Mitigation vs je suis trop con je la veux profond.

Je suis pas étonné de ton choix.

@CBL: T'as aucune visibilité sur les accès serveurs (qui parle de pirate quand prism existe?), aucune visibilité sur la qualité de l'encryption, aucune visibilité sur qui a accès aux mdp en clair (parce que faut pas se leurer dans toutes les grosses boites t'as du plaintext qui traine a des fins de débug ou autre).

De l'autre coté t'as keepass, open source, audité régulièrement, certifié par des organismes de sécu, mis a jour très régulièrement, avec 0 raisons de garder un exploit/faille secrete.

"J'ai quatre ordinateurs différents : mon fixe, mon portable, mon smartphone et une tablette."

Ça tombien bien y'a des clients pour tous ces appareils, et vu que la bdd est cryptée et que t'as l'air de pas vouloir te faire chier: tu peux la mettre sur un cloud (c'est moyen mais bon le risque est limité vu que tu controle a 100% le cryptage) pour la partager.


Non vraiment, soyez honnêtes: vous utilisez ces services parce que c'est pratique, mais ça reste de la merde niveau sécu.
C'est l'éternel combat du system diy de meilleur qualité mais qui prend un peu plus de temps a mettre en place vs le systeme clef en main mais ou les clefs sont pas vraiment dans ta main.

C'est de la merde, mais au final, sur 70 années d’espérance de vie, quels sont les risques réels de piratage de compte google ?


Ça c'est un truc qui est intéressant, connaitre les stats de piratage ( peut probable qu'on les connaisse cela dit), quelles sont les différentes conséquences et leur fréquence.


Chrome c'est automatique, t'as vraiment besoin de rien faire, surtout sur le téléphone. C'est très confortable et si les risques sont faibles ou que le risque de conséquences graves après piratage est peu élevé, alors peut être que ça sert à rien de se prendre la tête.

Je ne sais pas trop.

En tout cas je note quand même ce keepass, j'ai envie de tester, aller au delà de la flemme.

Je vais juste dire ça Le Vertueux: on relativise toujours jusqu'au jour ou son mail de récupération pour 70% de ses accès au net est compromis. A ce moment c'est la panique la plus totale, on essaye de se souvenir ce qui a le plus de valeur (accès financiers) et on y arrive pas.
Parce que le moment ou tu te fais gauler un compte de ce type: tu n'as plus aucune certitude de pouvoir même accéder a la liste des sites liés. L'écosysteme google est tellement interconnecté que si tu te fais gauler ce compte c'est ta sync browser qui est inaccessible, ton mail de récupération, potentiellement ton authentificateur qui ne fonctionne plus (y'a moyen de le reset dans certains cas).

Tout mettre dans le même panier sans avoir la certitude de TOUJOURS pouvoir accéder au dit panier c'est vraiment un risque tu veux pas prendre (même si les stats te disent que c'est safe).
Avec keepass, si t'as fait des backups de temps en temps (ça prend 2 sec sur une clef usb)... au moins tu sais ce que tu risques et c'est facile a gérer.

Tu te fais gauler comment un compte google avec 2FA actif ?

Khdot a écrit :
Tu te fais gauler comment un compte google avec 2FA actif ?

En ayant peu de connaissance en sécurité et en choisissant une 2FA faible (sms). Y'a comme qui dirait des miliers d'appli sur le playstore qui font du sms grabbing :)
T'essaye de me mettre en défaut là mais la vérité c'est que tu connais mal ton terrain de jeu.

BeatKitano a écrit :
@CBL: T'as aucune visibilité sur les accès serveurs (qui parle de pirate quand prism existe?), aucune visibilité sur la qualité de l'encryption, aucune visibilité sur qui a accès aux mdp en clair (parce que faut pas se leurer dans toutes les grosses boites t'as du plaintext qui traine a des fins de débug ou autre).
.

En plus d'être encryptés, Google utilise une fonction de hachage pour les mots de passe. Donc même si tu parviens à les voler, tu ne pourras pas les décrypter.

Quant au SMS grabbing, c'est le même problème pour keypass si quelqu'un colle un cheval de troie sur ton ordinateur. Faut faire gaffe à ce que tu installes sur ton téléphone. Ou prendre un iPhone.

Le sms n'est il pas temporaire ?
Faudrait pirater le mot de passe google plus récupérer le sms du téléphone ?

T'installes une appli vérolée, l'appli récupère (ou te demandes ton mail) +mdp, un sms est envoyé dans le cadre de l'authentification 2FA: l'app récupère le code dans le sms, ton compte est piraté. Le pire: c'est que dès fois le mdp est pas changé, ils gardent juste le cookie d'auth et attendent le bon moment pour agir.

Enfin là on parle de 2FA spécifiquement, c'est un autre sujet, mais le mythe du "compte google impiratable" a encore bon dos.

Un truc cool de Google au passage : il analyse tes mots de passe et te dit quand tu as réutilisé le même et s'ils ont été compromis car la Fnac ou autre s'est fait pirater.

