Faut-il stocker ses mots de passe dans un gestionnaire crypté en ligne ?

[JPL]

Ci-dessous une information inquiétante sur sa sécurité d’un site connu :

https://www.lemonde.fr/pixels/articl...8_4408996.html
-----

[epsilon46]

Si les mots de passe restent cryptés et que le mot de passe maître reste chez l'utilisateur il n'y a a priori pas trop de danger.
Maos ça confirme qu'aucune entreprise n'est à l'abri d'un vol de données.

[JPL]

Et ça confirme qu’il faut utiliser des mots de passe maîtres forts. On peut estimer qu’un mot de passe de 20-25 caractères mélangeant majuscules, minuscules, chiffres et caractères spéciaux (le tout de préférence complètement aléatoire) est actuellement incassable. Le problème est de mémoriser un tel mot de passe

[Gwinver]

Bonsoir.

C'est tout de même très inquiétant car il s'agit d'une entreprise dont le métier est la cybersécurité, en principe.

[A voir en vidéo sur Futura]

[JPL]

Ce qui prouve que quand un programme est complexe (ce qui est le cas de tous les programmes actuels) il y a toujours la possibilité qu’il y ait une erreur ou une faille quelque part. Au temps jadis les américains avaient bien perdu une fusée pour une histoire de point-virgule oublié.

[pm42]

C'est tout de même très inquiétant car il s'agit d'une entreprise dont le métier est la cybersécurité, en principe.

Pas vraiment : c'est une entreprise qui s'occupe d'un micro-marché pour essayer de simplifier ce qu'on sait être une des pires inventions en terme de sécurité, le mot de passe et ses règles ultra-compliquées.
Voir par exemple : https://www.popularmechanics.com/tec...-he-was-wrong/

Ce qui prouve que quand un programme est complexe (ce qui est le cas de tous les programmes actuels) il y a toujours la possibilité qu’il y ait une erreur ou une faille quelque part.

On sait faire sans erreur mais c'est très, très cher et encore plus lent.

Au temps jadis les américains avaient bien perdu une fusée pour une histoire de point-virgule oublié.

Oui mais aujourd'hui, on fait tout fonctionner avec du logiciel et globalement, cela marche bien.

Par exemple, pour écrire ton message, le poster et qu'il soit visible, il y a une quantité incroyable de soft qui été utilisée depuis le driver du clavier jusqu'à celui des écrans qui l'affichent en passant par les OS, browsers, couches IP, routeurs, serveurs Web, bases de données (et encore, il y a sans doute les firmwares qui entrent en jeu).

Globalement, on progresse énormément en qualité logicielle et en cybersécurité : il y a quelques années déjà, je pouvais pénétrer pas mal de sites à distance en quelques secondes et craquer une machine physique protégée par un mot de passe presque aussi vite.
Aujourd'hui, c'est largement plus compliqué et l'attaque contre le site que tu indiques est sophistiquée et a apparemment utilisé du "social engineering", etc.

[JPL]

Aujourd'hui, c'est largement plus compliqué et l'attaque contre le site que tu indiques est sophistiquée et a apparemment utilisé du "social engineering", etc.

L’humain est toujours le point le plus faible de la chaîne, même avec la double authentification... quand elle est utilisée.

[pm42]

L’humain est toujours le point le plus faible de la chaîne, même avec la double authentification... quand elle est utilisée.

Aujourd'hui oui, l'humain est sans doute le maillon le plus faible. Ce n'était pas le cas autrefois.
La double authentification est un gros plus et elle est obligatoire dans les domaines sensibles alors qu'autrefois, c'était réservé à des cas très particuliers et cher : comme je disais, on progresse.

Et il y a d'autres changements à venir qui seront intéressants notamment pour se débarrasser des mots de passe : https://www.apple.com/newsroom/2022/...fido-standard/

[JPL]

Un exemple qui me vient à l’esprit pour les failles qui se glissent à l’insu de tous ceux qui en sont en charge est celui d’openssl : un module de programme open source, donc dont les programmeurs du monde entier pouvaient analyser le code, et qui est employé par des millions de sites pour les échanges sécurisés. Il a été utilisé pendant de nombreuses années avant qu’on découvre qui hébergeait une faille critique. Celle-ci a alors été rapidement corrigée, mais combien de sites ont utilisé longtemps après sa version ancienne non corrigée ?

[JPL]

Et il y a d'autres changements à venir qui seront intéressants notamment pour se débarrasser des mots de passe : https://www.apple.com/newsroom/2022/...fido-standard/

Je vais lire ça à tête reposée parce que cela me semble intéressant. À mon expérience l’authentification par le visage est pour le moment largement défaillante, quant aux empreintes digitales, les miennes se sont effacées avec l’âge au point de ne plus être lisibles qu’avec un appareil professionnel performant. J’ai failli rester coincé dans un aéroport à cause de ce problème.

[pm42]

Un exemple qui me vient à l’esprit pour les failles qui se glissent à l’insu de tous ceux qui en sont en charge est celui d’openssl : un module de programme open source, donc dont les programmeurs du monde entier pouvaient analyser le code, et qui est employé par des millions de sites pour les échanges sécurisés. Il a été utilisé pendant de nombreuses années avant qu’on découvre qui hébergeait une faille critique. Celle-ci a alors été rapidement corrigée, mais combien de sites ont utilisé longtemps après sa version ancienne non corrigée ?

Oui mais c'est un exemple de "pas cher". On s'est rendu compte après qu'en fait, c'était 2 personnes qui maintenaient à temps partiel une librairie utilisée par tout le monde et que personne ne faisait le travail nécessaire par garantir la sécurité.
De mémoire, les gros acteurs du marché se sont mis d'accord pour que ce soit mieux financé.

Mais la sécurité est clairement un domaine qui malgré les progrès cités plus haut reste jeune et faiblard comparé à ce qu'il pourrait être.
C'est sans doute aussi du au fait que les Etats ont un rapport ambigu au sujet : il suffit de voir le FBI s'opposer au cryptage de bout en bout ou la NSA introduire des failles pour pouvoir espionner tout et n'importe quoi par exemple.

À mon expérience l’authentification par le visage est pour le moment largement défaillante

Ca marche bien mais à X% et c'est ce qu'on lui demande. Perso, je l'utilise sur mon téléphone et c'est efficace.

quant aux empreintes digitales, les miennes se sont effacées avec l’âge au point de ne plus être lisibles qu’avec un appareil professionnel performant

C'est impressionnant mais là aussi, ça marche plutôt pas mal pour la plus grande part de la population.

J’ai failli rester coincé dans un aéroport à cause de ce problème.

Effectivement et c'est le problème des bureaucraties plus que de la technologie : on leur donne des règles qui ne prévoient pas les exception et ils ont tendance à appliquer sans réfléchir (ce qu'on leur demande).
Parce que des histoires comme ça, il y en a eu à l'époque du crayon/papier où quelqu'un qui n'avait pas le bon tampon sur le bon document se retrouvait dans Kafka.