Sécuriser des documents à transmettre à des organismes

Bonjour plaquisteheureux c'est utile, le 1er est bien le 2eme est pour smartphone, il faut télécharger l'appli, pour le 3eme surtout pas

Bonjour,

Oui, le premier https://filigrane.beta.gouv.fr/ est pour apposer des filigranes sur les documents, c'est recommandé par les services de l'État, je l'utilise, c'est très bien.

Le deuxième https://france-identite.gouv.fr/ n'a pas le même usage : c'est le lien vers les applis officielles de France Identité, qui sont utilisables si on a une carte d'identité format "carte bancaire". Cette appli permet de justifier son identité avec son smartphone, idem pour le permis de conduire, et on peut aussi générer un pdf avec QRcode pour envoyer.

Le troisième, je ne veux même pas le consulter, quel intéret d'essayer de sécuriser un truc chez un inconnu ?

Le troisième, je ne veux même pas le consulter, quel intéret d'essayer de sécuriser un truc chez un inconnu ?
tout a faitManu-d.en-haut

plaquisteheureux a écrit:

[...] une photocopie de ma pièce d'identité, car je dois l'envoyer à un fournisseur.

Il faut proposer d'envoyer le justificatif issu de l'application, par pdf avec le QRcode.
Au début ils vont râler, mais il faut les mettre au pli

Hello,
Je confirme, les 2 premiers à utiliser de toute urgence !
Pour le 3ème, ok mais à une seule condition : que tu prennes le code open source, que tu le comprennes, que tu le vérifie, que tu le contrôle, et que tu l'héberges sur ton propre serveur ! :p

Un truc comme le troisième, pourrait à la limite être digne de votre confiance s'il était proposé par une personne ou un organisme qui est par ailleurs déjà digne de confiance.

Digne de confiance sur ses intentions, ET digne de confiance sur ses capacités à faire un truc robuste.

Comme Framasoft par exemple, ou l'État français

Mais en tous cas pas par un truc américain, ou susceptible d'être hébergé aux USA*, surtout par les temps qui courent.


* ni chinois ni russe ni d'une autre dictature bien sûr...

(hors sujet : j'ai vu cet aprème un groupe de touristes américains, l'un avait une casquette rouge MAGA ! Ho ptin chui choqué, ils arrivent !)

plaquisteheureux a écrit:

Le 3em à était fait par un particulier qui prétend que le site du gouvernement n'est pas fiable.

Non, ce n'est pas ce qu'il prétend. Ce qu'il dit c'est que devoir télécharger une pièce d'identité (ou tout autre document sensible) sur un serveur externe qu'on ne contrôle pas, c'est prendre un risque. Et ce, que ce soit le site du gouvernement ou tout autre site.

Le risque, c'est de ne pas maitriser ce qui est fait du côté de ce serveur. Par exemple, le site du gouvernement annonce supprimer automatiquement la pièce d'identité au premier téléchargement, mais on a aucun moyen de savoir si c'est réellement fait. Et ce genre de serveur qui héberge des données sensibles sont des cibles privilégiées des pirates.

Le point de la personne qui a fait ce site est le suivant : pourquoi prendre le risque d'envoyer sa carte d'identité sur des serveurs externes alors qu'on peut faire cet ajout de filigrane localement, sur sa propre machine, sans qu'il n'y ait de communication avec l'extérieur ?

C'est tout l'intérêt de ce site.

Citation:

Manu-d.en-haut
Le troisième, je ne veux même pas le consulter, quel intéret d'essayer de sécuriser un truc chez un inconnu ?

Au contraire, en utilisant son site on n'envoie rien chez lui, tout se fait en local. J'ai fait le test avec une image quelconque, et en affichant le réseau, on voit qu'il n'y a aucun appel fait à l'extérieur quand on télécharge l'image et quand on applique le filigrane.



Et je peux ensuite télécharger ma super image filigranée.



Pour avoir testé et regardé rapidement le code source, il semble tenir ses promesses. Pour être sûre à 100% il faudrait cloner le projet sur sa machine, lire tout le code source, voir lancer le projet sur son local pour tester. D'un autre côté, envoyer ma carte d'identité sur un serveur externe alors que c'est risqué et inutile, je préfère éviter quand l'alternative de tout faire en local existe.

