Une remarque plus générale pour ce qui relève de la formation dans le domaine du numérique en France. Je suis formateur (Administration Systèmes Linux) depuis 2007, et je suis régulièrement contacté par des boîtes qui veulent quelque chose comme une formation intensive de deux (!) jours pour un niveau débutant (!!) afin que leurs admins soient “opérationnels sous Linux”. En règle générale, je refuse direct en prenant soin d’expliquer le comment du pourquoi aux clients.
Et en ce qui me concerne, je me suis adapté au marché en proposant une formation rapide de six (deux fois trois) jours, en insistant bien qu’il s’agit là de découvrir les fondamentaux par la pratique, et qu’il reste encore beaucoup (!) de chemin à faire.
Cette solution m’avait attiré il y a des années ! En effet, nous avions de grave problème de sécurité dans la boite où je travaillais. Et donc la possibilité de travailler avec d’autre mot de passe que toto ou Password123! me tentait. Après réflexion, le fait de dériver des mots de passe à partir d’un mot unique “Master Key” nous posait problème car le turn over était vraiment important et il aurait fallu changer le mot de passe Master et tous les mots de passe des clients. De plus avec certains clients {:-) nous avions quand même des mots de passe fort et des procédures 2FA (ou une technologie équivalente) et donc le fait de posséder deux référentiels pour les mots de passe nous a arrêter dans la mise en production de LessPass !
What this seems to be, in essence: password = HMAC(key, website).
Why this is bad, compared to an encrypted on-disk key store:
1. A password is now ciphertext, not a block of line noise. Every time you transmit it, you are giving away potential clues of use to an attacker.
2. The search space for possible passwords is bounded if you know the website. You are subject to key guessing attacks. If your key is short, pure serial guessing will break it fast.
3. They don’t need any access to you or your stuff, to guess a key. They don’t even need access to the server, it can be guessed on an unrelated machine. You don’t have the opportunity to detect a break-in and neither does your bank, etc.
4. You only have one password for all the sites, really, underneath, and it’s your secret key. If it’s broken, it’s now a skeleton-key and your digital ass is theirs.
Acte 3
Voici la traduction de monsieur Google :
<<
Ce que cela semble être, en substance: mot de passe = HMAC (clé, site Web).
Pourquoi c’est mauvais, par rapport à un stockage de clés chiffré sur disque:
Un mot de passe est maintenant un texte chiffré, pas un bloc de bruit de ligne. Chaque fois que vous le transmettez, vous donnez des indices potentiels d’utilisation à un attaquant.
L’espace de recherche des mots de passe possibles est limité si vous connaissez le site Web. Vous êtes soumis à des attaques de devinettes clés. Si votre clé est courte, une pure estimation sérielle la cassera rapidement.
Ils n’ont pas besoin d’accéder à vous ou à vos affaires pour deviner une clé. Ils n’ont même pas besoin d’accéder au serveur, cela peut être deviné sur une machine indépendante. Vous n’avez pas la possibilité de détecter une effraction et votre banque non plus, etc.
Vous n’avez qu’un seul mot de passe pour tous les sites, vraiment, en dessous, et c’est votre clé secrète. S’il est cassé, c’est maintenant une clé squelette et votre cul numérique est à eux.
Acte 4
Si j’utilisais cette méthode de mot de passe, vu que mon profil est public sur le journal du hacker, une personne mal intentionnée n’a même pas besoin de se connecter à mon ordinateur pour connaître mon mot de passe !
C’est vrai que la suprématie des GAFAM inquiète. Mais cette inquiétude n’est pas uniquement localisée en Europe. Aux USA, une commission parlementaire examine pour le moment la situation de concurrence et de prédation économique de 4 géants : Amazon, Apple, Google et Facebook. Voici un résumé pour les anglophones : https://www.youtube.com/watch?v=Yf-JsLpebbA
Merci pour le lien sur la transcription : j’ai craqué après 90 minutes et c’est avec plaisir que j’ai poursuivi avec le texte écrit et donc pu me faire une opinion sur l’ensemble plus rapidement.
Très intéressant, c’est vrai que je me suis jamais demandé qui étaient ces elfes qui empaquetaient toutes ces choses pour le bien de la communauté! “Nous vous devons une reconnaissance éternelle”!
