Hello Slyhas, Merci beaucoup pour ton commentaire. Effectivement, les mots de passe c'est encore la clé pour une bonne sécurité sur Internet. Ce n'est pas la seule chose, mais sans ça, on est vraiment pas bien. 😉
Merci pour cette vidéo très didactique. J'ai découvert les gestionnaires de mots de passe grâce... aux ingénieurs sécurité de mon entreprise, qui en avaient fait la promotion (sans grand succès alors que c'est la seule solution viable). Pour la petite histoire, il s'agissait de LastPass, que j'ai du coup adopté pour mon usage personnel (et sans plus de succès auprès de mes proches pour les convaincre que les ingénieurs sécurité de mon entreprise.... peut-être qu'avec votre vidéo ?). Cette histoire de collecte de données par LastPass m'a quelque peu chagriné du coup. À la lecture de l'article, je comprend que cela concerne l'application Android, ce qui m'amène à une question générale : est-ce raisonnable d'utiliser des applications aussi sensibles, certainement pour se connecter à des services sensibles, sur des appareils globalement peu sécurisés, portant souvent la seconde authentification et facilement "égarés" que sont les smartphones ? PS : au risque d'abuser, oserais-je vous demander d'ajouter en description les liens des articles et sites qui illustrent votre vidéo ?
Hello, Merci pour ton commentaire. C'est super que tu ai eu droit à ça par le biais des ingénieurs sécurité de ton entreprise. Ce n'est pas le cas partout. 😉 Concernant le problème des apps à qui l'on confie des données confidentielles, c'est la raison pour laquelle j'ai tendance à prendre des projets Open Source et assez gros car ils sont beaucoup passés entre les mains de la communauté. En outre, en prenant des projets qui ne font que du OffLine (ils ne centralisent rien sur un Cloud que tu ne contrôle pas), tu enlève un gros risque de fuite. Par contre, tu dois te charger de la sauvegarde de la synchronisation et de la mise à disposition sur toutes tes plateformes toi-même. Et je pense que cela peut, légitimement, en décourager plus d'un. Néanmoins, tu peux avoir confiance en ces applications OpenSource car elles sont scrutées par la communauté, tu ne met pas tes données sur un Cloud, etc... Concernant les applications commerciales, vu que leur plus grosse marque de fabrique est la confiance que leurs clients ont en leur marque et leur produit, il est impensable qu'elle ne fasse pas tout ce qu'il est possible pour être sécurisé et ne pas faire n'importe quoi avec vos données. Néanmoins, j'ai tendance à penser que c'est plus intéressant (rentable) pour un pirate de chercher à craquer LastPass ou Dashlane que mon RaspberryPi qui synchronise mes données. Concernant les liens, ils reprennent beaucoup de mes vidéos où j'avais pu approfondir ces différents points. Les Gestionnaires de Mots de Passe (ma toute toute première vidéo) : th-cam.com/video/6uTir7sPHhg/w-d-xo.html Les Gestionnaires de Mots de Passe Mobile : th-cam.com/video/GSd1AYHWur4/w-d-xo.html Un truc très intéressant qui va te garder à l'aise avec une potentielle fuite de mots de passe, c'est le Second Factor Authentication (2FA). Mes vidéos à ce sujet ici (logiciel) : th-cam.com/video/QLZ-aDieJ-Y/w-d-xo.html et ici (matériel) : th-cam.com/video/4fy9kd4Gj8M/w-d-xo.html Ça va te faire un peu de trucs à regarder, mais j'ai essayé de faire une série didactique et qui se suit dans le temps. N'hésites pas si tu as d'autres questions. À plus
@@remi-cybersec Merci pour cette longue réponse à mon message confus 😉 Je n'ai aucun problème avec l'open source, j'utilise aussi KeepassXC, Aegis, Tutanota etc., je suis sous Linux, j'envisage sérieusement l'abandon d"Android. Bref. Comme tu le dis dans tes vidéos, il y a toujours un arbitrage entre sécurité et facilité d'usage. LastPass est le résultat de cet arbitrage "pour moi" (et un peu aussi parce que c'est celui avec lequel j'étais le plus à l'aise, utilisation pro oblige). D'autant que LastPass "Famille" m'a permis, enfin, de commencer à convaincre ma famille . La double authentification est activée partout où je le pouvais et j'ai investi dans une paire de Yubikey (c'est même en cherchant des informations sur ces clefs avant de franchir le pas que je suis tombé sur ta chaîne). En fait je soulignais maladroitement dans mon commentaire initial le statut très problématique et très spécifique des smartphones pour la sécurité (personne ne va verrouiller son smartphone avec un mot de passe long et complexe, ce serait invivable ! ; les mises à jour de sécurité ne se font pas sur les anciennes versions d'Androïd et il n'est pas possible d'upgrader Androïd ; l'appareil porte souvent la seconde authentification ; c'est facilement perdu ou volé et de toute façon bien plus exposé qu'un ordinateur restant au domicile). PS : pour une raison que je ne m'explique pas, le site "Two Auth Factor" me renvoi vers une société promouvant des services et formations sur les MFA mais pas du tout sur la liste des services proposant des MFA.
Depuis que j'ai buy ma Yubikey je ne sais pas comment j'ai pu m'en passer avant. Des tutos de prévu sur la sécurité dans le domaines des crypto ? Ex: Passphrase de 25 mots sur Ledger
Super vidéo très instructive et permettant d'appréhender la sécurité sur les mots de passe.
Hello Slyhas,
Merci beaucoup pour ton commentaire.
