comme 99% des applis android demandent à accéder à tout le réseau, à ton carnet d'adresse, à l'identification du téléphone, à la carte sd, à l'envoi de mail, de sms, et j'en passe et des meilleurs, et que je ne connais pas de moyen de bloquer ou tuner ça à l'installation de la dite application - sauf à ne pas l'installer, bien sûr.. Il y a l'application permission denied qui dit être capable de répondre à cette problématique. Je ne l'ai pas testée. https://play.google.com/store/apps/details?id=com.stericson.permissions.donate -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On 24/07/2013 13:05, Laurent wrote: Le 24/07/2013 11:57, Etienne Dechamps a écrit : Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. C'est vrai. Mais comme 99% des applis android demandent à accéder à tout le réseau, à ton carnet d'adresse, à l'identification du téléphone, à la carte sd, à l'envoi de mail, de sms, et j'en passe et des meilleurs, et que je ne connais pas de moyen de bloquer ou tuner ça à l'installation de la dite application - sauf à ne pas l'installer, bien sûr.. Bonjour, Tu as LBE security master... mais il faut faire confiance au développeur Chinois crypto communiste rouge mangeur d'enfants, et au traducteur (du pays fondateur de PRISM) = http://forum.xda-developers.com/showthread.php?t=1422479 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Sur iPhone on peut installer une application, même si on ne lui autorise pas l'accès aux photos, a la localisation GPS ou autre. Alors que sous Windows Phone, il faut cliquer autoriser pour installer n'importe quelle application, sans distinction entre le type de données accédé. Donc la nuance se fait vraiment sur l'implémentation. Sur Windows Phone (version 7.8 que je pratique en tout cas) c'est du vent. Le 24 juil. 2013 à 12:19, Etienne Dechamps etie...@edechamps.fr a écrit : On 07/24/2013 11:08 AM, Dominique Rousseau wrote: Le Wed, Jul 24, 2013 at 10:57:07AM +0100, Etienne Dechamps [etie...@edechamps.fr] a écrit: C'est vrai, mais il faut en revanche préciser que l'isolation des applications est bien meilleure que sur un smartphone que sur un PC. Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. Ça rend le développement d'un malware voleur de mots de passe nettement plus difficile. En d'autres termes le modèle de sécurité est supérieur. Mais la faille principale reste la même : l'humain qui clique [oui] (et pas forcément parcequ'on lui a promis de voir un bout de fesse :) Je suis pas sûr, mais il me semble que si une application Android met les bonnes permissions sur ces propres données, elle peut empêcher toute autre application d'y accéder, même si l'utilisateur dit oui. Qu'on me corrige si je me trompe. -- Etienne Dechamps --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 24/07/2013 13:05, Laurent a écrit : Le 24/07/2013 11:57, Etienne Dechamps a écrit : Sur un PC, dès que t'installes une application, tu lui fais confiance avec toutes tes données. Sur un smartphone elle doit te demander la permission pour accéder à quoi que ce soit. C'est vrai. Mais comme 99% des applis android demandent à accéder à tout le réseau, à ton carnet d'adresse, à l'identification du téléphone, à la carte sd, à l'envoi de mail, de sms, et j'en passe et des meilleurs, et que je ne connais pas de moyen de bloquer ou tuner ça à l'installation de la dite application - sauf à ne pas l'installer, bien sûr.. Et que chacun sait que 99% des problèmes démarrent à un endroit situé entre la chaise et le clavier... suis pas certain que le modèle de sécu soit si meilleur de ça :) Bonsoir, Bientôt dans CyanogenMod, Privacy Guard, qui permet d'interdire pour chaque application l'accès à certaines données. Bon, c'est pas tout de suite, et pas dans l'Android de monsieur tout le monde... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
