Suivez les discussions sur : Twitter Facebook RSS   Inscrivez-vous gratuitement à la newsletter : Newsletters   Utilisez la recherche :
PlanèteMembres  |  Mission

Forums de la communauté des investisseurs heureux

Discussions courtoises et réfléchies sur l’investissement patrimonial pour s’enrichir, générer une rente et atteindre l’indépendance financière

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Attention Cette page affiche seulement les messages les plus réputés de la discussion.
Flèche Pour voir tous les messages et participer à la discussion, cliquez ici.

[+1]    #1 12/05/2014 10h21

Membre
Top 20 Réputation
Réputation :   678  

Un sujet d’actualité.
La Sécurité sur Internet, quels logiels utilisez vous pour vous protéger?

Il s’agit d’un partage mon expérience sur le sujet. Ça peut en intéresser quelques uns.
C’est peut être un peu long--- j’ai résumé au maximum, il y a une foule d’information.

Après une recherche sur le forum "Les  Investisseur Heureux"et j’ai trouvé cette file.
Xelleon PLC : sécurité internet à fort potentiel ?

La file fait référence a/aux sociétés cotées en bourse en particulier

…/…l’action Xelleon : j’ai vu qu’elle était conseillée par http://trading-experience.net/WordPress/?p=4735, sauf que si cette technologie n’est pas vraiment sûre et jusqu’à présent tout à pu être hacké, l’entreprise ne vaudra plus grand chose ? …/…

Rien a voir avec ma préoccupation actuelle: La sécurité de mes/nos ordinateurs, de nos connections sécurisées sur la toile, et également la solidité de nos mots de passe, et anti virus.

Anti Virus j’ai commencé avec Norton sur mon deuxième PC en 1985, (mon premier PC 1981 était un Commodore) voici a quoi cela ressemblait: https://www.flickr.com/photos/[email protected] … /lightbox/

Peu de virus, a cette époque. "Dans les années 1980, les virus sont apparus en nombre et les premiers chevaux de Troie ont été développés". http://fr.wikipedia.org/wiki/Logiciel_malveillant
J’ai eu par la suite d’autres antivirus dont un, "Mac Affée"que je l’utilise encore aujourd’hui sur mon Notepad de Lenovo MS Dos Windows XP, (car inclus dans mon abonnement Internet ) j’utilise cette machine uniquement pour mes vieux périphériques, un scanner Canon de 1989 et un HP printer que je n’utilise plus du tout.
Je suis presque 100% "paperless", (pas un "sans papier"), pour la préservation des forêts.

Depuis que je me suis converti a APPLE (2008), après être passé par Linux, je n’ai plus jamais utilisé d’anti virus.

Les mots de passe ; comme beaucoup j’utilise des mots de passe compliqué avec les lettres, des chiffres et des caractères spéciaux. J’ai utilisé  quelques fois (pour ne pas dire souvent)le même mot de passe pour différentes adresses  e-mail ---chose a ne pas faire. Il parait que + de 70 % des internautes utilisent le meme mot de passe pour plusieurs site (dits sensibles), site de banques par exemple.

                                --- A ne pas faire---Une grosse erreur.

Un article sur ce sujet en français
Un seul mot de passe pour plus de la moitié des Français ici http://www.numerama.com/magazine/13823- … ncais.html

Ces dernier temps  il y a eu pas mal d’attaques contre les sites internet.
Beaucoup de données d’utilisateurs ont été "hackées" sans parler de certains qui ont même perdu leurs compte et plus.
16 juillet 2012

Hackers posted online what they say is login information for more than 450,000 Yahoo users,
la siuite ---> http://www.cnn.com/2012/07/12/tech/web/ … index.html

janvier 2014, Yahoo ne communique pas le nombre de comptes affectés

Usernames and passwords of some of Yahoo’s email customers have been stolen and used to gather personal information about people those Yahoo mail users have recently corresponded with, the company said Thursday.
Yahoo didn’t say how many accounts have been affected. …/… la suite ici => http://finance.yahoo.com/news/yahoo-ema … 44032.html

orange le 16 janvier r 2014 http://www.ehackingnews.com/2014/02/ora … reach.html
Orange avril 2014 1.3 millon de clients concernés http://www.lightreading.com/spit-(servi … -id/708985
et ceci publié il ya 3 semaines concernant les magasins TARGET aux USA.
http://techcrunch.com/2014/03/13/target … -reacting/

J’ai testé différents softwares parmi les meilleurs il y’a 1 PassWord, et LastPass.
Voici un article en français qui mentionne les deux.  http://www.clubic.com/telecharger-fiche … sword.html

1Password offre 30 Jours "essai gratuit" ensuite faut payer.

