Les 5 et 6 juillet, ce sera le Tails HackFest, 2014, Paris, l'information a bien été relayée sur les réseaux sociaux et les blogs. A cette occasion, l'équipe de Tails a mis en place une sorte de Tails HackFest 2014 — Anti-harassment policy / Guide de conduite que j'ai traduit ci-dessous en français.

Note de Genma : ce texte est à relier au texte d'Okhin que j'avais également traduit A propos de l'apprentissage et de l'enseignement..., qui reprend certaines notions/idées. Ou encore le Code de conduite du Loop.

Début de traduction

Comme la communauté technique dans son ensemble, l'équipe de Tails et de la communauté est constituée d'un mélange de gens de partout dans le monde, travaillant sur tous les aspects de la mission - y compris le partage de connaissance, l'enseignement, et les relations/liens entre les personnes.

La diversité est une de nos grandes forces, mais elle peut aussi conduire à des problèmes de communication et de tension. À cette fin, nous avons établis quelques règles de base que nous demandons aux gens de respecter quand ils participent au sein de cette communauté et de ce projet. Ces règles s'appliquent également aux membres fondateurs, aux mentors tout comme à ceux qui cherchent de l'aide et des conseils.

Ce n'est pas une liste exhaustive de choses que vous ne pouvez pas faire. Au contraire, prenez la dans l'esprit dans lequel elle est destinée - un guide rendant les choses plus faciles, permettant d'enrichir chacun d'entre nous tout comme les membres des communautés techniques auxquelles nous participons.

Ces règles sont destinées à la Tails hackfest 2014. Elle pourrait devenir plus tard un code de conduite applicable à tous les espaces gérés par le projet de Tails.

Si vous pensez que quelqu'un viole un des ces règles, nous vous demandons de le signaler en contactant l'équipe d'intervention d'urgence (demander frontdesk, ou par courriel à tails-hackfest-2014@boum.org).

Soyez accueillant, sympathique et patient.
Soyez prévenant. Votre travail sera utilisé par d'autres personnes, tout comme vous dépendez du travail des autres. Toute décision que vous prendrez aura une incidence sur les utilisateurs et les autres contributeurs, et vous devez tenir compte des conséquences quand vous prenez des décisions. N'oubliez pas que nous sommes une communauté mondiale, de sorte que vous ne pouvez être amener à parler avec quelqu'un dans une langue qui n'est pas sa langue maternelle.
Soyez respectueux. Nous sommes pas toujours d'accord, mais le désaccord n'est pas une excuse pour adopter un mauvais comportement et de mauvaises manières. Nous pouvons tous vivre une certaine frustration de temps en temps, mais nous ne pouvons pas nous permettre que la frustration se transforme en une attaque personnelle. Il est important de se rappeler qu'une communauté où les gens se sentent mal à l'aise ou menacé n'est pas très productive. Les membres de la communauté Tails doivent être respectueux des autres membres ainsi qu'avec des personnes extérieures à la communauté de Tails.
Soyez prudent dans les mots que vous choisissez. Soyez gentil avec les autres. N'insultez pas ou n'enfoncez pas les autres participants. Toute forme harcèlement et autres comportements d'exclusion ne sont pas acceptables. Cela inclut, mais n'est pas limité :
Les menaces ou forme de langages violentes dirigées contre une autre personne.
Les blagues et propos sexistes, racistes, discriminatoires ou autre.
Parler ou exposer du matériel sexuellement explicite ou violent.
La publication (ou la menace de publication) d'informations d'identification personnelle d'autrui ("doxing").
L'enregistrement, le fait de photographier ou de filmer d'autres personnes sans leur consentement. Il vous faut obtenir le consentement avant l'enregistrement. Penser également à demander aux autres personnes qui peuvent être vues ou entendues en fond de l'image/la vidéo.
Les insultes personnelles, en particulier celles utilisant des termes racistes ou sexistes.
Des attentions sexuelle importune ou inappropriées.
Toute forme de plaidoyer ou encourageant au comportement mentionné ci-dessus.
Poursuivre un harcèlement répété sur quelqu'un. En général, si quelqu'un vous demande d'arrêter, vous vous arrêtez.
Lorsque nous sommes en désaccord, essayer de comprendre pourquoi. Les désaccords, à la fois sociales et techniques, se produisent tout le temps et Tails ne fait pas exception. Il est important que nous résolvions les désaccords et les points de vue différents de manière constructive. N'oubliez pas que nous sommes différents. La force de Tails vient de sa communauté variée, des personnes venant d'un large éventail de milieux. Différentes personnes ont différents points de vue sur les questions. Etre incapable de comprendre pourquoi quelqu'un a un certain un point de vue ne veut pas dire que cette personne a tort. Ne pas oublier que cette personne est humaine et peut se tromper et blâmer l'autre ne nous mènera nulle part. Au lieu de cela, s'il vous plaît, envisagez de proposer votre aide afin de résoudre les problèmes et afin d'aider à ce que l'on apprenne de ses erreurs.