C’est pour ça qu’à la toute fin, je propose de désactiver l’accès au compte root, après bien sûr, il y a une armada de possibilités. D’ailleurs j’explique comment journaliser les actions faites avec sudo pour palier à ça! :)
Aussi, je voyais ça surtout aussi parce que certaines DSI ne sont pas trop d’accord à devoir créer des comptes distincts (trop lourd à gérer d’après eux…. la bonne blague, surtout quand tu as du Ansible dans ton infra). Du coup cette astuce s’y applique plutôt bien ! :D
L’astuce via variable d’environnement par clé ssh est pas mal pour suivre un utilisateur qui aurait “impersonné” un compte applicatif ou bien un compte root.
En fait, c’est spécifique à ton gestionnaire de fichiers. Je ne sais pas lesquels le prennent en compte, mais PCmanFM ou ranger par exemple l’ignorent.
Hahahaha !
Ça fait 10 ans au moins qu’on nous dit ça. Et aussi que les devs vont disparaître. Les usages évoluent, c’est tout.
Rien que pour maintenir lesdits clouds, ou développer les outils no-code, ils en faut des devs et des admins.
Aujourd’hui, on n’a plus forcément besoin d’un dev pour developer une newsletter ou une landing page basique… et c’est très bien comme ça. Nous pouvons nous concentrer sur des tâches plus techniques et gratifiantes.
Une remarque plus générale pour ce qui relève de la formation dans le domaine du numérique en France. Je suis formateur (Administration Systèmes Linux) depuis 2007, et je suis régulièrement contacté par des boîtes qui veulent quelque chose comme une formation intensive de deux (!) jours pour un niveau débutant (!!) afin que leurs admins soient “opérationnels sous Linux”. En règle générale, je refuse direct en prenant soin d’expliquer le comment du pourquoi aux clients.
Et en ce qui me concerne, je me suis adapté au marché en proposant une formation rapide de six (deux fois trois) jours, en insistant bien qu’il s’agit là de découvrir les fondamentaux par la pratique, et qu’il reste encore beaucoup (!) de chemin à faire.
Acte 1
Cette solution m’avait attiré il y a des années ! En effet, nous avions de grave problème de sécurité dans la boite où je travaillais. Et donc la possibilité de travailler avec d’autre mot de passe que toto ou Password123! me tentait. Après réflexion, le fait de dériver des mots de passe à partir d’un mot unique “Master Key” nous posait problème car le turn over était vraiment important et il aurait fallu changer le mot de passe Master et tous les mots de passe des clients. De plus avec certains clients {:-) nous avions quand même des mots de passe fort et des procédures 2FA (ou une technologie équivalente) et donc le fait de posséder deux référentiels pour les mots de passe nous a arrêter dans la mise en production de LessPass !
Acte 2
Lecteur assidus de new, quel ne fut ma surprise de tomber sur cette critique à https://news.ycombinator.com/item?id=12889807 :
<<
What this seems to be, in essence: password = HMAC(key, website).
Why this is bad, compared to an encrypted on-disk key store:
1. A password is now ciphertext, not a block of line noise. Every time you transmit it, you are giving away potential clues of use to an attacker.
2. The search space for possible passwords is bounded if you know the website. You are subject to key guessing attacks. If your key is short, pure serial guessing will break it fast.
3. They don’t need any access to you or your stuff, to guess a key. They don’t even need access to the server, it can be guessed on an unrelated machine. You don’t have the opportunity to detect a break-in and neither does your bank, etc.
4. You only have one password for all the sites, really, underneath, and it’s your secret key. If it’s broken, it’s now a skeleton-key and your digital ass is theirs.
Acte 3
Voici la traduction de monsieur Google :
<< Ce que cela semble être, en substance: mot de passe = HMAC (clé, site Web). Pourquoi c’est mauvais, par rapport à un stockage de clés chiffré sur disque:
Un mot de passe est maintenant un texte chiffré, pas un bloc de bruit de ligne. Chaque fois que vous le transmettez, vous donnez des indices potentiels d’utilisation à un attaquant.
L’espace de recherche des mots de passe possibles est limité si vous connaissez le site Web. Vous êtes soumis à des attaques de devinettes clés. Si votre clé est courte, une pure estimation sérielle la cassera rapidement.
