Gestionnaire de mots de passe?

Votre adresse email est déjà entre les mains d'annonceurs alors prendre le "risque" de la donner à nouveau pour la bonne cause ne me dérange pas plus que ça ...

C'est vrai que sur Facebook on peut savoir qui est en vacance et à quel moment c'est un outil super pratique pour les cambrioleurs

On peut faire un mix:

mots de passe dans un fichier texte que l'on met dans un volume crypté avec Truecrypt

(qui permet même de placer un 2e volume "hidden" dans le 1er!); le tout sur une clé usb

Mais il faut un mot de passe pour monter le volume ! :cry:

Pour compliquer: fichier dans une archive zip ou rar avec un autre mot de passe :D:cry:

Finalement autant tout mettre sur une feuille de papier soigneusement rangée....à condition de se souvenir de l'endroit où on l'a rangée

Une feuille de papier qu'on transporte donc avec soi en tout lieu ?

Ce n'est pas l'idéal !

Surtout si on est parti pour une semaine de kayak ou même de vélo-tourisme. On aura plus de chances à sécher une carte SD qu'un bloc notes écrit à l'encre.

TrueCrypt qui est bien utilisable et utilisé malgré les rumeurs sur sa disparition, est pas mal, surtout qu'on résout à la fois le problème de mots de passe et du restant des données d'un coup. On peut s'amuser avec les volumes cachés mais je ne vois pas bien l'intérêt.

Télécharger la version 7.1a de TC février 2012.

Ne pas télécharger la version suivante qui est une leurre.

Quelques informations sur l'affaire TrueCrypt

Il est important du coup, que les sauvegardes soient également encryptées. A partir de là, on est plus à l'aise en éparpillant ses sauvegardes un peu n'importe où. Perso, j'ai toujours au moins un disque de sauvegarde où je me trouve: en ville, à la campagne etc et cela évite de déplacer ses sauvegardes en même temps que ses données.

J'ai passé un weekend à mettre ça en place, mais une fois que c'est rôdé, ça devient un automatisme. En plus on est plus enclin a utiliser chaque mot de passe pour une seule application. Il faut savoir que la plupart de vols de mots de passe arrivent quand c'est un site qui se fait voler et le pirate teste les mots de passe sur d'autres applications.

Il va de soi qu'on garde une copie du programme TrueCrypt à l'extérieur du fichier sauvegardé !

Après, il ne faut un petit mot de passe pour la mise en veille de l'ordinateur car il est possible qu'il se mettra en veille, le volume crypté ouvert.

Une attaque contre une machine avec le volume crypté ouvert, va dévoiler le contenu sous forme non-crypté dans un volume virtuel. Par conséquent, il faut un peu d'imagination pour déposer les identifiants dans un fichier dont l'emplacement ne saute pas aux yeux. Même si c'est un fichier html, on peut changer l'extension et il vaut mieux qu'il ne soit pas connu par le navigateur internet par exemple. Plus on a de données sur son disque encrypté, plus le pirate aura du mal à trouver le fichier de clefs !

Un détail à ne pas oublier est le cas de son propre décès ou disparition. Même une clef dans un testament déposé en bonne et due forme n'est pas toujours accessible aux ayant-droits lorsqu'ils en ont le plus besoin. On peut avoir des carnets d'adresse inaccessibles ou comptes en banque et assurance-vie en déshérence !

Pour revenir au monde des vivants, il y a le projet TCNext et je m'y mettrai, mais pour le moment TC est "assez bon". Pensez à effectuer une sauvegarde avant toute installation d'un logiciel de cryptage et s'en être habitué.

Paul_Wi11iams tu continues à utiliser TrueCrypt et le message d’avertissement sur leur page "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" ne t'inquiète pas ?

Bon ok il doit bien fonctionner même pour une version datant de 2012 mais si un hacker à découvert depuis une faille de sécurité (que personne ne dévoilera) ce qui est écrit sur la page dit clairement qu'aucun correctif ne sera fourni ...

Sinon j'ai essayé un autre clone de TrueCrypt: VeraCrypt qui marche bien et il y a aussi CipherShed mais je ne connaissais pas TCNext je veux bien voir ce que ça donne.

Paul_Wi11iams tu continues à utiliser TrueCrypt et le message d’avertissement sur leur page "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues" ne t'inquiète pas ?

 

Bon ok il doit bien fonctionner même pour une version datant de 2012 mais si un hacker à découvert depuis une faille de sécurité (que personne ne dévoilera) ce qui est écrit sur la page dit clairement qu'aucun correctif ne sera fourni

C'est bien pour ça que j'ai mis le lien pour l'affaire TrueCrypt pour bien expliquer.

En effet c'est la dénonciation de TrueCrypt qui est sujet à doute et qui a fait grand bruit à l'époque. D'autant plus que c'était les auteurs qui l'ont "invalidé" sans explication technique valable. D'ailleurs, la célèbre phrase que tu as citée contient "Not Safe As", qui pour beaucoup, suggère que son auteur voulait faire part des pressions d'une certaine agence américaine qui a reçu de la publicité de la part de Edward Snowden. Pourquoi faire confiance aux autres logiciels de cryptage qui n'ont aucune garantie réelle de toute façon ?

Une éventuelle faille pourrait porter sur son algorithme, mais pas sur le logiciel qui est libre et compilable. Son dernier audit n'a montré aucune faille. En plus le fait de croire nécessaire d'auditer un logiciel supposé caduc est une information en soi.

L'algorithme est par nature inattaquable par un pirate dans le sens classique du terme. Il faudrait une brèche mathématique qui est d'une autre envergure !

A mon petit niveau, peu importe. Si pour ouvrir mes fichiers, il faut cent ans ou cent secondes de travail par un super-ordinateur, ce n'est pas un pick-pocket du Net (ou un voleur dans un train) qui me fera peur.

N'oublies pas que la plupart des gens ne prennent aucune précaution et font des cibles bien plus molles. Beaucoup utilisent le même mot de passe partout et pour certains identifant=mdp !!

(Oui. j'ai vu le cas à deux occasions). Puis il y a celle pour qui l'unique mot de passe = ISFCSG parce que plus long serait trop dur à mémoriser.

Pour éviter tout risque d'une version frelatée de TC, je donne un lien de téléchargement validée de TC pour tous les supports:

github.com/AuditProject/truecrypt-verified-mirror?files=1

Je déconseille l'usage des volumes imbriquées, plausible denial etc (trop compliqué et sujet à surprises techniques). Il suffit d'utiliser la version "débutante" avec un fichier conteneur. Si tu as vraiment peur qu'un pirate se serve de la cache du clavier pour sortir un mot de passe, il est possible d'en saisir une partie sur un "clavier" afficher sur l'écran comme le font les sites bancaires.

Les faiblesses de TrueCrypt ont été résolues mais le projet "réparé" porte désormais le nom de VeraCrypt.

Moi j'ai un fessebook

C'est un petit carnet à spirales qui se met dans la poche arrière d'un jean au niveau des fesses.

 

remarques : les spirales ne sont pas obligatoires

Et dès qu'on y touche on prend une grosse baffe ?

Pas trop grosse la baffe sinon un bon hacker réussira à récupérer les empreintes digitales sur sa joue !

Une feuille de papier qu'on transporte donc avec soi en tout lieu ?

Non, Pejive a dit « autant tout mettre sur une feuille de papier soigneusement rangée....à condition de se souvenir de l'endroit où on l'a rangée ». Soigneusement rangée. Donc on se balade surtout pas avec.