Donc à choisir entre les 3, je prends le troisième site. Merci pour la découverte d'ailleurs

Ok, intéressant, merci.

Mais tu comprends que sans tes connaissances, quand un site qu'on ne connait pas par ailleurs te fait cliquer sur le fichier de ta carte d'identité, on ne peut pas savoir ce qu'il advient de ce fichier, d'autant plus que le bouton pour avoir le résultat final s'appelle [Télécharger], ce qui sous-entends qu'on rapatrie son fichier filigrané depuis ailleurs.

En plus, aucune explication ni conseil sur la page, il faut cliquer sur [Open source], et on tombe sur une liste de fichier, et il faut aller en bas de la page pour avoir le début de description avec le "Readme".
C'est orienté "geek", et pas utilisateur lambda qui veut quand même un peu être rassuré.

Mais en fait, la plus grande vulnérabilité est d'avoir des documents sur son propre ordinateur, non ?




Question subsidiaire : est-ce qu'il y a chez Github un quelconque contrôle des trucs qui y sont hébergé, pour vérifier l'adéquation entre les promesses et ce que fait le code ?

Non, Github ne fait que fournir un versioning du code. Il ne fait rien sur le code lui même.
D'ailleurs le versioning peut être exploité pour trouver des secrets dans l'historique des versions qui auraient été mis en ligne par mégarde (mot de passe en dur dans le code par exemple, jeton d'authentification, ...). Mais globalement c'est une bonne utilisation.

En revanche je suis d'accord : il est préférable d'avoir une solution 100% locale qui n'envoie pas les documents ailleurs. Même si on peut considérer que le gouvernement, qui nous génère et nous fourni nos cartes d'identité, n'as pas forcément d'intérêt à nous les "voler" vu qu'ils les ont déjà ; par contre le fait qu'il soit possible de récupérer le document dans un cache ou autre c'est moyen, c'aurait pu être fait entièrement en local.

Par contre le filigrane ajouté n'est pas retirable ? Parce que avec les PDF je me méfie ! J'ai déjà vu des documents en PDF qui avaient été caviardés, sauf que ce n'était qu'un rectangle noir ajouté par dessus le document, et il suffisait d'avoir le bon éditeur pour prendre ce rectangle et le mettre ailleurs, révélant ce qu'il cachait.


EDIT : ah ben j'ai testé rapido, il ne prend pas les PDF on dirait.

Woofy a écrit:

Par contre le filigrane ajouté n'est pas retirable ? Parce que avec les PDF je me méfie ! J'ai déjà vu des documents en PDF qui avaient été caviardés, sauf que ce n'était qu'un rectangle noir ajouté par dessus le document, et il suffisait d'avoir le bon éditeur pour prendre ce rectangle et le mettre ailleurs, révélant ce qu'il cachait.

C'est pour ça que quand je modifie un pdf, pour le boulot ou pour des formalités, je re-imprime mon document, avec sortie pdf, pour faire comme si j'avais scanné une feuille signée à la main, alors que j'ai collé numériquement une vignette avec ma signature.

La faille étant que je garde sur mon ordi des copies de ma signature manuscrite, et que c'est tout le temps exactement la même signature manuscrite sur les divers documents.

Pareil ... mais je t'avoue que une signature c'est quand même pas foufou pour prouver que c'est bien nous qui avons signé ça (franchement faut pas être sorti de St Cyr pour imiter ma signature).
Mais la signature numérique n'est pas vraiment rentré dans les moeurs (c'est pas accessible à tout le monde). Ça serait possible pourtant avec nos cartes d'identité biométriques, mais on est encore loin du déploiement de ce genre de solution, et de leur acceptation.

Et j'ai encore des demandes bizarres du genre mon assurance qui me demande un IBAN original (et pas une capture d'écran) pour modifier mon compte bancaire.

Le notaire ne veut pas qu'on lui envoie un RIB ou IBAN par mail, ni dans le corps du mail ni en pièce jointe, il faut lui donner le papier ou le mettre dans sa boite à lettres, ou lui dicter au téléphone.