LastPass vraiment intéressant si vous ne connaissez pas. (Il y a une premiere version gratuite, the s best for the money ---free---, donations acceptées. Pour la version plus sophistiquée c’est payant.
Le liens pour le download en français ---> https://lastpass.com
Dans toutes les langues cliquer a droite du drapeau US en haut de page sur la droite.

Ici une vidéo très instructive---Il faut comprendre l’anglais … la vidéo est longue ancienne, date de 2010, mais toujours d’actualité --- pour bien comprendre comment tout cela fonctionne, sans pour autant être un spécialiste.
Sa présentation est TRES intéressante surtout pour les profanes (a partir de 52’ 45") petit cours vulgarisé de crypto.
https://www.youtube.com/watch?v=r9Q_anb7pwg#t=3165
Episodes dispo sur YouTube, et sur son site vous trouverez les versions MP3 (prendre la qualité haute) + transcriptions

https://www.grc.com/securitynow.htm

je suis actuellement en train de tout convertir pour devenir utilisateur de PassLast et je regarde également  authy, ça va bien ensemble
http://blog.authy.com/
https://www.authy.com/
http://vimeo.com/71272779
Certain logiciels sont payants 1PassWord n’est pas bon marché mais c’est un des meilleurs (certains disent que c’est le meilleur).

Merci de bien vouloir partager vos expériences et échanger pour enrichir et completer ce post sur la sécurité.

Mots-clés : kackers, phishing, protection contre, vol d'identité, vol de données


'Experience is what you get when you didn't get what you wanted', Howard Marks.

Hors ligne Hors ligne

 

[+1]    #2 12/05/2014 17h09

Membre
Réputation :   25  

crosby a écrit :

Pour les mots de passe, attention car il suffit de s’en servir quelques fois sur réseaux non protégés (par ex. http plutôt que https, etc) et ils peuvent être captés.
Pour moi en générale la meilleure protection c’est de travailler sous linux, et de bien contrôler les ports ouverts sur l’extérieur.

Pour illustrer la partie sur les mots de passe, ici sur le site de notre hôte, les mots de passe sont échangés en clair avec le serveur.

Il faut donc éviter d’utiliser le même mot de passe sur un autre site (surtout en utilisant la même adresse e-mail), sauf si vous n’attachez pas d’importance à la sécurité sur cet autre site.

Votre mot de passe peut facilement être récupéré si vous l’utilisez depuis un Wi-Fi public par exemple.

Sinon, j’utilise aussi uniquement Linux, plus par affinité, même si cela apporte une sécurité accrue.

Hors ligne Hors ligne

 

[+1]    #3 12/05/2014 18h50

Membre
Top 150 Réputation
Réputation :   141  

Question aux utilisateurs de Linux, c’est bien le pare-feu que vous configurez pour interdire des visites indésirables et autres chevaux de troie ?

Dans ce cas MacOS (Unix based) utilise la même méthode à ceci près que la configuration du pare-feu/firewall n’est pas modifiable, à mon niveau de connaissance tout au moins. Sur Mac il existe aussi Filevault qui encrypte vos données, j’imagine avec des clefs assez puissantes, si bien que si un tiers indésiré arrive à accéder à votre machine, il ne pourra pas en consulter le contenu sans connaître votre mot de passe. L’inconvénient de filevault est qu’il ralentit parfois vos applications.

Une remarque a été faite à laquelle je souscris entièrement : lorsqu’on visite des sites "normaux" (mettons si l’on me permet une définition, qui n’enfreignent ni la loi ni la moralité publique) et qu’on évite de répondre à des annonces bidon (j’ai besoin de vous pour toucher 10M d’euros) on est assez peu exposé.