+1 Le 2013-07-23 12:50, Olivier Kerfant a écrit : Curieux. Personne n’en a parlé sur la liste. -- SAS OVH - http://www.ovh.com 2 rue Kellermann BP 80157 59100 Roubaix Bonjour, Récemment, nous avons relevé un incident de sécurité sur notre réseau interne au siège social d'Ovh. Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons relevé que la base de données des clients Europe aurait pu être illégalement copiée. Cette base comporte les données suivantes : le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne sont pas concernées puisqu'elles ne sont pas stockées par OVH. Même si le chiffrement du mot de passe de votre identifiant est très fort, nous vous conseillons de changer le mot de passe dans les plus brefs délais. En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=detailsid=8998 Cordialement, Support Client OVH Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min) Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min) Fax : 03.20.20.09.58 Contact : http://www.ovh.com/fr/contact Du lundi au vendredi : 8h00 - 20h00 Le samedi :9h00 - 17h00 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Je lis : Le chiffrement du mot de passe est salé et basé sur SHA512, afin d'éviter le bruteforce. Ne serait-il pas plus pertinent de passer à un algorithme tel que scrypt pour le mode parano supérieur ? 2013/7/23 solt...@imad.fr +1 Le 2013-07-23 12:50, Olivier Kerfant a écrit : Curieux. Personne n’en a parlé sur la liste. -- SAS OVH - http://www.ovh.com 2 rue Kellermann BP 80157 59100 Roubaix Bonjour, Récemment, nous avons relevé un incident de sécurité sur notre réseau interne au siège social d'Ovh. Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons relevé que la base de données des clients Europe aurait pu être illégalement copiée. Cette base comporte les données suivantes : le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne sont pas concernées puisqu'elles ne sont pas stockées par OVH. Même si le chiffrement du mot de passe de votre identifiant est très fort, nous vous conseillons de changer le mot de passe dans les plus brefs délais. En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=**detailsid=8998http://travaux.ovh.net/?do=detailsid=8998 Cordialement, Support Client OVH Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min) Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min) Fax : 03.20.20.09.58 Contact : http://www.ovh.com/fr/contact Du lundi au vendredi : 8h00 - 20h00 Le samedi :9h00 - 17h00 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Tue, Jul 23, 2013 at 07:21:15PM +0800, Étienne KASPERCZYK wrote: Je lis : Le chiffrement du mot de passe est salé et basé sur SHA512, afin d'éviter le bruteforce. Ne serait-il pas plus pertinent de passer à un algorithme tel que scrypt pour le mode parano supérieur ? Oui, bcrypt ou mieux scrypt sont plus forts. Ceci dit, en sécurité, tout est question de temps. Un hachage sha512 salé correspond, au doigt mouillé, à la moyenne haute de ce qui se fait, et en termes de sécurité ce n’est pas mauvais. Quoi qu’il en soit, peu importe le niveau de sécurité, il faut changer rapidement de mot de passe après une compromission. L’erreur d’OVH se trouve en amont, pas dans la façon de hacher les mots de passe. bortz_mode Plus d’infos ici : http://gordon.re/developpement/mot-de-passe-pourquoi-comment.html (avec des images pour que Jean-Kevin — paix à son âme — comprenne)./bortz_mode -- Damien signature.asc Description: Digital signature
RE: [FRnOG] [BIZ] OVH - incident de sécurité
Ce qui m'inquiète plus c'est que OVH fonctionne déjà en mode parano, et pourtant vient de subir une attaque. Comment les autres opérateurs plus ou moins paranoïdes gèrent ce problème? -Message d'origine- De : ekasp...@gmail.com [mailto:ekasp...@gmail.com] De la part de Étienne KASPERCZYK Envoyé : mardi 23 juillet 2013 13:21 À : solt...@imad.fr Cc : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] OVH - incident de sécurité Je lis : Le chiffrement du mot de passe est salé et basé sur SHA512, afin d'éviter le bruteforce. Ne serait-il pas plus pertinent de passer à un algorithme tel que scrypt pour le mode parano supérieur ? 2013/7/23 solt...@imad.fr +1 Le 2013-07-23 12:50, Olivier Kerfant a écrit : Curieux. Personne nen a parlé sur la liste. -- SAS OVH - http://www.ovh.com 2 rue Kellermann BP 80157 59100 Roubaix Bonjour, Récemment, nous avons relevé un incident de sécurité sur notre réseau interne au siège social d'Ovh. Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons relevé que la base de données des clients Europe aurait pu être illégalement copiée. Cette base comporte les données suivantes : le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne sont pas concernées puisqu'elles ne sont pas stockées par OVH. Même si le chiffrement du mot de passe de votre identifiant est très fort, nous vous conseillons de changer le mot de passe dans les plus brefs délais. En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=**detailsid=8998http://travaux.ovh.net/? do=detailsid=8998 Cordialement, Support Client OVH Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min) Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min) Fax : 03.20.20.09.58 Contact : http://www.ovh.com/fr/contact Du lundi au vendredi : 8h00 - 20h00 Le samedi :9h00 - 17h00 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le Tue, Jul 23, 2013 at 12:50:00PM +0200, Olivier Kerfant [i...@artaxerkes.com] a écrit: Curieux. Personne nen a parlé sur la liste. Parceque ça n'a rien à voir avec le fonctionnement du réseau ? (et que j'ose naïvement espérer que les clients ont été informés directement) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 23/07/2013 14:23, Dominique Rousseau a écrit : (et que j'ose naïvement espérer que les clients ont été informés directement) Tout est relatif, je l'ai lu sur IRC la veille de la réception du mail. - -- Alarig Le Lay - From Rennes, France http://swordarmor.fr/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iQEcBAEBAgAGBQJR7nbEAAoJEK84SsFrICuIArEH/0fTqyx3H6VDzSVFhSfXYwWv Ccxb11G2im90QJsmc49bkG1j3HisZsTVqAxere8+vo7ygtsxnGgl0tDue8AxBB4C QhXfda1TA/rqSiMTzmjDaCRFW9DjrwXzf1pbaZ3JnNS41b9O3jRlWrMreMc/cuh+ 4Z9Nm+WT881GM9edyDEHNbhSWVdvY4w/XP/DXeVmjz/oIp+rpRAwyOY5+J1+ERn7 8FZW+TMcIx9XqunEQ0p5tts9GXnhh8Vf85nMnbv/gTJNzYnFWlAaVzQjVEoOdrQw iC8xWd95Eh3ktOtCz5g27+fybUy1++A3kXAK6UZeJ9z3nRv6XruvfI6jNdUCZxY= =StHf -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] OVH - incident de sécurité
Le 23/07/2013 13:51, Olivier Kerfant a écrit : Ce qui m'inquiète plus c'est que OVH fonctionne déjà en mode parano, et pourtant vient de subir une attaque. Comment les autres opérateurs plus ou moins paranoïdes gèrent ce problème? Parce que l'autruche est un animal qui a une forte capacité à réussir à appliquer le Principe de Peter. Pourquoi on parlait pas non plus du hack des forums Ubuntu ? de la version 3.0.4 de Wordpress de http://www.carlabrunisarkozy.org/ à 400k et de ses innombrables failles remontées par bluetouff ? Plus sérieusement, c'est du journalisme de pâquerettes tous les commentaires (sans compter les steack hachés de cheval roumain qui se transforment en hulk chiffré sans aucune clé à l'horizon), tout le monde en parle, mais au lieu de parler, il ferait mieux de regarder les failles sur l'ensemble des produits en circulation à ce jour et ne surtout pas faire confiance à un antivirus qui promet Papa Maman sans voir le fils ! Cela peut arriver à tout le monde de se faire trouer, et le moins que l'on puisse dire, c'est que la transparence est là. Avant même que la CNIL ne l'impose (ce qui serait une bonne chose pour les clients). PS : avant de crier au loup, combien ici ont leurs données commerciales chez SalesForce ou sur un Excel dans un partage CIFS sans restrictions ? -Message d'origine- De : ekasp...@gmail.com [mailto:ekasp...@gmail.com] De la part de Étienne KASPERCZYK Envoyé : mardi 23 juillet 2013 13:21 À : solt...@imad.fr Cc : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] OVH - incident de sécurité Je lis : Le chiffrement du mot de passe est salé et basé sur SHA512, afin d'éviter le bruteforce. Ne serait-il pas plus pertinent de passer à un algorithme tel que scrypt pour le mode parano supérieur ? 2013/7/23 solt...@imad.fr +1 Le 2013-07-23 12:50, Olivier Kerfant a écrit : Curieux. Personne n’en a parlé sur la liste. -- SAS OVH - http://www.ovh.com 2 rue Kellermann BP 80157 59100 Roubaix Bonjour, Récemment, nous avons relevé un incident de sécurité sur notre réseau interne au siège social d'Ovh. Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons relevé que la base de données des clients Europe aurait pu être illégalement copiée. Cette base comporte les données suivantes : le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne sont pas concernées puisqu'elles ne sont pas stockées par OVH. Même si le chiffrement du mot de passe de votre identifiant est très fort, nous vous conseillons de changer le mot de passe dans les plus brefs délais. En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=**detailsid=8998http://travaux.ovh.net/? do=detailsid=8998 Cordialement, Support Client OVH Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min) Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min) Fax : 03.20.20.09.58 Contact : http://www.ovh.com/fr/contact Du lundi au vendredi : 8h00 - 20h00 Le samedi :9h00 - 17h00 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