Ils ont peur de verser de l'argent à quelqu'un d'autre qui aurait introduit son RIB à la place du nôtre...


Certains clients de mon employeur signent les relevés de présence mensuels en signature numérique du pdf mais c'est rare, certains font comme moi un bricolage sur le pdf en collant une image de signature, mais le cas le plus fréquent est d'imprimer comme au XXème siècle sur une feuille en papier, signer avec un stylo et un tampon et de la vraie encre qui bave.
Et je le scanne, je fais ça directement avec le smartphone du boulot, "OneDrive" fait ça directement, et ça part directement dans "mon OneDrive".

Manu-d.en-haut a écrit:

En plus, aucune explication ni conseil sur la page, il faut cliquer sur [Open source], et on tombe sur une liste de fichier, et il faut aller en bas de la page pour avoir le début de description avec le "Readme".
C'est orienté "geek", et pas utilisateur lambda qui veut quand même un peu être rassuré.

C'est quelque chose qu'on retrouve très souvent dans le monde de l'open source, donc les gens qui sont du milieu ont le réflexe de voir "open source" -> ok je vais aller voir le GitHub associé (ou autre service de versionning) -> je regarde le README -> je vais lire le code (ce que j'ai fait). 

Donc oui tu as raison, c'est orienté "geek" et sûrement que le défaut du site est de s'adresser aux gens qui ont des connaissances dans ce domaine et de ne pas s'adapter aux utilisateurs lambdas. Alors que finalement, la cible de ce site ça devrait être tous les utilisateurs lambdas, et moins ceux qui connaissent comment ça fonctionne. Le site demande à l'utilisateur lambda de lui faire confiance, sans expliquer de manière simple et accessible pourquoi sa solution est plus sécurisée que la solution du gouvernement.

Le résultat c'est que ça mène à des incompréhensions ("il y a un bouton télécharger, ça veut donc bien dire que mon fichier a été mis ailleurs") et des raccourcis ("le site du gouvernement n'est pas fiable"). Plus de méfiance que de confiance.

D'après le lien Reddit dans le post initial, c'est un étudiant en cybersécurité qui a fait ça. La technique est peut-être bonne, mais pas la conception et l'accessibilité.

Si on a pas les capacités techniques de vérifier les promesses du site, c'est sain de s'en méfier et il est préférable de se tourner vers le site du gouvernement, même s'il comporte d'autres risques. C'est dommage pour l'initiative de ce site qui est très louable, mais bon, c'est à lui d'être plus pédagogue sans avoir besoin de fouiller son github.

Citation:

Mais en fait, la plus grande vulnérabilité est d'avoir des documents sur son propre ordinateur, non ?

Qu'est-ce qui te fait poser cette question ? Si ton ordinateur met en place plusieurs couches de sécurité (ça peut aller du simple mot de passe de session au chiffrage du disque dur par exemple), il ne sera pas plus vulnérable qu'un serveur du gouvernement qui sera la cible répétée de cyber-attaquants.

Tout est hackable en informatique, à partir du moment où une machine est reliée à internet, elle devient vulnérable. Il suffit de voir les nombreux vol de données de plein de sites. HS mais un site intéressant pour savoir si vos données (email, numéro de téléphone ou nom) ont fait parties d'un vol : https://www.databreach.com/

Bref, tout ça pour dire que la meilleure sécurité, ça reste de faire les choses en personne (comme le notaire qui demande le RIB papier en mains propres), mais dans notre monde ce n'est plus toujours possible.

Pour re-répondre au sujet initial, par ordre de préférence j'ai :
1) montrer la carte d'identité au fournisseur en personne -> pas possible à priori
2) ajouter soi-même un filigrane sur sa pièce d'identité, en local, sans utiliser de site quelconque -> il faut avoir les compétences techniques
3) utiliser ce site qui fait le traitement en local -> il faut avoir les compétences techniques pour vérifier ou faire confiance dans l'analyse que j'en ai faite
4) utiliser le site du gouvernement -> il faut avoir confiance dans leur capacité à traiter des données sensibles et prier que leur serveur ne se fasse jamais pirater

Excellente analyse ! Merci.


Je n'ai pas de mot de passe pour allumer mon ordi perso.