Adapté du Code de conduite de Django, qui l'attribue lui-même au Speak Up ! project

Fin de traduction

A voir :
Tails HackFest 2014 - Anti-harassment policy / Guide de conduite
Tails HackFest, 2014, Paris
le Code de conduite du Loop

Sur cette page, retrouvez les dates des prochaines chiffrofêtes- café vie privée - cryptoparty auxquelles je participe (ou pas ;-))

Venez apprendre à protéger vos communications en ligne ! Parce que préserver sa vie privée est un droit, venez apprendre à vous protéger des yeux un trop indiscrets de la NSA, la DGSE votre employeur, votre conjoint ou tout autre personne/organisme lors de cet apéro-débat.

NANTES - Le 5 juillet 2014
Au café Flesselles le 5 juillet à partir de 14h00, 3 Allée Flesselles, 44000 Nantes.
http://nantes.café-vie-privée.fr/

STRASBOURG - Le samedi 12 juillet 2014
Rendez-vous le samedi 12 juillet à 14h au bar la Perestroïka à Strasbourg.
http://www.seeraiwer.org/wiki/doku.php?id=chiffrofete_12_juillet

PARIS - Dates en cours de détermination

Voir également la page https://café-vie-privée.fr/

Le texte qui suit est une traduction de la FAQ écrite par l'Electronic Frontier Foundation (EFF) issu de son projet torchallenge incitant à la mise en place de relais pour le réseau TOR. FAQ disponible à l'adresse suivante : https://www.eff.org/torchallenge/faq.html. Cette FAQ a été traduite par mes soins pour aider à la diffusion des informations qu'elle contient aux non anglophones. Elle contient quelques éléments intéressants sur l'aspect juridique de la mise en place d'un relais Tor aux USA. Pour aider à la mise en place d'un relais Tor en France, veuillez consulter l'association NosOignons http://nos-oignons.net/.

Note de traduction :
opérateur de relais Tor : personne ayant mis en place un relais/un noeud Tor
Dans le texte, les termes de Relais ou noeud sont indifféremment utilisés.

Début de la traduction

Nous avons besoin de votre aide pour rendre Tor plus fort. Mettez en place un relais Tor.

NOTE : Cette FAQ est fournie à titre informatif et ne constitue pas un avis juridique. Notre objectif est de fournir une description générale des questions juridiques autour de Tor aux États-Unis. Du fait des différentes juridictions des différentes pays, les réponses aux questions seront différentes. Par conséquent, s'il vous plaît, n'agissez pas en vous basant sur cette seule information ; si vous avez des problèmes juridiques spécifiques, des questions ou des questions, demander une analyse complète de votre situation avec un avocat autorisé à pratiquer dans votre juridiction. Si vous avez reçu ce document de n'importe où en dehors du site de EFF consulter la FAQ officielle sur le site https://www.torproject.org/eff/tor-legal-faq.html.

Informations générales

A-t-on jamais été poursuivis en justice pour l'utilisation de Tor ?

Non, nous ne sommes pas au courant de personne poursuivie ou de poursuites aux États-Unis juste pour avoir fait tourner un relais Tor. En outre, nous croyons que l'exécution d'un relais Tor - y compris un relais de sortie permet aux gens d'envoyer et de recevoir du trafic de manière anonyme - et est légale en vertu du droit des États-Unis.

Dois-je utiliser Tor ou encourager l'utilisation de Tor à des fins illégales ?

Tor a été conçu pour être un outil pour la liberté d'expression, la vie privée et les droits humains. Ce n'est pas un outil conçu ou destiné à être utilisé pour violer la loi, que soit par les utilisateurs de Tor ou les opérateurs de relais Tor.

