Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

sécuriser son PC : jusqu'où aller ?

deb2015

Bonjour,

En ces temps où l'on prend conscience de l'(in)sécurité sur internet, je me demande comment bien sécuriser mon PC portable (ubuntu 14.04.2).
Mais cela dépasse un peu le portable lui-même, puisque beaucoup de mes données (mail, ...) se retrouvent délocalisées (=pas chez moi) par la force
des choses.

Sachant que je m'y intéresse à titre privé seulement, que je n'ai pas d'intérêt particuliers à me protéger autrement que pour garder ma vie privée,
je me demande si ce que je fais est suffisant ou s'il faut aller plus loin.

Voici ce que je fais déjà :

Sur mon PC portable, mon /home n'est pas crypté, mais je dispose d'une partition cryptée (luks) sur laquelle je mets
les informations vraiment sensibles (code d'accès, ...). Le reste, même s'il est personnel, ne présente pas grand
intérêt pour une autre personne (à moins d'une malveillance particulièrement dirigée : usurpation d'identité, divulgation photos/mail persos).
Le PC portable est protégé par un pare feu qui n'autorise que le port ssh (en entrée)
et certains ports (mail, http) en sortie. Le serveur ssh est contrôlé par xinetd, dans sa configuration il n'est pas possible
de se connecter en tant que root et il faut obligatoirement une clé ssh (pas de mot de passe). J'ai aussi installé fail2ban
pour prévenir les attaques sur le port 22 (et il y en a !).

Sur mon /home j'ai créé un montage tmpfs sur lequel je mets tous les fichiers de logs/cache qui sont automatiquement créés
au lancements des applications (par ex. firefox).

Mes données sont également sauvegardées sur un serveur de stockage personnel en ubuntu (recyclage vieille machine) chez moi.
Rien ou presque sur des serveurs distants, sauf les mails.
On s'y connecte par ssh, même configuration que précédemment, même pare feu avec en plus un filtrage MAC : on ne peut s'y connecter
qu'à partir de mon propre PC portable. Le stockage est en RAID1 pour éviter de bêtement perdre tout par suite du crash d'un disque (ce qui arrive).

Le wifi est sécurisé par WPA2, je me sers toujours de gmail, mais je dispose d'une autre adresse plus perso, celle de gmail ne servant
que pour les correspondances dont je me fiche qu'elles soient interceptées.

Sur mon smartphone, j'ai installé replicant, un remplaçant (presque) complètement libre d'android. La puce GPS est éteinte la plupart du temps.
J'essaye autant que possible de crypter mes communications, je le fais quand ça me semble vraiment nécessaire : par ex. envoyer/recevoir par SMS un code d'accès.

====

Voilà maintenant ce à quoi je pense :
- crypter entièrement le /home (mais je crains que cela est des impacts sur la performance, notamment pour les jeux)
- AppArmor, audit : ce sont des options du kernel
- utiliser la puce TPM du PC portable
- utiliser les sécurités bu bios : démarrage avec mot de passe : mais j'ai peur de murer mon PC en l'oubliant
- mots de passe différent pour chaque site (vpc, forum) : mais comment bien les générer et s'en souvenir !

====

Par sécurité, j'entends à la fois la protection de mes communications et la pérennité de mes données : j'aimerais ne pas perdre mes données personnelles (photos vidéo de famille, ...) et si l'un des mes matériels venait à être volé (surtout ce qui est portable), j'aimerais que le voleur ne puisse faire un mauvais usage des données qu'il trouverait.

Le seul bémol que je me fais est que je ne change pas assez souvent les mots de passe ou de clé ssh/wpa2, par exemple la clé wpa2 est d'origine et mes clés
ssh sont anciennes aussi.

cinaptix

- mots de passe différent pour chaque site (vpc, forum) : mais comment bien les générer et s'en souvenir !

KeepassX

[supprimé]

deb2015 a écritJ'essaye autant que possible de crypter mes communications, je le fais quand ça me semble vraiment nécessaire : par ex. envoyer/recevoir par SMS un code d'accès.

bonjour, c'est bien, pouvez vous apporter des informations sur la procédure de chiffrement des SMS ?
merci.

deb2015

Bonjour,

merci pour vos commentaires.