Il tourne sous Xubuntu.

Il y a quand même un mot de passe administrateur.

Je viens d'en enlever tout ce qui ne devrait pas traîner, cartes d'identité, de moi et ma famille, photos de ma signature...

Je suis en train de faire des sauvegardes (je ne le fais pas assez souvent).

J'ai mis quelques trucs que je ne veux absolument pas perdre sur Digiposte (où vont déjà automatiquement mes relevés de LaBanquePostale).

J'ai un autre coffre-fort numérique où mon employeur mets les bulletins de salaire (MyPrimobox).

Salut,

Moi j'utilise l'appli franceidentité du gouvernement

Simple net et efficace
ça me sert de papier identité et permis sur mon téléphone aussi : ça fait bien longtemps que je n'ai plus un papier physique sur moi

Alors pour les papiers d'identité, oui.
Mais pour transmettre les 3 derniers bulletins de salaire + son relevé d'impôts + ... à sa banque pour demander un prêt par exemple, c'est utile.
Mais France Identité oui, c'est chouette ! Franchement ça a plutôt pas mal bossé niveau numérisation ces dernières années au gouvernement je trouve.

Citation:

Je n'ai pas de mot de passe pour allumer mon ordi perso.

Pas bien ça

Citation:

Il y a quand même un mot de passe administrateur.

Ça c'est bien

Blague à part, ce niveau de protection te permet juste de te protéger de personnes malveillantes dans ton entourage ou si tu laisses trainer ton ordi quelque part. Mais le risque est assez limité.

Ce qui est plus probable, c'est que tu te fasses voler ton ordi. Mais généralement les personnes qui volent des ordis se contrefichent des données qui sont dessus, ce qui les intéresse c'est la valeur marchande de l'ordi. Donc elles vont juste écraser le système d'exploitation et toutes les données, et le fait d'avoir des mots des passe n'y changera rien (ça veut pas dire qu'il faut pas en mettre).

En fait, même s'il est moins protégé, ton ordi et les données qu'il contient est moins vulnérable dans le sens où ça ne sera pas une cible de cyber-attaquant. Quel attaquant perdrait du temps à cibler UNE machine pour y récupérer - peut-être - une carte d'identité et ta signature ? Ça ne vaut pas le coup.

Les cyber-attaquants ciblent les machines qui stockent du volume, des milliers de données. Passer du temps à trouver la faille dans un serveur pour y récupérer des milliers d'identités et de coordonnées bancaires, ça c'est rentable. A savoir aussi que sur le marché noir, les coordonnées bancaires se revendent bien plus chères que des cartes d'identité.

Il vaut mieux donc que tu gardes les cartes d'identité sur ta machine locale que de les mettre sur Digiposte en pensant que c'est plus sécurisé (c'est un exemple, j'essaie juste d'expliquer le concept).

Citation:

J'ai un autre coffre-fort numérique où mon employeur mets les bulletins de salaire (MyPrimobox).

Typiquement, ça c'est un truc que j'ai banni chez moi. Déjà parce que ça me soûlait d'avoir 3 coffre-forts numériques différents (j'en avais un à ma première entreprise, puis j'ai changé de boite et ils utilisaient une autre solution, puis en cours de route ils ont encore changé). J'ai donc signifié à mon employeur actuel mon refus d'utiliser ces coffre-forts numériques, et ils ont donc l'obligation d'envoyer ma fiche de paie par courrier. Comme je suis pas à l'abri que ma maison crame, je scanne la fiche sur mon ordi en local. Et comme je ne suis pas à l'abri de me faire voler mon ordi, j'ai un système de sauvegarde sur un serveur distant.

Donc ma règle pour les données sensibles, c'est dans cet ordre :
- d'abord le papier -> pas exposé, peu risqué
- ensuite le numérique mais local -> plus exposé mais risque limité
- enfin le numérique distant (serveur externe comme le cloud) -> exposé, risque élevé
- le "pire" à mon sens : le numérique distant commun à beaucoup de personnes (comme MyPrimobox) -> très exposé, risque très élevé

Un cyber-attaquant va privilégier l'attaque des serveurs de MyPrimobox car il sait qu'il pourra y récupérer des milliers de fiches de paie de millier de personnes.

