Sécurité et discretion

[PABerryer]

Bonsoir,

 

Cela fait quelques temps que je voulais lancer ce sujet.

 

Comme vous le savez nos gouvernants font n'importe quoi, et cela empire avec ces affaires de terrorisme qui sont le prétexte rêvé pour encore plus de n'importe quoi liberticide.

 

Face à ces menaces je souhaiterai que ce fil serve à échanger vos conseils, vos idées, vos outils pour:

 

- Assurer la sécurité de nos outils informatique (ex générateur de mots de passe)

- Minimiser au plus sa visibilité sur le net.

 

 

L'idée est que n'importe qui, même non ingénieur informaticien, puisse mettre en place des solutions pour être un peu plus tranquille face à ceux qui nous gouvernent.

 

[Neomatix]

VPN systématique et multiples pseudos.

Pas du tout comme moi qui utilise le même pseudo pour tout et connecte le VPN quand ça me chante.

[Nigel]

 Moi j'espère être fiché S. Je trouve ça cool. 

 

 Tiens, je vais faire une vidéo qui appelle à la sécession rien que pour me faire ficher !

 

 Puis quand j'irai en taule, je serai un héros. 

[madaniso]

C'est une question complexe pour ma part car d'un coté, nous avons le débat qu'on voit partout sur les sites high tech concernant les données personnelles et puis il y a l'autre coté, celui plus sombre qui permet de faire des choses impossibles dans le monde réel contrôlé par l'Etat.

 

Pour la première partie, je trouve que tout le débat autour des données personnelles est un peu stupide. La majorité de ses données servent à créer un profil virtuel de l'individu pour ensuite vous proposer des publicités ciblées. C'est une évolution normale de la publicité.

 

D'ailleurs, tout ces sites insistent sur le problème des données personnelles gérés par de grandes entreprises américaines, mais oublient toujours de dire qu'à la base, personne ne vous force à vous inscrire sur Facebook ou Twitter. Ils essayent de faire avaler la pilule pour faire une loi, que l'Etat vienne mettre son nez là dedans etc et les gens approuvent pour la majorité car le deal avec l'Etat, c'est de lui donner notre liberté contre soi disant plus de sécurité. Il suffit simplement de faire preuve de bon sens et d'être prudent sur le web.

 

Je donne donc finalement raison aux gens qui disent que quand on ne fait rien de mal on a rien à cacher. Le petit caprice contre Facebook et son nouveau panneau de gestion du profil sorti il y a deux ans un peu près, c'est du pipeau. Cela a permis aux responsables de satisfaire leurs égos et aux citoyens de se sentir sécurisés. J'ai même lu récemment que sur Facebook certains actions de sécurisation du profil étaient volontairement ralenties pour faire croire à l'internaute qu'il se passait un truc énorme en arrière plan pour crypter ses données blablabla.

 

Donc pour conclure sur cette première partie, pour moi, ça ne sert à rien d'avoir 36 pseudos et mot de passe. J'ai bossé 3 ans chez un opérateur télécom, si vous saviez le nombre de gens qui ne changent pas le code PIN par défaut et ne verrouillé même pas leur smartphone par un code, c'est fou. 

 

Si vous êtes une entreprise par contre, évitez les sauvegardes sur les clouds d'Apple, Google, Microsoft, Amazon... Surtout si vous êtes une petite start up avec un bon concept et achetez vous un NAS. #modeparano

 

Pour la seconde partie, des choses qu'on peut vous reprochez, vous avez TOR, c'est pas mal si on cherche de la drogue, des armes, des tueurs à gages, etc. Je vais pas poster les URL ici mais en cherchant un peu sur le web classique on trouve des URL .onion facilement.

[PABerryer]

VPN systématique et multiples pseudos.

Pas du tout comme moi qui utilise le même pseudo pour tout et connecte le VPN quand ça me chante.

 

Quel fournisseur de VPN?

[Neomatix]

J'utilise NordVPN sur les conseils de h16. Ce n'est pas très cher, la liste des serveurs dispos est fournie, j'en suis satisfait

[Rincevent]

Je donne donc finalement raison aux gens qui disent que quand on ne fait rien de mal on a rien à cacher.