CBL a écrit :

BeatKitano a écrit :
@CBL: T'as aucune visibilité sur les accès serveurs (qui parle de pirate quand prism existe?), aucune visibilité sur la qualité de l'encryption, aucune visibilité sur qui a accès aux mdp en clair (parce que faut pas se leurer dans toutes les grosses boites t'as du plaintext qui traine a des fins de débug ou autre).
.

En plus d'être encryptés, Google utilise une fonction de hachage pour les mots de passe. Donc même si tu parviens à les voler, tu ne pourras pas les décrypter.

Je vais être chiant: Peux tu le prouver ? Parce que ce serait pas la première fois qu'une grosse entité commerciale dit protéger ses utilisateurs mais ne crypte peu/pas/mal pour faire des économies.
C'est là ou je veux en venir: y'a pas de solution parfaite, mais crypter ses données AVANT upload (avec une clef personelle et non partagée) sera toujours plus safe que de faire confiance a un tiers qui n'a pas forcément les mêmes intérêts que l'utilisateur. Et puis merde au delà de ça: les gens sont les premiers a gueuler que google a trop de données personnelles et ils leur filent tous leurs mot de passe... faut être un peu con non ?

Oui je peux le prouver. Et le hachage se fait côté client en plus...

Quant à l'argument sur les données personnelles, on suppose que tu as déjà un compte Google donc que tu n'es plus à cela près... Accessoirement rien ne t'oblige à mettre un vrai nom/prénom/adresse. Tu peux utiliser Chrome pour synchroniser tes données via un compte appartenant à Jean Tartampion habitant au 69 Rue des Cunni.

CBL a écrit :
Oui je peux le prouver. Et le hachage se fait côté client en plus...

Quant à l'argument sur les données personnelles, on suppose que tu as déjà un compte Google donc que tu n'es plus à cela près... Accessoirement rien ne t'oblige à mettre un vrai nom/prénom/adresse. Tu peux utiliser Chrome pour synchroniser tes données via un compte appartenant à Jean Tartampion habitant au 69 Rue des Cunni.

Chromium qui download des blobs binaires dont personne ne sais ce qu'ils contiennent réellement... Je vais pas aller jusque là mais j'ai pas super confiance dans la nature transparente de chromium...
Quand a utiliser un compte pour la sync: comme si google ne connaissaient pas les 4 comptes sur ton pc et ne savaient pas les lier.

Tu peux lire le code si tu veux.

Pour le compte, je ne dis pas d'en créer un nouveau. Je dis juste que soit tu utilises Gmail et de toute façon Google a déjà tes données personnelles soit tu te crées un compte Google bidon pour utiliser les services Google de manière anonyme. Si Google peut lire 10 ans d'historique de tes mails, ils n'ont pas besoin du gestionnaire de mot de passe pour savoir que tu as utilisé ton email pour t'inscrire à Spotify :/

Je viens de te dire que google intègre des blobs binaires à chromium qui se téléchargement arbitrairement avec du contenu impossible a auditer.
Donc le password manager est peut-être clean, mais comme on peut pas vérifier l'intégralité du code du navigateur... quelle confiance attribuer a ça ?

La question n'est pas ENCORE UNE FOIS, d'avoir la sécu parfaite (qui n'existe pas), mais de réduire les risques. Utiliser un navigateur détenu par la plus grosse entité du web, capable de dropper du code non audité dans sa version opensource, et lui fournir ses mots de passe c'est vraiment éviter le lapin pour foncer dans le mur.

Tes blobs binaires ont disparu aussi vite qu'ils sont apparus car justement la communauté open source a gueulé. Et c'était en 2015. Chromium c'est la base d'un bon paquet de navigateurs non-Google comme Edge (Microsoft), Opera, Silk (Amazon), Avast ou Samsung. Toutes ces boites ont aussi leur mains dans le code et vérifient que Google ne fait pas trop de conneries.

Quant à réduire les risques, je te garantis que ton ordinateur personnel a plus de chance de se faire pirater que les serveurs de Google.

CBL a écrit :
Tes blobs binaires ont disparu aussi vite qu'ils sont apparus car justement la communauté open source a gueulé.

Oui, il n'en reste qu'ils peuvent redropper ce genre de trucs quand ils veulent, il a fallu une semaine pour que Debian s'en rende compte.
De toute façon le débat n'est même pas là: t'utilises chromium ? Je vais m'aventurer et dire que comme 80% de la planete tu utilises chrome... Pieds et mains liées.

CBL a écrit :
Quant à réduire les risques, je te garantis que ton ordinateur personnel a plus de chance de se faire pirater que les serveurs de Google.

Je suis pas super convaincu par cet argument: d'un coté le coffre fort, des millions de mecs intéressés par le contenu
De mon coté: un mec lambda, qui va pas sur des sites louches, installe ses applis depuis des repos opensource, utilises des mdp uniques et autogénérés, dans un porte-clef local et maj son système opensource toute les semaines... surface d'attaque faible, et puis ça intéresse qui d'abord ?