Désolée pour le HS, on peut discuter ailleurs si besoin

Woofy a écrit:

Mais France Identité oui, c'est chouette ! Franchement ça a plutôt pas mal bossé niveau numérisation ces dernières années au gouvernement je trouve.

France Identité c'est bien seulement si on a un smartphone (ce n'est pas le cas de tout le monde) et qui tourne sur Android ou iOS (ce n'est pas le cas de tout le monde) car le téléchargement d'une application est obligatoire.

Ça veut dire avoir un compte Google ou un compte iCloud. Dommage pour un service du gouvernement Français de dépendre des GAFAM pour gérer les identités de ses citoyens

Moi j'ai un téléphone qui tourne sous LineageOS sans les microG de Google, et bien je ne peux pas me créer d'identité numérique La Poste, dont j'ai pourtant besoin pour valider une demande à l'INPI. (d'ailleurs si quelqu'un sait si c'est possible de faire des démarches de Guichet Unique autrement qu'en étant obligé d'avoir un smartphone Google ou Apple, je suis preneuse, des mois que je me bats avec ça )

Ok, vu.

J'ai quand même la faiblesse de penser que Digiposte ou Myprimobox sont ultra-blindés !

En fait, ce qui est vulnérable c'est que pour tous les trucs où je suis inscrit, je n'ai que 2 ou 3 "paterns" de mots de passe, robustes quand ça craint, mais semblables, ou carrément identiques.

C'est pas mal robuste (15 caractères dont maj min chiffres et caractères spéciaux), mais si un site se fait craquer, mon doublet adresse mèl/mdp peut servir ailleurs.

Il va falloir que je trouve une méthode plus robuste, pour avoir effectivement des mots de passe différents partout où je vais... je ne suis pas sorti le cul des ronces.

Pour le boulot, on a un identifiant Microsoft qui sert pour tout, ordi, tout le saint-frusquin Microsoft, et aussi d'autres logiciels métiers.
On vient de nous obliger à avoir un mot de passe à au moins 14 caractères maj min chiffres et caractères spéciaux, il faut qu'il ne soit utiliser nulle part ailleurs, on n'aura normalement pas besoin de le changer, et on utilise "Authenticator" en plus.
Mais on n'a pas à l'utiliser souvent, d'autant plus qu'on peut utiliser "Hello" avec les modalités que l'on veut, j'ai pris reconnaissance faciale pour l'ordi, c'est d'usage fluide.

Et on n'est plus administrateur de nos ordis de boulot (on l'était avant), il faut demander pour ajouter des petits trucs (XNview ou FoxitReader pour ma part), ou pour des petites opérations de maintenance.

Ils sont sûrement ultra-blindés, mais jamais à l'abri d'une faille.

https://www.databreach.com/breach -> dans la liste des entreprises qui ont été victime de vols de données (nos données in fine), on y retrouve Amazon, la banque d'Amérique, Trello, Duolingo, PayPal, La Poste Mobile...

Ça ne veut pas dire qu'il ne faut plus rien utiliser, il faut juste avoir conscience que le risque 0 n'existe pas et donc maitriser autant que possible le type de données qu'on envoie à l'extérieur.

Pour tes mots de passe, tu n'utilises pas de gestionnaire de mots de passe comme 1password (online) ou KeePass (local) ?

Non, parce que je ne comprends pas comment ça marche.

Je ne vois pas comment je peux avoir un mot de passe sécurisé, si par exemple je veux me connecter avec mon compte Manomano chez un copain par exemple, ou sur le site des impôts avec le téléphone du boulot...

Il semble que ce sont des applis ou des logiciels que l'on doit mettre sur chacun des appareils...
Donc pas sur l'ordi du boulot quoi...

kiwichaton a écrit:

Woofy a écrit:

Mais France Identité oui, c'est chouette ! Franchement ça a plutôt pas mal bossé niveau numérisation ces dernières années au gouvernement je trouve.

France Identité c'est bien seulement si on a un smartphone (ce n'est pas le cas de tout le monde) et qui tourne sur Android ou iOS (ce n'est pas le cas de tout le monde) car le téléchargement d'une application est obligatoire.