Tu ne fais rien de mal ? Alors donne ton identité, celle de tes parents, ton adresse, le digicode de ton immeuble, ton numéro de téléphone, ton numéro de compte courant ainsi que son solde, ton numéro de carte bancaire, ainsi que les résultats de ta dernière analyse sanguine accompagné d'une coloscopie.

Si tu ne le fais pas, c'est que tu ne crois pas ce que tu prêches (et c'est Mal).

 

Pour la seconde partie, des choses qu'on peut vous reprochez, vous avez TOR, c'est pas mal si on cherche de la drogue, des armes, des tueurs à gages, etc. Je vais pas poster les URL ici mais en cherchant un peu sur le web classique on trouve des URL .onion facilement.

Toutes ces choses sont illégales, et la modération désapprouve formellement l'utilisation de moyens d'anonymisation comme TOR à de telles fins.

[Poil à gratter]

Il me semble qu'il y avait déjà eu un fil similaire, mais bon, en gros:

 

- utiliser un générateur de mots de passe: je suis content avec Lastpass

- l'associer à un second facteur d'authentification: j'utilise une Yubikey

- associer tous ses comptes à un second facteur: en général Google Authenticator ou Microsoft Authenticator (Apple je ne sais pas)

- utiliser un VPN: Zenmate 

- utiliser des bloqueurs de publicité/tracking: Ghostery & uBlock Origin

- tout passer en HTTPS: HTTPS everywhere.

- encrypter ses fichier cloud: Boxcryptor

- utiliser Tails Linux pour les trucs sensibles

[Cugieran]

Tu ne fais rien de mal ? Alors donne ton identité, celle de tes parents, ton adresse, le digicode de ton immeuble, ton numéro de téléphone, ton numéro de compte courant ainsi que son solde, ton numéro de carte bancaire, ainsi que les résultats de ta dernière analyse sanguine accompagné d'une coloscopie.

 

Qui se charge de la coloscopie ? 

[h16]

Bonsoir,

 

Cela fait quelques temps que je voulais lancer ce sujet.

 

Comme vous le savez nos gouvernants font n'importe quoi, et cela empire avec ces affaires de terrorisme qui sont le prétexte rêvé pour encore plus de n'importe quoi liberticide.

 

Face à ces menaces je souhaiterai que ce fil serve à échanger vos conseils, vos idées, vos outils pour:

 

- Assurer la sécurité de nos outils informatique (ex générateur de mots de passe)

- Minimiser au plus sa visibilité sur le net.

 

 

L'idée est que n'importe qui, même non ingénieur informaticien, puisse mettre en place des solutions pour être un peu plus tranquille face à ceux qui nous gouvernent.

VPN ( http://www.nordvpn.com/, ...)

Truecrypt (http://truecrypt.sourceforge.net/ en s'assurant que la version <7.2) - https://www.grc.com/misc/truecrypt/truecrypt.htm

Lastpass ou mieux Keepass - http://keepass.info/

[Rübezahl]

- Assurer la sécurité de nos outils informatique (ex générateur de mots de passe)

- Minimiser au plus sa visibilité sur le net.

Petite compil ici : http://uplib.fr/wiki/VPN

preneuse de tous compléments

[Hayek's plosive]

What? TOR est interdit?

[h16]

TOR pour aller sur facebook.

[Nofreedom]

TOR pour aller sur facebook.

 

C'est un peu comme porter une burka sur le trajet pour un camping naturiste.

[PABerryer]

J'utilise NordVPN sur les conseils de h16. Ce n'est pas très cher, la liste des serveurs dispos est fournie, j'en suis satisfait

 

Merci pour l'info.

 

Il me semble qu'il y avait déjà eu un fil similaire, mais bon, en gros:

 

- utiliser un générateur de mots de passe: je suis content avec Lastpass

- l'associer à un second facteur d'authentification: j'utilise une Yubikey

- associer tous ses comptes à un second facteur: en général Google Authenticator ou Microsoft Authenticator (Apple je ne sais pas)

- utiliser un VPN: Zenmate 

- utiliser des bloqueurs de publicité/tracking: Ghostery & uBlock Origin

- tout passer en HTTPS: HTTPS everywhere.