Effectivement, les mots de passe c'est encore la clé pour une bonne sécurité sur Internet. Ce n'est pas la seule chose, mais sans ça, on est vraiment pas bien. 😉
Merci pour cette vidéo très didactique. J'ai découvert les gestionnaires de mots de passe grâce... aux ingénieurs sécurité de mon entreprise, qui en avaient fait la promotion (sans grand succès alors que c'est la seule solution viable). Pour la petite histoire, il s'agissait de LastPass, que j'ai du coup adopté pour mon usage personnel (et sans plus de succès auprès de mes proches pour les convaincre que les ingénieurs sécurité de mon entreprise.... peut-être qu'avec votre vidéo ?).
Cette histoire de collecte de données par LastPass m'a quelque peu chagriné du coup. À la lecture de l'article, je comprend que cela concerne l'application Android, ce qui m'amène à une question générale : est-ce raisonnable d'utiliser des applications aussi sensibles, certainement pour se connecter à des services sensibles, sur des appareils globalement peu sécurisés, portant souvent la seconde authentification et facilement "égarés" que sont les smartphones ?
PS : au risque d'abuser, oserais-je vous demander d'ajouter en description les liens des articles et sites qui illustrent votre vidéo ?
Hello,
Merci pour ton commentaire. C'est super que tu ai eu droit à ça par le biais des ingénieurs sécurité de ton entreprise. Ce n'est pas le cas partout. 😉
Concernant le problème des apps à qui l'on confie des données confidentielles, c'est la raison pour laquelle j'ai tendance à prendre des projets Open Source et assez gros car ils sont beaucoup passés entre les mains de la communauté.
En outre, en prenant des projets qui ne font que du OffLine (ils ne centralisent rien sur un Cloud que tu ne contrôle pas), tu enlève un gros risque de fuite. Par contre, tu dois te charger de la sauvegarde de la synchronisation et de la mise à disposition sur toutes tes plateformes toi-même.
Et je pense que cela peut, légitimement, en décourager plus d'un.
Néanmoins, tu peux avoir confiance en ces applications OpenSource car elles sont scrutées par la communauté, tu ne met pas tes données sur un Cloud, etc...
Concernant les applications commerciales, vu que leur plus grosse marque de fabrique est la confiance que leurs clients ont en leur marque et leur produit, il est impensable qu'elle ne fasse pas tout ce qu'il est possible pour être sécurisé et ne pas faire n'importe quoi avec vos données.
Néanmoins, j'ai tendance à penser que c'est plus intéressant (rentable) pour un pirate de chercher à craquer LastPass ou Dashlane que mon RaspberryPi qui synchronise mes données.
Concernant les liens, ils reprennent beaucoup de mes vidéos où j'avais pu approfondir ces différents points.
Les Gestionnaires de Mots de Passe (ma toute toute première vidéo) : th-cam.com/video/6uTir7sPHhg/w-d-xo.html
Les Gestionnaires de Mots de Passe Mobile : th-cam.com/video/GSd1AYHWur4/w-d-xo.html
Un truc très intéressant qui va te garder à l'aise avec une potentielle fuite de mots de passe, c'est le Second Factor Authentication (2FA). Mes vidéos à ce sujet ici (logiciel) : th-cam.com/video/QLZ-aDieJ-Y/w-d-xo.html
et ici (matériel) : th-cam.com/video/4fy9kd4Gj8M/w-d-xo.html
Ça va te faire un peu de trucs à regarder, mais j'ai essayé de faire une série didactique et qui se suit dans le temps.
N'hésites pas si tu as d'autres questions.
À plus
@@remi-cybersec Merci pour cette longue réponse à mon message confus 😉
Je n'ai aucun problème avec l'open source, j'utilise aussi KeepassXC, Aegis, Tutanota etc., je suis sous Linux, j'envisage sérieusement l'abandon d"Android. Bref.
Comme tu le dis dans tes vidéos, il y a toujours un arbitrage entre sécurité et facilité d'usage. LastPass est le résultat de cet arbitrage "pour moi" (et un peu aussi parce que c'est celui avec lequel j'étais le plus à l'aise, utilisation pro oblige). D'autant que LastPass "Famille" m'a permis, enfin, de commencer à convaincre ma famille .
La double authentification est activée partout où je le pouvais et j'ai investi dans une paire de Yubikey (c'est même en cherchant des informations sur ces clefs avant de franchir le pas que je suis tombé sur ta chaîne).
En fait je soulignais maladroitement dans mon commentaire initial le statut très problématique et très spécifique des smartphones pour la sécurité (personne ne va verrouiller son smartphone avec un mot de passe long et complexe, ce serait invivable ! ; les mises à jour de sécurité ne se font pas sur les anciennes versions d'Androïd et il n'est pas possible d'upgrader Androïd ; l'appareil porte souvent la seconde authentification ; c'est facilement perdu ou volé et de toute façon bien plus exposé qu'un ordinateur restant au domicile).
PS : pour une raison que je ne m'explique pas, le site "Two Auth Factor" me renvoi vers une société promouvant des services et formations sur les MFA mais pas du tout sur la liste des services proposant des MFA.
Étrange cette histoire de « Two Factor Auth ». 🤔
Depuis que j'ai buy ma Yubikey je ne sais pas comment j'ai pu m'en passer avant.
Des tutos de prévu sur la sécurité dans le domaines des crypto ? Ex: Passphrase de 25 mots sur Ledger
J’ai un petit truc qui arrive la semaine prochaine. 😉
Et par la suite, je vais m’atteler à expliquer les Blockchains. 👌🏼