Ça veut dire avoir un compte Google ou un compte iCloud. Dommage pour un service du gouvernement Français de dépendre des GAFAM pour gérer les identités de ses citoyens

Moi j'ai un téléphone qui tourne sous LineageOS sans les microG de Google, et bien je ne peux pas me créer d'identité numérique La Poste, dont j'ai pourtant besoin pour valider une demande à l'INPI. (d'ailleurs si quelqu'un sait si c'est possible de faire des démarches de Guichet Unique autrement qu'en étant obligé d'avoir un smartphone Google ou Apple, je suis preneuse, des mois que je me bats avec ça )

Ok donc c'est bien pour 80% de la population. Il reste 19% qui n'ont pas de smartphone, 0,8% qui n'ont pas lâché leur Windows Phone et 0,2% sous un système presque inconnu
OK je sors. ^^




Blague à part, c'est bien pour le commun des mortels. Mais ça ne doit pas être la seule solution. Comme les impôts : on peut toujours remplir sa déclaration papier si on n'a pas ordinateur ou qu'on n'a pas les connaissances pour en utiliser un (quelqu'un ne sachant pas lire par exemple). Il reste toujours des solutions moins pratiques mais qui doivent rester accessible à tous. On ne peut pas avoir 100% d'adoption d'un système.

Manu-d.en-haut a écrit:

Non, parce que je ne comprends pas comment ça marche.

Je ne vois pas comment je peux avoir un mot de passe sécurisé, si par exemple je veux me connecter avec mon compte Manomano chez un copain par exemple, ou sur le site des impôts avec le téléphone du boulot...

Il semble que ce sont des applis ou des logiciels que l'on doit mettre sur chacun des appareils...
Donc pas sur l'ordi du boulot quoi...

Pour les logiciels comme KeyPass qui enregistrent les différents mots de passe en local sur ton ordinateur, oui ce n'est pas pratique si tu cherches à te connecter sur tes sites depuis d'autres machines. Il y a des alternatives possibles, mais c'est plus compliqué techniquement.

Par contre pour ton usage un compte 1Password ou LastPass devrait répondre à ton besoin. Grosso modo c'est un site en ligne qui va enregistrer tous tes différents username / mots de passe. Et qui dit site en ligne, dit que tu pourras y accéder depuis ton ordi, celui de ton pote et le téléphone de ton taff.
Le seul mot de passe que tu devras retenir c'est celui de ton gestionnaire de mots de passe (master password). Celui-ci contiendra les infos de connexion à Manomano, Forum Construire et au site des impôts (avec que des mots de passe générés que tu n'auras pas à retenir).

Donc tu vas sur l'ordi de ton pote, tu te connectes sur le site du gestionnaire, tu rentres ton master password et hop tu récupères les infos de connexion à ManoMano et tu peux t'y connecter. Ensuite tu prends ton téléphone du taff, et même principe pour te connecter au site des impôts. Bien sûr une fois fini il faut penser à se déconnecter des sites sur lesquels tu es connecté et du gestionnaire de mdp.

Ouais enfin les gestionnaires de mots de passe en ligne se sont fait poutré déjà. ^^
Le plus sécurisé reste l'authentification avec un second facteur (appli sur smartphone qui donne un code à usage unique par exemple), de préférence pas par SMS (trop facile à intercepter).

Woofy a écrit:

Blague à part, c'est bien pour le commun des mortels. Mais ça ne doit pas être la seule solution. Comme les impôts : on peut toujours remplir sa déclaration papier si on n'a pas ordinateur ou qu'on n'a pas les connaissances pour en utiliser un (quelqu'un ne sachant pas lire par exemple). Il reste toujours des solutions moins pratiques mais qui doivent rester accessible à tous. On ne peut pas avoir 100% d'adoption d'un système.

Tout à fait. Et justement pour l'INPI je n'ai toujours pas trouvé s'il y avait une solution plus traditionnelle, avec des papiers et des humains

Mais là on part sur les thèmes de souveraineté numérique, de fracture numérique, d'exclusion numérique... Faut pas me lancer sur le sujet

Woofy a écrit:

Ouais enfin les gestionnaires de mots de passe en ligne se sont fait poutré déjà. ^^
Le plus sécurisé reste l'authentification avec un second facteur (appli sur smartphone qui donne un code à usage unique par exemple), de préférence pas par SMS (trop facile à intercepter).