Non justement ils ne peuvent pas car comme je le dis il y a tout un tas de grosses boites et de gens qui scrutent le code. Et non j'utilise Chrome car justement j'ai besoin de la synchro. Est-ce que Google peut balancer du code surprise dans Chrome pour bloquer le hachage? Probablement. Est-ce qu'ils ont le moindre intérêt à le faire? Non.

Quant à pirater les PCs d'un particulier, l'idée est de ne pas cibler une personne en particulier. Tu infectes un logiciel ou un site qui par la suite contamine toute une série d'ordinateurs qui se mettent à balancer tes données aux pirates. Après les pirates font le tri ou vendent le tout en gros. Petit exemple personnel : l'IT de ma précédente boite étant un escroc qui a installé sur tous les PCs du bureau un soft pour miner des litecoins. Pas de chance, le soft en question était un gros cheval de troie. Pas de chance pour moi, j'ai installé Steam sur le PC du boulot. Et du coup mon login et mot de passe Steam se sont retrouvés dans la nature. Heureusement j'avais activé Steam Guard.

CBL a écrit :
Non justement ils ne peuvent pas car comme je le dis il y a tout un tas de grosses boites et de gens qui scrutent le code. Et non j'utilise Chrome car justement j'ai besoin de la synchro. Est-ce que Google peut balancer du code surprise dans Chrome pour bloquer le hachage? Probablement. Est-ce qu'ils ont le moindre intérêt à le faire? Non.

heu... non, par contre avoir tous les mdp en clair avant hashage, ça... ça vaut de l'or.

CBL a écrit :
Quant à pirater les PCs d'un particulier, l'idée est de ne pas cibler une personne en particulier. Tu infectes un logiciel ou un site qui par la suite contamine toute une série d'ordinateurs qui se mettent à balancer tes données aux pirates. Après les pirates font le tri ou vendent le tout en gros. Petit exemple personnel : l'IT de ma précédente boite étant un escroc qui a installé sur tous les PCs du bureau un soft pour miner des litecoins. Pas de chance, le soft en question était un gros cheval de troie. Pas de chance pour moi, j'ai installé Steam sur le PC du boulot. Et du coup mon login et mot de passe Steam se sont retrouvés dans la nature. Heureusement j'avais activé Steam Guard.

Ouais, mais tu me parles d'environnement corporate. Moi en temps qu'utilisateur, a domicile: franchement google a plus de soucis a se faire que moi.
Et encore une fois: le 2FA c'est une surcouche indispensable (et qui n'était pas vraiment le sujet a l'origine), il est toujours bon de le rappeler.
Mais avant de se reposer dessus, le minimum c'est d'avoir une hygiène modepassique (neologisme is my hobby).

BeatKitano a écrit :
heu... non, par contre avoir tous les mdp en clair avant hashage, ça... ça vaut de l'or.

Pour qui? Pour les pirates qui vont miraculeusement pirater les serveurs de Google, voler les mots de passe, les décrypter et prier pour qu'ils ne soient pas hachés?

Je te garantis qu'ils préfèrent largement tenter de les pirater soit à la source (ton ordinateur) soit à la cible à savoir les différents services que tu utilises. Et d'ailleurs c'est ce qu'ils font : c'est pour cela que tu as régulièrement des brèches de sécurité où des millions de comptes se retrouvent dans la nature (Adobe, eBay, Equifax, Yahoo, LinkedIn...). Et dans ce cas ton KeePass ne te servira à rien. Par contre Google me dira : "Hey Adobe s'est fait pirater. Il faudrait peut être changer de mot passe."

CBL a écrit :

BeatKitano a écrit :
heu... non, par contre avoir tous les mdp en clair avant hashage, ça... ça vaut de l'or.

Pour qui? Pour les pirates qui vont miraculeusement pirater les serveurs de Google, voler les mots de passe, les décrypter et prier pour qu'ils ne soient pas hachés?

Pour google. J'ai l'impression qu'on est pas du tout au même niveau de "distrust". Je fais pas plus confiance a google qu'a un site tiers pour stocker mes mdp. Donc du coup je crypte moi même (keepass) et après, éventuellement, j'upload sur un serveur que je ne possède pas (service cloud).
Je sais pas, ça me parait être du bon sens...

CBL a écrit :
Et dans ce cas ton KeePass ne te servira à rien. Par contre Google me dira : "Hey Adobe s'est fait pirater. Il faudrait peut être changer de mot passe."

Ah si si, je t'assure, d'une j'ai aucun mdp identique, de deux, quand mettons spotify se fait hacker, ben... les pirates ont que le mot de passe spotify hein...
Le jour ou la brêche est chez 1pass, last pass, google et cie: ben c'est tous les mdp a changer !
A ça tu rajouttes les rappels de changement de mot de passes réguliers (tous les mois/deux mois etc) de keepass, et tu réduis CONSIDERABLEMENT le risque de piratage.