Hors ligne Hors ligne

 

[+1]    #4 12/05/2014 22h49

Membre
Top 150 Réputation
Réputation :   137  

Je suis aussi sous Mac et donc pas d’antivirus. J’utilise le classique et efficace 1password sur Mac, iPad et iPhone avec synchro continue sur DropBox. Je m’astreins à prendre un mot de passe différent pour chaque site et je suis passé au générateur de mots de passe de 1password sur 20 caractères et chiffres / signes etc.

Vigilence particulière sur le mot de passe de la messagerie : si quelqu’un le craque, tous les sites proposent de vous renvoyer votre mot de passe par messagerie et vous avez donc ouvert la porte de tous les sites où vous avez un compte.

Je n’ai pas trop de crainte avec 1password car le fichier est sérieusement crypté et j’ai en plus bien blindé mot mot de passe sur Dropbox.


En pré-retraite du forum…

Hors ligne Hors ligne

 

[+1]    #5 12/05/2014 23h04

Membre
Réputation :   5  

Pour ma part j’utilise Keepass.
Il me stocke tous mes Mdp dans une base de données cryptée et sécurisée.
J’y accède avec un mot de passe suffisamment costaud ET un fichier clé 256 Bits généré de manière aléatoire.
Le fichier clé est stocké sur une clé USB (plusieurs exemplaire dont un stocké dans un coffre). Si on la perd on accède plus à sa base
Le mot de passe principal est mémorisé grâce à une phrase de passe.
Cela consiste à mémoriser une phrase simple et plusieurs règles.
Exemple :
Le petit chaperon rouge va au marché.
Règle 1 : je prends la première lettre de chaque mot.
Règle 2 : je commence le mot de passe par une Majuscule.
Règle 3 : je rajoute le nombre de caractère du 3ème mot à la fin et le chiffre 3 au début

Ce qui nous donne : 3Leptcnrevaaumé8

Cela nous donne un mot de passe suffisamment long et sécurisé.
974 quadrillion years pour le cracké selon How Secure Is My Password? déjà cité

    Length: 16 characters
    Character Combinations: 156
    Calculations Per Second: 4 billion
    Possible Combinations: 123 decillion

Associé avec la clé 256 bits, comme seconde clé d’accès …

Ensuite je stocke ma Bdd sur ma dropbox.
Donc comme cela j’y accède de partout.
Il me suffit pour cela de :
- ma clé USB contenant ma clé cryptée (j’y ai ajouté la version portable de Keepass pour accès en mobilité)
- mon mot de passe principal (retenu à l’aide de la phrase de passe)
- ma base de données (stocké sur DropBox, accès sécurisé par le mot de passe principal)

3 éléments qui ne marchent pas l’un sans l’autre. Chacun est vulnérable mais ne sert à rien seul. La combinaison des 3 est très fiable.
Même après un accès sur un PC de n’importe où (cyber café, à l’étranger …) je pars l’esprit tranquille.

Je pense qu’il serait très difficile de pirater ce système.

Keepass quand à lui me permet de gérer mes accès aux différents sites que j’utilise (launcher ), de stocké les mdp et d’en générer de nouveau de manière aléatoire.

Je trouve la très pratique et très sécurisé. Assez simple à utiliser une fois que l’on a compris le système.
La NSA devrait surement avoir les moyens de cracké tout cela. Mais les données qui s’y trouvent n’en valent pas le jeu de toute façon.
J’ai créé ainsi plusieurs Bdd, perso, travail, pour la maison, avec des clés cryptées différentes, mais le même mot de passe principal pour soulager la mémoire. Car même avec la phrase il en faut quand même un peu.
Mon épouse utilise le même système et nous partageons plusieurs bases. Même si je disparais brutalement elle saura ainsi retrouver les infos importantes (et les autres aussi)

Keepass, outil gratuit ne gère pas les accès réseau. On peut contourner le pb en utilisant de manière astucieuse +ieurs Bdd et une dropbox (ou équivalent).
Tout cela est expliqué sur le site officiel de Keepass. Celui-ci regorge d’infos et d’addon.
Par exemple FavIcon pour agrément des entrées de Bdd.

Je n’ai aucun intérêt financier dans cet outil et je le recommande chaudement.