Ils n’ont pas besoin d’accéder à vous ou à vos affaires pour deviner une clé. Ils n’ont même pas besoin d’accéder au serveur, cela peut être deviné sur une machine indépendante. Vous n’avez pas la possibilité de détecter une effraction et votre banque non plus, etc.
Vous n’avez qu’un seul mot de passe pour tous les sites, vraiment, en dessous, et c’est votre clé secrète. S’il est cassé, c’est maintenant une clé squelette et votre cul numérique est à eux.
Acte 4
Si j’utilisais cette méthode de mot de passe, vu que mon profil est public sur le journal du hacker, une personne mal intentionnée n’a même pas besoin de se connecter à mon ordinateur pour connaître mon mot de passe !
C’est vrai que la suprématie des GAFAM inquiète. Mais cette inquiétude n’est pas uniquement localisée en Europe. Aux USA, une commission parlementaire examine pour le moment la situation de concurrence et de prédation économique de 4 géants : Amazon, Apple, Google et Facebook. Voici un résumé pour les anglophones : https://www.youtube.com/watch?v=Yf-JsLpebbA
Merci pour le lien sur la transcription : j’ai craqué après 90 minutes et c’est avec plaisir que j’ai poursuivi avec le texte écrit et donc pu me faire une opinion sur l’ensemble plus rapidement.
Effectivement oui, je vais regarder ça cette semaine. Merci pour le feedback.
Très intéressant, c’est vrai que je me suis jamais demandé qui étaient ces elfes qui empaquetaient toutes ces choses pour le bien de la communauté! “Nous vous devons une reconnaissance éternelle”!
La transcription : https://www.april.org/souverainete-numerique-la-douche-froide-tariq-krim-et-bernard-benhamou-thinkerview
Et si tu veux aller plus loin, tu peux activer l’accès en Gît par SSH, j’avais documenté la procédure ici : https://becauseofprog.fr/article/activer-serveur-ssh-gitea-gogs
Génial ! Et c’est quoi Gitea ?
Genre 2 lignes d’intro pour éviter aux feignasses en mon genre d’avoir à utiliser leur DDG pour savoir.
C’est pour ça qu’à la toute fin, je propose de désactiver l’accès au compte root, après bien sûr, il y a une armada de possibilités. D’ailleurs j’explique comment journaliser les actions faites avec sudo pour palier à ça! :)
sudo -i et hop t’es root et à ma connaissance pas de traces des commandes !
http://img113.xooimage.com/files/e/7/e/2020-07-30_23-14-57989f9.png
Mais il faut bien configurer sudo :)
Aussi, je voyais ça surtout aussi parce que certaines DSI ne sont pas trop d’accord à devoir créer des comptes distincts (trop lourd à gérer d’après eux…. la bonne blague, surtout quand tu as du Ansible dans ton infra). Du coup cette astuce s’y applique plutôt bien ! :D
L’astuce via variable d’environnement par clé ssh est pas mal pour suivre un utilisateur qui aurait “impersonné” un compte applicatif ou bien un compte root.
Y’a pas photo! Mais dans certains cas…
C’est quand même plus simple avec des comptes distincts et sudo.
En fait, c’est spécifique à ton gestionnaire de fichiers. Je ne sais pas lesquels le prennent en compte, mais PCmanFM ou ranger par exemple l’ignorent.
La station de travail sur laquelle je lis cet article va disparaître aussi.
https://www.zdnet.com/article/the-pc-is-dead-long-live-the-cloud-pc/
La seule chose qui va durer, c’est les journalistes du numérique qui jouent les Cassandre.
:o)
Hahahaha ! Ça fait 10 ans au moins qu’on nous dit ça. Et aussi que les devs vont disparaître. Les usages évoluent, c’est tout. Rien que pour maintenir lesdits clouds, ou développer les outils no-code, ils en faut des devs et des admins.
Aujourd’hui, on n’a plus forcément besoin d’un dev pour developer une newsletter ou une landing page basique… et c’est très bien comme ça. Nous pouvons nous concentrer sur des tâches plus techniques et gratifiantes.
Tout ce bullshit est bien résumé par cette BD
Le tuto qui commence par “Désactivez SELInux” sans plus d’explication…
oups, je viens de corriger le lien. Vous avez raison, j’aurais dû mettre une évaluation des performances de cet algo.