Est-ce que l'EFF peut me promettre que je ne vais pas avoir des ennuis pour avoir fait tourner un relais Tor ?

Toutes les nouvelles technologies créent des incertitudes juridiques, et Tor n'y fait pas exception. Nous ne pouvons pas garantir que vous ne serez jamais face à votre responsabilité juridique à la suite de l'exécution d'un relais Tor. Cependant, l'EFF croit fermement que ceux qui mettent en place un relais Tor ne devrait pas être tenu responsable pour le trafic qui passe par ce relais.

Dois-je contacter les développeurs de Tor lorsque j'ai des questions juridiques à propos de Tor ou de les informer si je soupçonne que Tor est utilisé à des fins illégales ?

Les développeurs de Tor sont disponibles pour répondre aux questions techniques, mais ils ne sont pas des avocats et ne peuvent donc pas donner de conseils juridiques. Ils ne sont pas non plus en capacité de prévenir des activités illégales qui peuvent se produire via des relais Tor. En outre, vos communications avec les développeurs de Tor ne sont pas protégés par un privilège juridique, et dans le cadre d'un jugement ou la partie civile pourraient les assigner et obtenir toutes les informations que vous leur donnez.

Vous pouvez nous contacter info@eff.org si vous trouvez face à un problème juridique spécifique. Nous allons essayer de vous aider, mais étant donné la petite taille de l'EFF, nous ne pouvons pas garantir que nous pouvons aider tout le monde.

Est-e que les développeurs de base de Tor peuvent faire des promesses sur la fiabilité des relais Tor qui sont listés dans leur répertoire ?

Bien que les développeurs tentent de vérifier que les relais Tor figurant dans le répertoire maintenu par les développeurs du noyau sont stables et ont une bande passante adéquate, ni eux ni l'EFF ne peuvent garantir la crédibilité ou la fiabilité des personnes qui dirigent ces relais. Les développeurs de Tor se réservent également le droit de refuser la demande d'un inscription d'un relais Tor de figurer dans leur annuaire ou de supprimer n'importe quel relais de leur annuaire pour une raison quelconque.

Relais de sortie

Les relais de sortie soulèvent des problématiques particulières parce que le trafic qui sort d'eux peut être retracée via l'adresse IP de l'équipement. Bien que nous croyions que l'exécution d'un relais de sortie soit légal, il est statistiquement probable qu'un relais de sortie soit utilisé à des fins illégales, ce qui peut attirer l'attention de la justice sur ce relais.

Un relais de sortie peut transmettre du trafic qui soit considéré comme illégal, et le trafic peut être attribué à la personne ayant mis en place le noeud de sortie. Si vous n'êtes pas prêt à faire face à ce risque, un pont ou un n intermédiaire peuvent être une meilleure solution pour vous. Ces relais ne sont pas directement en sortie du trafic vers l'Internet et ne peut donc pas être facilement confondu avec l'origine du contenu prétendument illégal.

Le blog du projet Tor a d'excellentes recommandations pour l'exécution d'une sortie avec le moins de risques possible. Nous vous suggérons de consulter leurs conseils avant la mise en place d'un relais de sortie.

Dois-je exécuter un relais de sortie depuis chez moi ?

Non, si la justice s'intéresse au trafic sortant depuis votre noeud, il est possible votre ordinateur soit l'objet d'une saisie. Pour cette raison, il est préférable de ne pas exécuter de noeud de sortie depuis chez soi ou d'utiliser la connexion Internet de son domicile.

Au lieu de cela, envisager de créer un noeud de sortie dans une entreprise. Associer une adresse IP distincte à votre noeud de sortie, et n'acheminer pas votre propre trafic à travers elle.

Bien sûr, vous devriez éviter de garder des informations sensibles ou personnelles sur l'ordinateur hébergeant votre noeud de sortie, et vous ne devez jamais utiliser cette machine à des fins illégales.

Dois-je dire à mon fournisseur de services Internet que je fais tourner un noeud de sortie ?

Oui. Assurez-vous que vous avez un FAI Tor-friendly qui sait vous utilisez un noeud de sortie et qui vous soutient dans ce but. Cela aidera à assurer que votre accès à Internet ne sera pas coupée en raison d'abus et autres plaintes. La communauté Tor maintient une liste de fournisseurs de services Internet qui sont particulièrement Tor-friendly, ainsi que ceux qui ne sont pas.