Note : ne surtout pas utiliser de simple fichier Excel pour stocker ses mots de passe ou les outils des navigateurs. Ce sont de vrais amusements pour pirate en herbe.
Mais cela vous le savez surement wink

Pour naviguer sur le net j’utilise HTTPS everywhere (addon Firefox)
Et évidemment AdBlock : obligatoire pour la tranquillité de navigation sans pub sur le net.
Ca vous le saviez surement aussi wink

Ps :si certains sont intéressés je peux donner quelques liens qui m’ont servis à élaborer ma stratégie

Dernière modification par Champflo (12/05/2014 23h06)

Hors ligne Hors ligne

 

[+1]    #6 12/05/2014 23h37

Membre
Réputation :   22  

sat a écrit :

Question aux utilisateurs de Linux, c’est bien le pare-feu que vous configurez pour interdire des visites indésirables et autres chevaux de troie ?

Attention au sentiment de sécurité que peut inspirer le pare-feu. Effectivement il va limiter le flux entrant aux seuls services utiles de votre machine et ainsi éviter les attaques sur des vulnérabilités de fonctions non utilisées. Pour le flux sortant, les chevaux de Troie et autres utilisent de toute façon des ports standards (http, smtp) pour passer inaperçus.
Solutions : être à jour des màj de sécurité et, comme dit ailleurs, être vigilant à ce qu’on installe.
NB : ça n’a empêché mon serveur NAS (sous linux aussi) de se faire hacker récemment  :’-(
NB2 : +1 pour KeePass


Je ne joue plus

Hors ligne Hors ligne

 

[+1]    #7 14/05/2014 14h49

Membre
Réputation :   65  

Quelques conseils pour le surf sur internet, les plus importants selon moi :
- Ne pas croire aux offres trop belles pour être vraies (! arnaque).
- Les mails alarmistes vous demandant de mettre à jour des infos personnelles sont souvent du phishing, ne pas cliquer sur les liens.

- Le mot de passe le plus important est celui de votre boîte mail, il doit être unique. Il vaut mieux avoir un mot de passe simple et identique pour tous les forums mais différent de celui de son adresse mail que d’avoir un mot de passe super complexe mais identique entre les forums et son adresse mail.

- Garder ses logiciels à jour, en particulier son système d’exploitation (attention Windows XP n’est plus supporté, il n’est donc plus sûr même avec un antivirus), son navigateur, Adobe Flash, Adobe Acrobat. Généralement il n’y a rien à faire, ces logiciels se mettent à jour automatiquement par défaut mais il peut être utile de vérifier le statut de Windows Update.

- Eviter au maximum les wifi publics pour des opérations sensibles.

- Ne pas télécharger de crack, de logiciels piratés (ils contiennent souvent des malwares) ou des plug-in/modules activeX pour le navigateur.

- Eviter de laisser enregistré le numéro de sa CB sur les sites marchands (malheureusement certains sites ne jouent pas le jeu).

Dernière modification par NicolasV (14/05/2014 14h54)

Hors ligne Hors ligne

 

[+1]    #8 14/05/2014 15h23

Membre
Top 50 Réputation
Réputation :   572  

MGA a écrit :

Je vous encourage à tester vos éventuels passwords sur des sites pour tester leur solidité, tel que: How Secure Is My Password?
Vous pourriez avoir des surprises, à savoir que Mig+1uel est moins securisé que Miguel007 car il a moins de caractères.

Attention avec ces sites inutilement alarmistes… Ils sont là pour vendre de la peur (et parfois dire de grosses bêtises)

Mig+1uel n’est pas moins sécurisé que Miguel007 pour la bonne et simple raison qu’aucun cracker ne va travailler sur l’ensemble du code ASCII. En terme de nombre de combinaisons, le résultat est sensiblement le même, mais jamais un cracker ne va perdre son temps avec des caractères particuliers alors que 0.1% de la population en utilise.
Un cracker utilisera par contre une attaque par dictionnaire, et Miguel007 tiendra à peine un instant.

