Le 07/03/2026 à 22:08, [email protected] a écrit :
Bonjour,
J'ai installé Debian 13 avec xfce.
Je souhaite ne pas avoir à saisir de mot de passe pour mon utilisateur,
que ce soit au démarrage ou en sortie de veille.
Je n'ai pas la réponse mais une question : est ce que l'authentification
automatique est une faille de sécurité ou non ? Je suis un particulier
vivant seul, personne d'autre n'a un accès physique à mon PC.
Je ne suis pas un spécialiste en sécurité.
Je sais par contre fort bien que quand j’ai un accès physique a la
machine, je fais ce que je veux, et c’est pas un pauvre mot de passe a
la connexion qui m’arrete. Il suffit de booter sur une clef USB et pouf,
on est root sans avoir eu a taper le moindre mot de passe. Ou au pire
sortir le disque dur et le brancher comme un disque externe sur un autre
ordi. C’est ce que je fais a chaque fois que quelqu’un m’appelle a
l’aide parce que son ordi est en carafe.
Si on est facétieux, on peut meme booter sur une clef, sauvegarder le
fichier /etc/shadow, changer le mot de passe existant, rebooter
normalement en utilisant le mot de passe qu’on viens de créer, faire
toutes les bidouilles qu’on veut et quand on a fini remettre le fichier
/etc/shadow original. Ainsi l’utilisateur retrouvera son système et son
mot de passe comme d’habitude et ne s’appercevra meme pas qu’on est
passé par la.
Donc a mon sens, virer le mot de passe a la connexion et en sortie de
veille n’est pas une faille de sécurité parce que ce mot de passe n’est
en rien une mesure de sécurité. Si on veut sécuriser sa machine, la
bonne manière est de chiffrer ses partitions. Et dans ce cas le mot de
passe a la connexion et en sortie de veille est obligatoire pour
déchiffrer les partitions. Dans ce cas, un mot de passe solide (donc
long, grand minimum 16 caractères) est aussi indispensable pour mériter
le mot "sécurité".
Si vous travaillez dans un train ou a la terrasse d’un café et que vous
laissez votre ordi sans surveillance le temps d’aller aux toilettes,
verrouiller la session avec un mot de passe peut empêcher un curieux
d’etre indiscret. Mais ca empêchera pas un malveillant de vous voler
votre ordi puis de fouiller dedans autant qu’il veut. Le mot de passe
est donc une mesure de discrétion et non de sécurité.
Ca peut aussi empêcher un malveillant de brancher une clef USB et de
mette du code malveillant sur votre ordi a un endroit ou vous ne le
verrez pas. Mais honnêtement, si vous êtes la cible d’un espion qui
cherche a vous surveiller de facon ciblée, il trouvera plein d’autres
occasions d’arriver a ses fins, comme par exemple entrer chez vous en
crochetant la serrure a un moment ou vous êtes absent. Il reste vrai que
dans ce cas, un mot de passe a la connexion ou en sortie de veille peut
lui rendre la tache moins simple et c’est toujours bon a prendre, meme
si ce n’est pas une protection.
Si vous avez un ordi familial avec plusieurs comptes, un par membre de
la famille, le mot de passe évitera que votre conjoint ou votre gamin
ouvre votre compte par erreur. Mais si votre conjoint ou gamin veut
vraiment aller fouiller dans vos affaires, il ne lui faudra pas
longtemps sur internet pour trouver comment passer outre.
Si vous etes seul a avoir accès a cet ordi, le mot de passe a la
connexion ou en sortie de veille ne sert qu’a… vous emmerder. Ah oui, il
peut aussi servir a vous donner une illusion de sécurité on ne peut plus
fausse. Et puis comme vous avez a le taper très souvent et que ca vous
emmerde, ca vous incite fortement a mettre un mot de passe ridicule et
très facile a craquer. Et ca c’est une faille de sécurité. C’est meme
une faille énorme si votre compte est sudoer, comme ubuntu en a lancé la
mode.
Attention, je viens de parler du fait que le mot de passe soit demandé a
l’ouverture de session et en sortie de veille (et verouillage de
l’écran, de l’économiseur, d’hibernation). Indépendamment de ca il est
fondamental que votre compte ait un mot de passe, et meme un mot de
passe solide, meme si il ne vous est pas demandé a la connexion. Ce mot
de passe sert de rempart contre du code malveillant qui arriverait par
le réseau, ou sur une clef USB que vous pourriez brancher.
Encore une fois je ne suis pas expert en sécurité, donc je peux me
tromper lourdement. Si quelqu’un me signale ou je me trompe je suis
toute ouïe.