Pour ssh+tor, ton tuto est intéressant mais il ne dit pas exactement comment on accède depuis internet à son serveur, ce n'est plus "ssh moi@monadresse" j'imagine.

je suis allé à la pèche, voici quelques idées :
dnscrypt : chiffrer les requêtes DNS

macchanger : changer son adresse mac à chaque redémarrage : je pense que c"est pas mal si on est sur un réseau que l'on ne connaît pas,
en revanche sur son propre réseau, si on fait de l'IP statique avec l'adresse MAC cela pose un pb.

password-store : sauvegarder tous les mots de passe en ligne de commande (équivalent KeePassx), intéressant car on peut le scripter et il y a une option pour
coller le mot de passe directement dans le clipboard de X

sandbox : vous connaissiez peut-être, moi pas, ça permet de faire tourner des applications (notamment navigateur internet) dans un environnement très limité,
c'est comme une virtualisation (mais cela n'en n'est pas, c'est différent de virtualbox), ça a l'avantage d'être plus léger,
j'ai noté "firejail" et "mbox", mais je n'ai pas vu de concensus sur un logiciel de référence, notez que AppArmor est aussi en mesure
de le faire, mais je n'ai pas vu d'exemples, c'est peut-être encore en test.

tpm : la puce tpm semble être intéressante pour entreposer des clés comme celle du SSH, elle sert à bien d'autres choses

tboot, trustedGRUB : pour un boot plus sûr, mais ce n'est pas évident à mettre en place, avec le risque de ne plus pouvoir démarrer si on se rate,
pour l'instant, je m'en tiens avec le mot de passe BIOS

Quelques liens intéressants sur ces sujets :

https://blog.habets.se/2013/11/TPM-chip-protecting-SSH-keys
http://resources.infosecinstitute.com/linux-tpm-encryption-initializing-and-using-the-tpm/
https://github.com/shpedoikal/tpm-luks/
https://software.intel.com/en-us/blogs/2012/09/25/how-to-enable-an-intel-trusted-execution-technology-capable-server

Zoulou.4556

Localhost a écrit
deb2015 a écritJ'essaye autant que possible de crypter mes communications, je le fais quand ça me semble vraiment nécessaire : par ex. envoyer/recevoir par SMS un code d'accès.
bonjour, c'est bien, pouvez vous apporter des informations sur la procédure de chiffrement des SMS ?
merci.

slt, essai smssecure visible sur Fdroid et aussi sur evil, license GPLv3, code source sur github

Caribou22

cinaptix a écrit
- mots de passe différent pour chaque site (vpc, forum) : mais comment bien les générer et s'en souvenir !
KeepassX

J'ai une astuce sinon : Apprendre par coeur un mot de passe complexe (Majuscules, minuscules, chiffres, caractères spéciaux) et le compléter avec par exemple les 3 premières lettres du site auquel appartient le compte. Om obtint ainsi un mot de passe différent à chaque fois et facile à retenir 🙂

Ubuntu1988

Pour le chiffrement, mieux vaut y aller par fichier/dossier mais pas un home ou une partition entière

deb2015

voxdemonix a écrit Si tu te chope un keylogger, il aura tôt fait d'ouvrir ta liste de mot de passe (il existe une floppée de logiciel visant cet objectif), c'est surtout pratique sur un pc familiale.

Est-ce que en ce sens KeePassX, ou d'autres logiciels, sont capables d'éviter un keylogger ? avec un clavier virtuel par exemple ?

voxdemonix

Aucune solution n'est parfaite.
Ton logiciel qui stoques les mots de passes est faillible aux mêmes problèmes (keyloggers) en ajoutant en plus la sauvegarde qui implique de nouveau problème (on peut attaquer le container chiffrer où sont stocké tes mots de passes). Le clavier virtuel semble efficace, peut-être face aux noobs, mais ils arrivent bien a passer des captcha qui sont plus difficile a lire que le clavier virtuel ^^

Le truc dit plus haut est pas bête mais franchement si c'est le site qui se fait pirater sa base de données les pirates sont pas des cons, ils vont voir monPassword_Fac (pour facebook) ils vont deviner et supprimer le _Fac 😛 (tient je vais coder un regex qui fait ça pour passer le temps ^^)

uboops

Bonjour,
Aucune solution n'est parfaite, mais une solution intéressante, en plus du reste habituel , utilisateurs avertis et précautionneux, pare-feu, droits users, antivirus and Co , .... est la solution "bac à sable) sandbox (comme firejail par exemple, pour les navigateurs web, clients mails, en priorité, sinon pour les autres softs, c'est du réglage fin/customisé et donc chronophage).