De plus, les temps donnés représentent quoi ? le temps qu’il faut pour tester la totalité des mots de passes si on dispose des algos, des seeds et de la base de donnée.
Bref, ça n’est applicable dans quasiment aucun cas (et surtout pas dans le cas d’une simple connexion à un site web)


La vie d'un pessimiste est pavée de bonnes nouvelles…

Hors ligne Hors ligne

 

[+2]    #9 27/05/2014 10h16

Membre
Réputation :   10  

Bonjour,

Pour ce qui me concerne, je commencerai par rappeler que la mise à jour automatique du système d’exploitation Windows (ou iOS/Mac) ne devrait pas être optionnelle : des mises à jour de sécurité il y en a plusieurs tous les jours. Activez-les !
Par dessus cette première couche, j’utilise en antivirus la version gratuite de Avast  -et en pare-feu, la version gratuite de Zone Alarm. Chacun a bien sûr une mise à jour automatique quotidienne automatisée.

Pour ce qui est de la sécurité des accès à mes différents comptes sur internet : j’ai un mot de passe "complexe" pour l’e-mail. Certaines fournisseurs m’obligent à un certain type de format de mot de passe (à commencer par ma banque). Dans ce cas, je n’ai pas vraiment le choix…

De façon générale d’ailleurs, je ne crains pas les interceptions "à la volée" mais par contre je me méfie des choses stockées dans les bases de données des entreprises / administrations (Amazon, PayPal, Trésor Public, etc.). Ce sont ces bases qui sont braquées 99,9% du temps.
Je n’enregistre pas mes données compte/carte bancaire chez autrui. Si’ j’y suis obligé pour terminer une transaction, je retourne tout supprimer lorsque j’ai eu ce que je voulais.

Toutefois, j’insiste sur un point : tous ces aspects servent à nous protéger des amateurs -même (très) compétents et bien financés.
Par contre, si vous avez de vrais secrets à protéger, ce n’est pas ces protections qui arrêteront les curieux…
La NSA (et le GCHQ et la DGSE et…) est capable de casser un mot de passe Gmail en moins de 3 minutes > cf. les documents rendus publics par Edward Snowden :   Edward Snowden ? Wikipédia
Si vous avez de vrais secrets à protéger, passez à la cryptographie forte : Pretty Good Privacy en particulier : Pretty Good Privacy ? Wikipédia
et :
PGP, logiciel de cryptographie gratuit et en franˤais
(OpenPGP en franˤais)


…sachant que, quel que soit l’outil de sécurité, la plus grosse vulnérabilité c’est toujours l’utilisateur.

Dernière modification par YP (27/05/2014 10h19)

Hors ligne Hors ligne

 

[+2]    #10 27/05/2014 22h23

Membre
Réputation :   81  

Bonsoir,

Je passe rajouter ma petite pierre a l’édifice ayant pas mal traîné du coté sombre d’internet.

J’utilise un logiciel par type de menace:

AVIRA pour les virus,SPYBOT pour les logiciels espion,Malware’s bit pour les rogues/chevaux de Troie,Lock and Stop comme pare-feux.
Je n’utilise pas le pare-feux de Windows car il filtre dans un sens seulement.

Dans le cadre de dépannages a distance (Via TEAM VIEWER)que je fais j’utilise d’autres logiciels plus exotiques qui sont spécifiques a certaines infections.

Une des meilleures chose,la plus basique pour se protéger et de se retirer les privilèges d’administrateur de l’ordinateur: Pas d’installation permise ça évite les surprises.

Je ne fais pas de centralisation genre plusieurs compte e-mails liés: en cas de piratage d’un compte c’est toute la chaîne qui est corrompue.

Je ne fais pas une "fixette" sur mes mots de passe j’y reviendrai plus tard.

J’ai changé les lettres de mes disques durs:certains logiciel sont bêtement fait pour s’installer dans C: et quand il y a pas de C: bein y’a pas d’installation.

Je valide des que c’est possible mes comptes par SMS: Même si il y a une tentative elle ne peut être validée.

D’un autre coté je n’ai rien dans mon ordinateur qui serait susceptible d’intéresser des pirates,le contenu sensible se trouve hors ligne.(et pas dans un cloud)

En 2014 je ne parlerais plus de piratage ni de cassage de clé mais plutôt d’interception de données:On se branche sur un "tuyau" sous marin et on intercepte tout sans virus.

Les virus sont détectés avec 5 ans de retard pour certains c’est illusoire de se penser a l’abris.

Les machines de hackers sont dépourvues de sécurités ce qui fait penser que la sécurité n’est pas ou l’on pense…

Dans mes diag l’utilisateur est majoritairement responsable de ce qui lui arrive,les CD de sauvegarde sont quelques fois les bienvenus.