Ah bah oui, on en revient au fait que ce sont des cibles privilégiées. Mais le second facteur ça implique de se rappeler du premier facteur -> le mot de passe du site en question.

Le Lastpass freemium gratuit serait pile bien pour moi... sauf que gratuit c'est pour mobile OU pour ordis.
Sinon, c'est 35€/an. C'est américain

1Password c'est 32€ par an. C'est canadien
Est-ce que quelqu'un peut me confirmer que je peux utiliser 1Password "en ligne", peut-être après avoir installé sur une machine ?

Ou est-ce que vous connaissez un produit qui soit multiplateformes, ET gratuit ET en ligne ?

Et BitWarden ? Il parait qu'il y a une "application web"... C'est américain , mais c'est open-source La version payante à 10$ est plus un soutien aux développeurs qu'un "prix d'achat".

Citation:

Manu-d.en-haut
Ou est-ce que vous connaissez un produit qui soit multiplateformes, ET gratuit ET en ligne ?

Le beurre, l'argent du beurre ET ...
Non ça n'existe pas à ma connaissance.

Tu vas devoir faire des compromis.

Tu peux regarder du côté des alternatives Européennes : https://european-alternatives.eu/category/password-managers mais je connais pas ces outils. De ce que j'ai vu rapidement, ça a l'air d'être sur le même modèle que Bitwarden.

Manu-d.en-haut a écrit:

Est-ce que quelqu'un peut me confirmer que je peux utiliser 1Password  "en ligne", peut-être après avoir installé sur une machine ?

Oui c'est possible, je viens de faire le test (on utilise ça au boulot). Par contre pour te connecter au site 1Password te demandera en plus de ton email / mot de passe, une secret key. La secret key c'est une sorte d'identifiant qui sera associée à ton compte à sa création, et que tu devras sauvegarder quelque part. Et tu devras pouvoir y accéder quand tu voudras te connecter online sur l'ordi de ton pote. Avantage : pas besoin d'installer quelque chose sur les autres appareils, inconvénient : payant et tu dois avoir la secret key sous le coude quand t'es pas sur ton ordi.

Citation:

Manu-d.en-haut
Et BitWarden ? Il parait qu'il y a une "application web"... C'est américain , mais c'est open-source La version payante à 10$ est plus un soutien aux développeurs qu'un "prix d'achat".

C'est le même fonctionnement qu'avec KeePass, mais ce n'est pas à toi de gérer le stockage du fichier dans le cloud et sa synchronisation sur les différents appareils. C'est plus utilisateur lambda friendly, mais tu devras quand même installer une application mobile sur ton téléphone du taff ou une extension de navigateur sur l'ordi de ton pote. C'est un bon choix si tu ne veux pas payer trop cher et déléguer la partie "mise en place de la synchronisation du fichier".

Mais si tu n'as pas peur de mettre un petit peu les mains dans le cambouis, utilise KeePass (gratuit, open source, libre de droit ). Il y plein de ressources sur le net qui expliquent comment mettre en place une synchronisation du fichier sur plusieurs appareils, comme https://smarpo.com/posts/2022/2022-03-17-keeshare-sharing-yo[...]abase-between-devices/. Avantage : gratuit, sécurisé. Inconvénient : il faut installer une app sur les autres appareils.

A voir selon ton usage ce qui est le moins contraignant pour toi.

Merci !

Je suis en train d'essayer de me battre avec BitWarden...
J'en chie !

Je vous tiens au courant...
(si plus jamais de nouvelles, c'est que tout a sombré, y compris mon mot de passe sur FC ! )

Je suis toujours là !

Pas encore 100% opérationnel, mais BitWarden convient pour moi, ça coche toutes les cases (sauf de ne pas venir d'un pays fa$$iste, mais bon c'est quand même open-source).

J'ai demandé confirmation à "Le Chat" (pas le savon), tout ok !

Et si je suis toujours content à l'usage, je vais même payer (peut-être...).