- encrypter ses fichier cloud: Boxcryptor

- utiliser Tails Linux pour les trucs sensibles

 

Merci bcp.

 

VPN ( http://www.nordvpn.com/, ...)

Truecrypt (http://truecrypt.sourceforge.net/ en s'assurant que la version <7.2) - https://www.grc.com/misc/truecrypt/truecrypt.htm

Lastpass ou mieux Keepass - http://keepass.info/

 

Merci. Pourquoi faut il prendre une version plus ancienne que la 7.2?

[Poil à gratter]

Merci. Pourquoi faut il prendre une version plus ancienne que la 7.2?

Parce qu'arrivé après la 7.2 il y eu un message bizarre sur leur page qui semblait indiquer que le chiffrage avait été volontairement compromis. Donc on ne sait pas trop si c'est encore sûr.

 

Mais bon j'utilise VeraCrypt sans être sûr à 100% de la fiabilité mais mon but c'est juste que si je me fais voler mes disques de backup le voleur n'aura pas accès aux données et c'est pas un vulgaire malfrat qui va pouvoir exploiter une faille de crypto non triviale.

 

Je me rends compte que j'ai oublié Malwarebytes: t'as beau prendre des précaution si ta machine se fait véroler ça ne servira à rien du tout

[madaniso]

1. Tu ne fais rien de mal ? Alors donne ton identité, celle de tes parents, ton adresse, le digicode de ton immeuble, ton numéro de téléphone, ton numéro de compte courant ainsi que son solde, ton numéro de carte bancaire, ainsi que les résultats de ta dernière analyse sanguine accompagné d'une coloscopie.

Si tu ne le fais pas, c'est que tu ne crois pas ce que tu prêches (et c'est Mal).

 

2. Toutes ces choses sont illégales, et la modération désapprouve formellement l'utilisation de moyens d'anonymisation comme TOR à de telles fins.

 

1. L'Etat connait déjà toutes ces informations sur moi, mais je vois ce que tu veux dire.

 

2. Je suis donc le seul libertarien sur le forum

[Nigel]

Je crois surtout que tu es le seul à ne pas avoir encore saisi ce qu'était le libéralisme. 

[Tremendo]

Nigel = madasino, c'est un schizo

[Citronne]

Loin de moi l'idée de faire un hors sujet mais ce mec est fou.

Je vais essayer quelques uns de ces systèmes. Je connais déjà quelqu'un qui utilise lastpass et qui me dira comment l'utiliser.

[Lancelot]

Lastpass c'est cool, par contre si on se retrouve sur une machine où il n'est pas installé (typiquement au boulot "connecte-toi en vitesse je vais te montrer comment on fait") on n'a plus accès à rien, ce qui peut être un peu lourd parfois. Mais bon visiter ses comptes sur un pc au pif ce n'est pas très sain de toutes manières.

[Nigel]

Nigel = madasino, c'est un schizo

 

 Hein ?

[h16]

Donc on ne sait pas trop si c'est encore sûr.

Depuis le code a été audité sans qu'on ait rien trouvé de probant. Mais bon.

[h16]

Je me rends compte que j'ai oublié Malwarebytes: t'as beau prendre des précaution si ta machine se fait véroler ça ne servira à rien du tout

+1

[h16]

Lastpass c'est cool, par contre si on se retrouve sur une machine où il n'est pas installé (typiquement au boulot "connecte-toi en vitesse je vais te montrer comment on fait") on n'a plus accès à rien,

Tututut

Tu vas sur lastpass.com et tu peux te connecter à ton vault. Ceci dit, il faut avoir accès à ton mail. Incidemment, c'est totalement exclu (et con) sur une machine publique.

[(V)]

 

 TOR, c'est pas mal si on cherche de la drogue, des armes, des tueurs à gages, etc. Je vais pas poster les URL ici mais en cherchant un peu sur le web classique on trouve des URL .onion facilement.