Est-ce une bonne idée de laisser les autres savoir que j'ai mis en place un noeud de sortie ?

Oui. Soyez aussi transparent que possible sur le fait que vous avez mis en place un nœud de sortie. Si votre trafic de sortie attire l'attention du gouvernement ou d'un parti privé mécontent, vous attendrez d'eux qu'ils comprennent rapidement et facilement que vous faites partie du réseau Tor et que vous n'êtes donc pas responsable du contenu du trafic. Cela pourrait jouer la différence entre voir votre ordinateur saisi par application de la loi et être laissé tranquille.

Le projet Tor suggère les moyens suivants pour informer sur le fait que vous avez mis en place un nœud de sortie :

Mettez en place un reverse DNS pour l'adresse IP qui indique clairement que l'ordinateur est un relais de sortie.
Mettez en place une note explicative pour expliquer que vous avez mis en place un relais de sortie qui fait partie du réseau Tor.
Si possible, obtenir un enregistrement de l'ARIN pour votre relais de sortie qui affiche comme informations de contact vos coordonnées et non celles de votre FAI. De cette façon, vous recevrez toutes les plaintes pour abus et pourrez y répondre directement. Sinon, essayez de faire en sorte que votre FAI vous transfert les plaintes qu'il recevra pour vous.

Dois-je espionner le trafic en clair qui sort par mon relais Tor ?

Non, vous pouvez être techniquement capable de modifier le code source de Tor ou d'installer un logiciel supplémentaire pour surveiller ou voir en clair le trafic qui qui sort de votre relais. Toutefois, les opérateurs de relais Tor aux États-Unis engagent leurs responsabilité civile et même pénale en vertu des lois d'écoute électronique étatiques ou fédérales si elles surveillent, se connectent ou divulguent les communications des utilisateurs de Tor, les opérateurs non américains peuvent également être soumis à des lois similaires. Vous ne devez pas examiner les communications de personnes sans d'abord en parler à un avocat.

Si je reçois une assignation ou toute autre demande de renseignements de l'application ou toute autre loi relative à mon relais Tor, que dois-je faire ?

Éduquer sur Tor. Dans la plupart des cas, les relais Tor correctement configurés ne fourniront pas de données utiles utile au jugement, et vous devriez vous sentir libre de les éduquer sur ce point.

Dans la mesure où vous ne gérez les journaux de connexion, cependant, vous ne devez pas les divulguer à une tierce personne sans avoir au préalable consulter un avocat. Aux États-Unis, fournir une telle information peut être assimiler au viol de la Loi sur la protection des communications électroniques, et les opérateurs de relais en dehors des Etats-Unis peuvent être soumise à des lois similaires de protection des données.

Vous pouvez recevoir des demandes juridiques où il vous sera interdit par la loi de parler à quiconque de cette demande. Nous croyons que, au moins aux États-Unis, ces bâillons ne vous empêchent pas de parler à un avocat, y compris le fait d'appeler un avocat pour qu'ils vous représentent.

Mon FAI, mon université, etc viennent de m'envoyer une notification DMCA. Que dois-je faire ?

L'EFF a écrit un court modèle de réponse pour vous aider à écrire une réponse à votre FAI, université, etc, pour leur faire connaître les détails des règles de la Digital Millennium Copyright Act, et comment Tor entre en jeu. Notez que modèle se réfère uniquement aux juridictions en vigueur aux États-Unis, et sont donc uniquement destinés à traiter les plaintes du droit d'auteur qui sont basées sur des éléments litigieux liés à un nœud Tor.

Si vous le souhaitez, vous pouvez envisager le fait de soumettre une copie de votre avis au Chilling Effects. Cela nous aidera à identifier les tendances et les questions sur lesquels les avocats pourraient avoir à se concentrer. Chilling Effects encourage des soumissions provenant de personnes situés à l'extérieur des États-Unis également.