Il y a beaucoup a écrire sur le sujet j’ai fais concentré.

A bientôt.


La règle n’est pas absolue, mais il semblerait que plus le niveau de scolarité de votre lecteur est élevé, plus ce dernier accorde de l’importance à l’orthographe. Le lecteur aurait tendance à mesurer l’intelligence de son interlocuteur à son mode d’expression. Méconnaître ce réflexe vous exclura.

Hors ligne Hors ligne

 

[+1]    #11 28/05/2014 21h54

Membre
Top 150 Réputation
Réputation :   132  

Miguel a écrit :

Que pensez vous de authy ou authentificator de google ?
j’ai trouvé ceci Google
Je vais m’instuire un peu plus tard ce soir.

C’est la reproduction d’un générateur de code unique, via un téléphone et un logiciel. Les plus paranoïaques diront cependant qu’un téléphone n’est pas un appareil dédié, qu’il peut y avoir interférence avec d’autres logiciels et que, de plus, c’est un objet connecté (un générateur de code usuel ne l’est pas). Néanmoins l’OS (Android) et le logiciel étant tous les deux fournis par Google et open-source, mon avis c’est que c’est aussi sûr qu’un système d’autentification forte standard.

Les plus tatillons pourront toujours installer une version fraîche d’Android sur un ancien téléphone sans SIM, avec uniquement cette application. Cela fonctionnera puisqu’après son installation, l’application n’a plus besoin d’Internet.

A noter que la banque traditionnelle chez qui j’ai de l’authentification forte a poussé le système jusqu’au bout, il est en deux parties. Il y a un lecteur (appareil non connecté muni d’un clavier et d’un afficheur), identique à tous les autres en circulation. Et il y a une carte à puce, spécifique à l’utilisateur, et avec une durée de vie limitée. Les deux doivent être utilisés ensemble pour générer le code. Au cas où ça ne suffirait pas, il y a un code PIN qui protège la carte, et qui doit être entré pour obtenir le code unique final.

Hors ligne Hors ligne

 

[+1]    #12 08/02/2021 13h45

Membre
Réputation :   8  

Pour tout ce qui est autour de la vie privée, il y a cet excellent site qui recense beaucoup de solutions : Privacy Tools

Hors ligne Hors ligne

 

[+1]    #13 08/02/2021 21h35

Membre
Réputation :   44  

Pourrait-on m’expliquer la logique consistant à déconseiller un mot de passe commun à beaucoup de sites, et ensuite à conseiller un regroupement des mots de passe sous un même mot de passe maître ?
Il est clair que la révélation de ce dernier est au moins aussi grave que le comportement déconseillé au départ !

Hors ligne Hors ligne

 

[+1]    #14 09/02/2021 09h32

Membre
Réputation :   19  

C’est pour cela que beaucoup de puristes préfèrent la solution Keepass , c’est une solution libre (donc pas dépendant d’un éditeur), hors-ligne (donc pas dépendant d’un site) mais qu’on peut quand même synchroniser via le cloud si on veut l’avoir sur plusieurs appareil (si le cloud choisi est indisponible, vous aurez quand même accès à vos mot de passe, mais juste plus de synchro pour les derniers mots de passe créés).

Pour ce qui est du risque entre un mot de passe maitre vs un mot de passe identique :
- Le mot de passe maitre n’est entré que sur un seul site, voir aucun dans le cas d’une solution hors ligne, il a donc peu de chance d’être compromis
- Le mot de passe identique sur tous les sites est entré sur tous les sites, donc beaucoup de chance que l’un d’entre eux soit compromis un jour ou l’autre, et donc plus de chance que tous vs comptes soient compromis.

De plus le niveau de sécurité de votre gestionnaire de mot de passe sera plus élevé que celui de la majorité des sites que vous fréquentez (qui sont donc plus susceptibles individuellement d’être compromis en plus d’être plus nombreux)

Hors ligne Hors ligne

 

Attention Cette page affiche seulement les messages les plus réputés de la discussion.
Flèche Pour voir tous les messages et participer à la discussion, cliquez ici.

Pied de page des forums

Parrains Faites-vous parrainer
Apprendre le bonheur