 

Vraiment ?

 

...

 

J'ai l'impression que TOR est un fantasme d'ados, qui au final l'utilisent au mieux pour acheter un peu de coca ou de caca. Mais le reste, je n'y crois pas une seconde.

[(V)]

TOR pour aller sur facebook.

 

quand on habite dans un pays où il y a beaucoup de barbus, ou chinois

genre pour contourner la censure (?)

[(V)]

 

 

Face à ces menaces je souhaiterai que ce fil serve à échanger vos conseils, vos idées, vos outils pour:

 

- Assurer la sécurité de nos outils informatique (ex générateur de mots de passe)

- Minimiser au plus sa visibilité sur le net.

 

 

L'idée est que n'importe qui, même non ingénieur informaticien, puisse mettre en place des solutions pour être un peu plus tranquille face à ceux qui nous gouvernent.

 

Ce qui pourrait être intéressant, c'est aussi de voir quels moyens et protocole on pourrait assez vite mettre en place si internet devenait totalement contrôlé ou inutilisable.

Le jour où plus personne ne peut communiquer en utilisant le net ou téléphone. On fait comment. Qui contacte qui, par quel moyen physique, dans quel ordre, quelles actions précises pour regrouper / réorganiser les forces libérales survivantes du cataclysme terroriste ou étatiste ou autre.

 

?

[Rübezahl]

En cas de gros gros pépin, la soluce risque de se trouver du coté de l'internet hertzien.

Et les matos pour ça progressent en permanence (coûts, taille, conso, interopérabilité, etc).

 

[Poil à gratter]

Depuis le code a été audité sans qu'on ait rien trouvé de probant. Mais bon.

Mouais, vu qu'on parle de trucs que quelques dizaines de personnes dans le monde maîtrisent vraiment, on n'est jamais sûrs de rien de toutes façons. Mais comme je disais le but c'est de se protéger des criminels de droit commun: pour quelqu'un qui a des secrets d'état à protéger je n'ai pas de solution

 

Lastpass c'est cool, par contre si on se retrouve sur une machine où il n'est pas installé (typiquement au boulot "connecte-toi en vitesse je vais te montrer comment on fait") on n'a plus accès à rien, ce qui peut être un peu lourd parfois. Mais bon visiter ses comptes sur un pc au pif ce n'est pas très sain de toutes manières.

Tututut

Tu vas sur lastpass.com et tu peux te connecter à ton vault. Ceci dit, il faut avoir accès à ton mail. Incidemment, c'est totalement exclu (et con) sur une machine publique.

Oui voilà on peut se connecter à Lastpass en ligne et accéder au vault, sauf que dans mon cas ça ne sert à rien car je dois avoir un port USB pour la Yubikey Mais bon c'est possible aussi d'utiliser Duo ou Toopher avec Lastpass et  ils passent par le mobile pour le second facteur d'authentification. Il y a aussi l'option d'utiliser l'application Lastpass pour smartphone pour disposer de son vault sur smartphone (même si dans mon cas le NFC de ma Yubikey ne veut pas fonctionner avec mon smartphone... maudit je suis). En revanche je suis assez circonspect sur la pertinence du truc: un smartphone ça se fait voler assez facilement. Donc il faut penser à régler l'application pour se fermer rapidement.

 

Sinon ça me fait penser à une autre astuce de sécurité quand on est en voyage ou dans un lieu public: utiliser des mots de passes à usage unique. C'est disponible gmail et outlook: il faut aller dans les options de compte et on peut imprimer des mots de passe à usage unique. Ça sert quand on est sur un ordinateur public ou pas sûr: même s'il y a un keylogger le mot de passe capté ne servira à rien car il est invalidé après usage.

 

Bon par contre évidemment que c'est lourd et pas pratique: taper les 6 chiffres d'un authenticator à chaque login, taper un mot de passe à usage unique ou insérer sa Yubikey dans le port USB tous les jours c'est très lourdingue. Mais bon la sécurité à un coût.