L'EFF estime que les relais Tor doivent être protégés de la responsabilité du droit d'auteur concernant les actes de leurs utilisateurs, car un opérateur de relais Tor peut demander une immunité en vertu du DMCA ainsi qu'en vertu des doctrines secondaires de la responsabilité du droit d'auteur. Toutefois, aucun tribunal n'a encore abordé ces questions dans le contexte de Tor lui-même. Si vous n'êtes pas à l'aise avec cette incertitude, vous pouvez envisager d'utiliser une politique de sortie réduite (comme la politique par défaut proposé par le projet Tor) pour tenter de minimiser les types de trafic qui sont souvent les cibles des plaintes de droits d'auteur.

Si vous êtes un relais Tor prêts à se relever le défi et aider à établir un précédent juridique établissant clairement que le simple fait de faire tourner un relais Tor ne crée pas de responsabilité vis à vis du droit d'auteur pour les opérateurs ou leurs fournisseurs de bande passante, l'EFF souhaite que vous la contactiez.

Fin de traduction

Rappel : Pour aider à la mise en place d'un relais Tor en France, veuillez consulter l'association NosOignons http://nos-oignons.net/.

Qu'est ce que le RIPE NCC ?

RIPE Network Coordination Centre est un registre régional d'adresses IP. Il dessert l'Europe et une partie de l'Asie, notamment au Moyen-Orient.(...)Le RIPE NCC propose des outils dont certains sont accessibles au public sur son site web. Ces outils sont utiles aux opérateurs de réseaux IP pour vérifier le bon fonctionnement de leur routage externe BGP, pour aider à la gestion des adresses publiques, pour la vérification de performances du réseau. Parmi les outils publiques nous pouvons citer le projet ATLAS. Source

Qu'est ce qu'une sonde Atlas ?

Pour présenter les sondes et le projet Atlas du RIPE, je ferai une reprise du journal de Stephane Bortzmeyer, publié sur le site Linuxfr, sous Licence CC by-sa.

Les sondes RIPE Atlas sont des petits boîtiers (made in TP-link) qui se connectent au réseau local, contactent leur maître au RIPE-NCC (l'organisme qui gère l'allocation des adresses IP en Europe) et, à la demande du maître, font un certain nombre de mesures actives :
mesure de latence (ping-style)
traceroute
requêtes DNS
analyse de certificats dans les sessions TLS
pas de requêtes HTTP, pas de mesures de capacité du réseau
L'un des principaux intérêts est que ces mesures peuvent être décidées par le RIPE-NCC (qui s'en sert pour tester son infrastructure et ses services, ou pour proposer des services supplémentaires comme DNSmon) mais aussi par les hébergeurs des sondes. Vous en avez une chez vous ? Chaque jour qu'elle est allumée, vous gagnez des crédits et cela vous permet de faire des mesures de votre choix. Vous voulez connaître la latence vers votre site depuis le Japon ? Le temps de réponse des serveurs DNS de monsieurmichu.fr ? Vous pouvez le faire, via un cliquodrome pas trop mal fichu, ou via une API (REST + JSON, bien sûr). Le code est activement développé. De nombreux articles et publications (un exemple) sont basés sur les résultats de mesures faites par les Atlas.

La sonde utilise évidemment Linux, et le code source est publié sur Github.

En avoir une chez soi ?

Actuellement, elles sont concentrées dans des zones déjà bien assez couvertes et en ajouter plus n'aurait pas forcément d'intérêt. Le projet Atlas cherche aujourd'hui à couvrir les zones sensibles (Syrie, Lybie…) et celles mal couvertes (Afrique, Asie, Amérique du sud…). Toutefois, en France, si on peut en mettre dans un endroit un peu atypique (cœur de réseau, AS non couvert, zone pas bien couverte), cela pourrait s'avérer intéressant.

Pourquoi j'en ai une chez moi

Le but de ces sondes est donc de mesurer finement la qualité de service d'Internet. Quand un ambassadeur RIPE m'a proposé d'en mettre une chez moi, j'ai accepté. Oui, moi qui suit partisan de la vie privée, qui ait des choses à cacher, j'ai donc une sonde Atlas, numérotée, dont l'adresse MAC est enregistrée dans une base de données RIPE pour sa gestion, et dont l'adresse IP (celle de ma box) est géolocalisée et associée à mon pseudo.

La sonde utilise sous Linux, et le code source est publié sur Github. Le code source est donc ouvert. Je n'ai pas regardé mais j'ai confiance dans ce code.