2013-07-23T12:50:00+0200, Olivier Kerfant i...@artaxerkes.com wrote: Curieux. Personne n'en a parlé sur la liste. Je trouve qu'on en parle déjà suffisament, pour éviter d'en rajouter encore et encore (et puis, ce problème ne concerne pas le réseau). 2013-07-23T14:27:52+02:00, Alarig Le Lay ala...@swordarmor.fr wrote: Le 23/07/2013 14:23, Dominique Rousseau a écrit : (et que j'ose naïvement espérer que les clients ont été informés directement) Tout est relatif, je l'ai lu sur IRC la veille de la réception du mail. Souvent, les entreprises prennent le temps d'abord de faire une prompte vérification, avant de simplement dire quelqu'un s'est baladé dans notre réseau, on n'en sait pas plus. -- Thibaud CANALE thican [at] thican [dot] net http://thican.net/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
(et que j'ose naïvement espérer que les clients ont été informés directement) Oui, j'ai reçu un mail ce matin. Sur une adresse que je comptait de toutes façons fermer ^^ -- Manu Bourguin / Thy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le mail d'un personnel contenait des éléments permettant la connexion vpn d'un autre personnel. Bizarre. Ça veut juste dire qu'un⋅e employé⋅e va devoir commiter sur Github pour pouvoir retrouver du travail. -- Manu Bourguin / Thy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 2013-07-23 12:50, Olivier Kerfant a écrit : Curieux. Personne n’en a parlé sur la liste. -- Parce que nous avons tous eu le message en direct :) a+ SAS OVH - http://www.ovh.com 2 rue Kellermann BP 80157 59100 Roubaix Bonjour, Récemment, nous avons relevé un incident de sécurité sur notre réseau interne au siège social d'Ovh. Nous avons immédiatement sécurisé et enquêté sur l'incident. Nous avons relevé que la base de données des clients Europe aurait pu être illégalement copiée. Cette base comporte les données suivantes : le nom, le prénom, le nic, l'adresse, la ville, le pays, le téléphone, le fax et le mot de passe chiffré. Les informations sur les cartes bancaires ne sont pas concernées puisqu'elles ne sont pas stockées par OVH. Même si le chiffrement du mot de passe de votre identifiant est très fort, nous vous conseillons de changer le mot de passe dans les plus brefs délais. En savoir plus sur l'incident de securité: http://travaux.ovh.net/?do=detailsid=8998 Cordialement, Support Client OVH Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min) Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min) Fax : 03.20.20.09.58 Contact : http://www.ovh.com/fr/contact Du lundi au vendredi : 8h00 - 20h00 Le samedi :9h00 - 17h00 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 2013-07-23 16:09, Pascal PETIT a écrit : J'admire et apprécie le soucis de transparence d'OVH. Un point succite une interrogation : Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé Le mail d'un personnel contenait des éléments permettant la connexion vpn d'un autre personnel. Bizarre. il fait comme tout le monde il met ses mots de passe dans un mail qu'il enregistre sans envoyer comme cela il a ces mots de passe partout via son webmail/imap... :) a+ Ca me fait pense à ce qui s'est passé lors du G20 où via les archives de mail de la première victime, l'intrus avait trouvé des codes d'accès à d'autres serveurs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
On Jul 23, 2013, at 5:11 PM, Frédéric frede...