Bravo

Te voilà bon pour réinitialiser tous tes mots de passe et en générer de nouveaux. Mais après ça tu devrais être tranquille à l'usage.

"LeChat" -> ChatGPT ?

Merci les gars, pour toutes ces interventions intéressantes

plaquisteheureux a écrit:

Merci les gars, pour toutes ces interventions intéressantes

Et les filles

Non non, "Le Chat", c'est français madame !
https://chat.mistral.ai/

Sut, je n'ai pas vu de femme participer, à ce post! mais au cas où ? Toutes mes excuses, et remerciements .

C'est à quoi que tu reconnais une femme sur le forum ?

Après on partage le compte avec mon conjoint, ça aide pas

C'est souvent moi qui poste (madame) mais le post sur la PAC c'est monsieur. Je vais finir par signer -K- pour avoir une distinction.

Bien vu pour le chat de Mistral, j'avais complètement oublié son existence

-K-

Vous pouvez avoir chacun votre compte, et même être tous les deux administrateurs de votre récit.

Salut

Manu-d.en-haut a écrit:

C'est à quoi que tu reconnais une femme sur le forum ?

Au parfum !
Sur les fiches des intervenants " en général", il y a cette information. 

Sur Internet, les hommes sont des hommes, les femmes sont des hommes, et les petites filles de 14 ans sont des agents du FBI.

kiwichaton a écrit:

Bien vu pour le chat de Mistral, j'avais complètement oublié son existence

Je n'utilise quasiment que celui là
C'est notre techno !
l'autre gptchépakoi, je sais pas qui c'est : je le sens en carton et pas fiable !

Merci à toi plaquisteheureux pour ce sujet, maintenant plein d'informations diverses très utiles.

Très bien BitWarden, quasiment apprivoisé !
Je ne sais pas pour les autres gestionnaires de mots de passe, mais ça fonctionne tous azimuts : sur les ordis, il y a des extensions sur les divers navigateurs, c'est pas mal intégré, c'est plus ou mois "en 1 clic ou 2" pour ressortir les mots de passe au besoin.

Sur smartphone, c'est une appli, c'est plutôt moins intégré, mais ça marche très bien aussi.

Et en cas de besoin, on y accède sans rien installer, en ligne, avec un navigateur, aussi bien sur un ordi qu'avec un smartphone.

Le plus fastidieux est de remplacer tous les mots de passe partout où on en a par ceux de BitWarden, c'est en cours...

Il ne reste à la fin que le mot de passe de mon e-mail, celui qui sert pour re-initialiser les mots de passe, que je ne mets pas dans BitWarden, et qui sera unique, et qui est déjà robuste.
Et quelques mots de passe en chiffres tels que ceux de la banque qui s'utilisent avec un clavier virtuel.

Et celui du compte Microsoft du boulot, c'est pour déverrouiller l'ordi.
Ah, et les codes pin des cartes Sim des téléphones aussi...

Il ne restera qu'à me décider à mettre un code pour le démarrage de mon ordi perso... peut-être...

Ah oui, encore une faille : une fois mon smartphone déverrouillé, on accède directement à mes mails avec l'appli K9, y compris les mails pour modifier les mots de passe avec [mot de passe oublié]...

Pour rire, voici ce que Le Chat fini par me répondre :
"Avec un mot de passe de 12 caractères utilisant 95 caractères possibles, il faudrait environ 1,7 million d'années pour essayer toutes les combinaisons possibles avec un GPU moderne effectuant
10 puissance 10 tentatives par seconde. Cela montre à quel point il est important d'utiliser des mots de passe longs et complexes pour se protéger contre les attaques par force brute."

Et :
"Pour un mot de passe de 20 caractères utilisant 95 caractères possibles, il faudrait environ
1.14 ×10 puissance 22 années pour essayer toutes les combinaisons possibles avec un GPU moderne effectuant 10 puissance 10 tentatives par seconde. Cela montre que l'augmentation de la longueur du mot de passe rend l'attaque par force brute pratiquement impossible."

Et enfin :
"Pour obtenir un nombre de combinaisons possibles du même ordre de grandeur que le nombre d'atomes dans l'univers (10 puissance 79), un mot de passe devrait avoir environ 40 caractères parmi 95 caractères différents."