Ma sonde numérotée, mais je suis noyé dans la masse. Si besoin, je suis en mesure d'apprendre et d'ensuite voir et surveiller ce qui est fait au niveau réseau par cette sonde, en analysant les paquets qu'elle envoie et reçoit. En terme de consommation électrique, elle est alimentée via les deux ports USB de la Freebox à laquelle est elle reliée, Freebox qui tourne en permanence, c'est donc infime/transparent.

En ayant cette sonde branchée chez moi, j'ai le sentiment de contribuer de façon très facile à un vaste projet d'intérêt général ; c'est pour ça que je l'ai fait. C'est aussi simple que ça. Et cela m'a incité à écrire cet article, dont le but de cet article était de faire découvrir ce projet et de vous inciter à en savoir plus. Alors n'hésitez pas à creuser le sujet ;-)

Quelques liens pour en savoir plus / approfondir le sujet

Le site officiel Atlas.ripe.net
Un article sur collet-matrat.com
Et si vous installiez une sonde RIPE Atlas pour contribuer à mesurer la qualité de service d'Internet ? sur Zdnet.
Twitter du RIPE_NCC
Blog de Stephane BortzmeyerUne sonde de mesure Internet Atlas à l'Université de Yaoundé au Cameroun
Blog de Stephane BortzmeyerFaire réaliser des mesures par les sondes Atlas

Ce texte est une traduction - libre adaptation du texte (donc non littérale) Account Password Security : Basic Edition publié sur le blog greplinux.

Pourquoi cette traduction

Suite à mes articles
Keepass, TrueCrypt
Les phrases de passe
Des mots de passe que l'on utilise au quotidien...
Free et les mots de passe
Je trouvais que cet article viendrait parfaitement compléter les informations et conseils évoqués dans mes écrits. J'ai donc pris le temps de traduire Account Password Security : Basic Edition en français pour rendre le texte accessible aux non-anglophones. Si vous lisez l'anglais, le site greplinux contient d'autres textes qui viennent compléter la présente traduction.

La version courte

Avoir les mêmes informations d'identifications (nom d'utilisateur et mots de passe) entre de nombreux comptes en ligne est une habitude dangereuse qu'il est difficile de briser. Je propose donc les étapes suivantes comme un moyen acceptable permettant de résoudre le problème :
Utiliser un logiciel de gestion de mot de passe comme KeePassX ;
Lister tous les comptes en ligne dont vous avez connaissance, vous êtes au courant et explorer votre boîte mail pour retrouver des comptes que vous auriez oublier.
Si vous n'avez plus utilité de ce compte, supprimez le, si possible.
Si l'authentification à deux facteurs est disponible, activez-la.
Supprimer toutes informations personnelles non-critique/obligatoire/nécessaire, et plus particulièrement pour les comptes déjà existants.
Générer un nom d'utilisateur unique aléatoire (si vous pouvez le changer) et mot de passe (de la longueur maximale et utilisant le plus de caractères possibles) et conservez le dans le logiciel de gestions de mots de passe (KeePassX).
Si une question de type "sécurité" est nécessaire, créer une entrée dans le logiciel de gestions de mots de passe avec une réponse aléatoire et prenez en note l'emplacement et la question comme entrée de base de données de KeepPassX.
Verrouillez le logiciel de gestion de mots de passe. Utiliser un mot de passe unique, mémorisable et fort.
Profitez de la possibilité de cliquer sur des boutons pour vous connecter à vos comptes !

Motivation et récentes fuites de mots de passe

Pour la plupart des gens, les mots de passe sont plus gênant qu'autre chose. Généralement, c'est ainsi que les gens agissent :
ils ont quelques mots de passe courts faciles à mémoriser, de base, qu'ils utilisent autant possible
ils ne modifient les mots de passe que quand un site les y oblige
les mêmes questions de sécurité / réponses sont utilisées aussi souvent que possible, parfois sans même savoir que ces informations sont faciles à trouver et publiques.

Du point de vue de la sécurité, c'est une catastrophe mais vous pouvez difficilement blâmer ces personnes ; les mots de passe sont vétustes et en plus inefficaces étant donné le nombre de comptes que la plupart des gens ont. En effet, Google est parmi ceux qui tentent de remplacer la sécurité par mot de passe avec une 2ème facteur universel, ou une clé physique U2F parmi d'autres approches.