@placenet.org wrote: Le 2013-07-23 16:09, Pascal PETIT a écrit : J'admire et apprécie le soucis de transparence d'OVH. Un point succite une interrogation : Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé Le mail d'un personnel contenait des éléments permettant la connexion vpn d'un autre personnel. Bizarre. il fait comme tout le monde il met ses mots de passe dans un mail qu'il enregistre sans envoyer comme cela il a ces mots de passe partout via son webmail/imap... :) a+ On a un candidat pour la pire idée de l'année ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 23/07/2013 17:15, Fleuriot Damien a écrit : On a un candidat pour la pire idée de l'année ;) La meilleure étant d'arrêter de publier les patchs pour cause de vol d'employé ? - -- Alarig Le Lay - From Rennes, France http://swordarmor.fr/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/ iQEcBAEBAgAGBQJR7p/RAAoJEK84SsFrICuIclQH/1VUObvo7j4zBmvWLh8o/XL6 R2QH9+lZ0x9krl5+9nhFcknZUXmaJKSfh9UL25IDByB/xvUkCbLeEywXH/o4m5An vpkq+1RUVzzdHxZZZ83CTLsXV3uzmHrVyn5kQz0nTZL4XzR7tbZnXUmwellPlXAw c3MRRXDBM193xE4MqCmkHh3jhukzFDtCg8uxFknPeRwvKObQF0vI7+6HFznpys9r oq0BgkbdvWdpXdeSAZinemd9VZopORaVO++1qKmEE2qvNcpXANtQQCyBuz6tUOV9 nBWlKfLRzY6jfMybQ/PBPINauogPMONx24VSQBMil1MuX20XknVK6QCR3kAJOCY= =OeEU -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 23/07/2013 17:15, Fleuriot Damien a écrit : On a un candidat pour la pire idée de l'année ;) Attention, Kevin écoute, il risque de faire ça plus tard quand il travaillera comme les grands ! Mais il y a encore une pire idée LastPass ! Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 23/07/2013 17:25, Christophe Baegert a écrit : Mais il y a encore une pire idée LastPass ! Hello, Puisque c'est une idée qu'elle est pire, que conseilles tu ? Merci -- Florent T. - kheb.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 23 juil. 2013 à 17:15, Fleuriot Damien m...@my.gd a écrit : On Jul 23, 2013, at 5:11 PM, Frédéric frede...@placenet.org wrote: Le 2013-07-23 16:09, Pascal PETIT a écrit : J'admire et apprécie le soucis de transparence d'OVH. Un point succite une interrogation : Grâce à cet accès email, il a obtenu l'accès sur le VPN interne d'un autre employé Le mail d'un personnel contenait des éléments permettant la connexion vpn d'un autre personnel. Bizarre. il fait comme tout le monde il met ses mots de passe dans un mail qu'il enregistre sans envoyer comme cela il a ces mots de passe partout via son webmail/imap... :) a+ On a un candidat pour la pire idée de l'année ;) j'avoue c'est complément con, il suffit ensuite qu'il fasse une fausse manip dans son client Imap pour que tous ses mots de passe se retrouvent disséminés aux 4 vents...it's fucking retarded ! Clément. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Le 23/07/2013 21:10, Florent T. a écrit : Puisque c'est une idée qu'elle est pire, que conseilles tu ? Son propre LastPass ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Ca existe : http://www.teampass.net Et ça marche plutôt pas mal. Thierry Le 23/07/2013 21:47, Christophe Baegert a écrit : Le 23/07/2013 21:10, Florent T. a écrit : Puisque c'est une idée qu'elle est pire, que conseilles tu ? Son propre LastPass ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Bonjour la liste, Il y a aussi Clipperz qui est opensource : http://www.clipperz.com/ ( https://github.com/clipperz) En ce qui concerne LastPass par contre, peux-tu expliquer en quoi c'est une mauvaise idée ? Ils n'ont pas accès à nos données puisque comme pour Clipperz le principe est de crypter en local via javascript avant d'envoyer quoi que ce soit sur leurs serveurs (en tous cas c'est ce qu'ils disent). Tu m'as mis le doute du coup là :) 2013/7/24 Christophe Baegert c.baegert-lis...@lixium.fr Le 23/07/2013 21:10, Florent T. a écrit : Puisque c'est une idée qu'elle est pire, que conseilles tu ? Son propre LastPass ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] OVH - incident de sécurité
Hello la liste, Je ne suis pas un expert de la crypto, mais à priori rien n'empeches d'avoir une clé maitre qui peu décoder tout les stores, de la même facon qu'un mail GPG est lisible par l'expediteur, étant donné que tu n'as pas accès au code le doute est permis. Bonne journée, -RB 2013/7/24 FB fbpa...@gmail.com: Bonjour la liste, Il y a aussi Clipperz qui est opensource : http://www.clipperz.com/ ( https://github.com/clipperz) En ce qui concerne LastPass par contre, peux-tu expliquer en quoi c'est une mauvaise idée ? Ils n'ont pas accès à nos données puisque comme pour Clipperz le principe est de crypter en local via javascript avant d'envoyer quoi que ce soit sur leurs serveurs (en tous cas c'est ce qu'ils disent). Tu m'as mis le doute du coup là :) 2013/7/24 Christophe Baegert c.baegert-lis...@lixium.fr Le 23/07/2013 21:10, Florent T. a écrit : Puisque c'est une idée qu'elle est pire, que conseilles tu ? Son propre LastPass ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