Nous sommes actuellement dans une situation potentiellement dangereuse où la sécurité de n'importe quel site qui serait compromis pourrait conduire à la compromission de plusieurs autres comptes d'un utilisateur du fait de la réutilisation des titres de compétences. Nous vivons dans cette triste réalité où les sociétés et d'autres entités ont des pratiques de sécurité sous-optimaux voir carrément pauvres qui permettent la violation de nos données, aboutissant à de combinaisons de nom d'utilisateur / mot de passe et des informations personnelles, qui se retrouvent dans les mains de criminels.

LinkedIn est un telle société avec de mauvaises pratiques de sécurité, ce qui a abouti à ce que pas moins de 3,5 millions de mots de passe en clair soit diffusé dans la nature, et les assaillants/attaquant auraient récupérés les adresses mails associés aux mots de passe. Ok, vous êtes un geek tech et vous avez entendu parler ce cette histoire et avait changé votre mot de passe LinkedIn ? Eh bien, c'est un début, mais si vous avez des comptes qui utilisent ce même mot de passe,ils sont aussi à risque. ainsi ; Facebook, en étant conscient de cela, a répondu à l'existence d'une récente faille de sécurité d'Adobe en avertissant ses utilisateurs et de changer les questions de sécurité et d'utiliser un nouveau mot de passe .

Une lumière au bout du tunnel

Même si votre gestion de la sécurité du mot de passe n'est pas aussi mauvaise pire que dans les cas décrits ci-dessus, je vous invite à demander à quel point votre situation est optimale :
Chaque compte a-t-il un nom d'utilisateur unique aléatoire (si possible), avec un mot de passe unique et le plus grand possible
Chaque question de sécurité a-t-elle une réponse générée de façon aléatoire ?
Quand c'est possible, avez-vous activer l'authentification à deux facteurs ?
Un minimum de renseignements personnels sont-ils bien conservés pour chaque compte ?

Cela semble... faisable, non ? Ok peut-être que cela semble absurde et déraisonnable, mais de nos jours il est tout à fait possible de réaliser cela de manière hautement sécurisée, tout en faisant en sorte que ce soit facile à utiliser (au moins plus facile que de se rappeler lequel des vingt variantes d'un mot de passe faible va avec quel site).

Les logiciel de gestion de mot de passe

Le plus gros morceau du puzzle est le logiciel qui gère les mots de passe pour vous. Je vais souligner deux solutions populaires, dont l'une est uniquement en ligne et dont la source fermée et l'autre source en ligne uniquement et ouvert :

KeePassX (multi-plateforme)
KeePassDroid (Android)
MiniKeePass (iOS)
LastPass (multi-plateforme)

Notez que quel que soit votre choix, vous devez utilisez un mot de passe pour accéder à la base de données du logiciel (qui contient tous les mots de passe) ! Cela va être l'un des derniers mots de passe que vous aurez besoin mémoriser et sera également l'un des goulots d'étranglement en matière de sécurité.

KeePassX Même si vous n'êtes pas familier avec ce genre de logiciel - il est assez simple, mais il y a quelques détails à connaître pour tirer le meilleur parti de la sécurité qu'il offre.

Pour les smartphones Pour accéder à votre base de données de mot de passe sur votre appareil mobile, vous aurez besoin d'une application appropriée ; pour Androids, je préfère KeePassDroid.

LastPass LastPass est une version équivalente en ligne à KeePassX ; il suit le même concept, sauf le logiciel de gestions de mots de passe chiffré est stocké sur leurs serveurs. À mon avis, c'est une bonne raison pour utiliser une solution stocké localement comme KeePassX sur LastPass. Tandis que KeePassX est open source (ce qui signifie que vous avez la possibilité de vérifier le code source vous-même) et local (ce qui signifie votre sécurité est toujours entièrement entre vos mains) LastPass vous oblige à faire confiance à la sécurité du code source fermé de LastPass, ce qui exige également de faire confiance dans la sécurité de la version web. Et rappelez-vous qu'une partie de la motivation pour utiliser des mots de passe uniques pour nos comptes en ligne est lié au fait qu'on ne peut faire confiance aux services en ligne quand à leurs sécurité. Cela étant dit, il n'y a pas eu d'attaques contre LastPass à ce jour qui ait conduit à de vérifiable fuite d'information des informations des comptes, et comme leur base d'utilisateurs serait probablement très fortement diminuer si une tel incident arrivait, ils ont un intérêt financier à faire en sorte que leur sécurité soit optimale.

Au moment de l'écriture de ce texte, je n'ai pas utilisé LastPass moi-même, mais il a assez bonne réputation et suit les mêmes principes que KeePassX. Noter qu'il semble que leur application mobile soit payante.

L'authentification à deux facteurs

Il s'agit d'une méthode de renforcement de la sécurité de l'authentification par mot de passe ; des services comme battle.net, Google, GitHub, Twitter, Facebook, etc l'offrent tous sous une certaine forme. L'idée est que vous recevez, soit via un dispositif physique spécifique, soit via une application mobile que vous avez installé, ou encore via un message SMS, le "second facteur" d'authentification à fournir, généralement un code à usage unique. En d'autres termes, non seulement vous devez connaître le mot de passe, mais vous devez également être en possession d'un dispositif physique afin de vous connecter à un compte. Ce n'est pas la sécurité absolue, des logiciels malveillants ciblées peuvent encore faire des choses comme effectuer des attaques man-in -the-middle pour voler les informations d'identification de l'utilisateur. Pourtant, cela va vous prémunir contre la vulnérabilité des comptes partageant les mêmes mots de passe.

Presque tous les systèmes d'authentification à deux facteurs que j'ai rencontré était compatible avec Google Authenticator (Android et iOS) , et sa mise en place peut être fait simplement en scannant un QR code avec votre smartphone. Une fois mis en place, il vous suffit de tirer vers le haut l'application lors de la connexion et après avoir fourni votre nom d'utilisateur et mot de passe, vous aurez également fournir le code à usage unique que vous recevez.

Trouver les comptes

Une fois que vous serez familiariser avec votre logiciel de gestion de mot de passe, la voie vers la réalisation des objectifs ci-dessus est visible. Malheureusement vient maintenant la partie la plus fastidieuse ; en fonction du nombre de compte en ligne que vous avez accumulé cela pourra prendre une bonne partie de la journée. Vous devez traquer autant de comptes que possible ; et cela pourrait prendre beaucoup de temps. Pensez-y : le maillon faible pourrait venir d'un forum sur lequel vous vous êtes inscrit au hasard de votre jeunesse, quand vous n'aviez pas de notion de sécurité ; forum qui est toujours en place, actif, et si vous avez utilisé des informations d'identification (login/mot de passe) communes avec d'autres sites, le problème est évident.

Vous pouvez vous rappeler de la plupart des sites sur lesquels vous vous êtes récemment connectés, mais bon courage pour traquer tous les comptes que vous avez oublié. Fouillez dans votre email pour y chercher des termes comme « nom d'utilisateur », « vérifier », « vérification », « noreply », « compte », « bienvenue » et ainsi de suite et y retrouver les comptes que vous avez créer. Si vous aviez plusieurs comptes de messagerie, il faut le faire pour les différents comptes.

Sécurisation des comptes

Quand vous avez retrouvez les comptes :
Cherchez à vous connectez dessus ; utiliser les options de récupération de mot de passe si nécessaire
Si vous n'avez pas besoin de ce compte, le supprimer.
Générer des mots de passe sécurisés (long et aléatoires) et stocker les dans votre logiciel de gestion des mots de passe.
Supprimer les informations personnelles inutiles, en particulier sur les sites dont vous n'avez plus l'utilité.
Si une question de sécurité est nécessaire, créer une entrée dans le logiciel de gestions de mots de passe avec une réponse au hasard ; ajouter une note sur la question du site et la réponse.
Si le site offre une authentification à deux facteurs, mettez là en place.

Conclusion

Il s'agit là de l'essentiel de ce qui doit être fait. Une fois fini, vous aurez une base de données chiffrée qui contient des enregistrements pour l'ensemble de votre présence en ligne. Bien que cela signifie qu'il ya un point de défaillance unique, il est beaucoup plus facile de sécuriser ce maillon faible (surtout si vous avez choisi une base de données de mot de passe local comme KeePassX ) plutôt que d'avoir potentiellement des centaines de points de défaillance.

A noter qu'il est possible de synchroniser les bases de données de ce logiciels sur les différents appareils sur lesquels ils sont connectés.