Reprise du message précédent :
Une clé est soit FIDO1 (ne sert que de second facteur, contient un simple secret) soit FIDO2 (sert à la fois de premier et second facteur "2en1", contient une paire de clés asymétriques). Par contre en FIDO2 si ta clé n'est pas biométrique tu dois mettre un PIN pour unlock le secret, du coup tu ne fais que remplacer un mot de passe par un truc plus light, mais faut toujours le taper.

Le truc c'est que FIDO2 n'est pas supporté par beaucoup de services web encore

OK, donc en gros ça ne peut pas servir par exemple à faire en sorte que mon terminal (putty, mobaxterm...) me permette un accès ssh à un serveur sans stocker la clé dans un fichier sur mon disque ET sans taper de mot de passe ?

Alors, apparemment, si : https://developers.yubico.com/PGP/S [...] ndows.html

Je n'ai qu'une clé Yubico bleue en fait qui gère que FIDO mais visiblement il y a des clés qui vont beaucoup plus loin. Intéressant mais attention à ne pas perdre la clé de 1, et de 2 toujours faire un backup donc prendre 2 clés. Et enrôler à chaque fois 2 clés c'est - je pense - assez pénible à la longue dès qu'on va avoir plus de 10 services. Je me demande même si pour supprimer une clé sur un service FIDO2 on demande pas d'insérer la clé en question. Bref, si on a 2-3 clés dans le tiroir de bureau, faut vite savoir déterminer quelle est la principale, la backup ou celle propre à un service si toutes ne sont pas enrôlées sur chaque service... et c'est pas facile à étiqueter ces petits trucs. Et alors si chacune a un PIN différent, je vous raconte pas l'enfer quand vous les testez une à une.

De mon côté sur les VM distantes/"cloud" je préfère autoriser que certaines IP à se connecter + mot de passe "correct". Le top étant de passer par un relais de type Azure Bastion.
Pour la maison, j'ai mis une gateway VPN (raspberry) pour accéder à mes VM depuis l'extérieur. De suite les attaques ne peuvent venir que de mon LAN, ça limite 99,9% des attaques sur le port SSH/RDP, à moins que Wireguard ou openvpn soient compromis un jour bien sûr...

C'est aussi un peu ce qui me fait peur avec les clés physiques : encore plus de bordel à gérer, oublier, ...  
 
Intéressant par contre l'histoire de https://developers.yubico.com/PGP/S [...] ndows.html
le "connect agent" ça m'a intrigué, et du coup j'ai découvert qu'il y a DANS keepass des trucs pour gérer les clés SSH
https://www.vcloudnine.de/make-your [...] r-keepass/
J'ai pas testé (faut que je vois aussi si ça fonctionne avec keepasXC) mais ça pourrait déjà être une approche intéressante pour ne pas se taper les pass systématiquement. Après je ne suis pas sûr que ça puisse fonctionner au sein d'une session, genre pour faire un "sudo" ou un "su".
 
Edit, bon je viens de tester :
1/ installer pageant et faire en sorte qu'il se lance au démarrage de l'ordi
2/ paramétrer keepass pour qu'il se connecte à pageant (paramètres généraux)
3/ ajouter la clé privée en temps que fichier joint (avancé) à l'entrée keepass qui nous intéresse
4/ paraméter l'agent SSH pour qu'il charge/décharge la clé à l'agent ssh au déverrouillage/verrouillage de la base et choisir le fichier joint en question (ça se fait entrée par entrée).
5/ Fermer/rouvrir la base (l'opération ne semble se faire qu'à l'ouverture/fermeture, pas lors de l'ajout de clés dans une base existante)
6/ Dans putty c'est déjà coché dans les paramètres de chercher à voir s'il n'y a pas des clés à importer depuis pageant / dans mobaXterm il faut aller dans les settings et cocher "use external Pageant" dans l'onglet ssh
 
Pour l'instant ça fonctionne, par contre je n'ai pas trouvé de solution pour sudo et su (genre pour ne pas qu'il demande le pass root mais utilise une clé automatiquement à la place)

 
Le SSHAgent de KeepassXC c'est effectivement très très pratique quand on est sysadmin.
Par contre je ne suis pas sûr que tu veuilles que ton sudo/su se remplisse automatiquement : qu'est-ce qui empêche le moindre programme de passer root ?

Ben le fait qu'il faudrait que la clé root (dans le cas de su) soit ouverte dans pageant pour que ça fonctionne.

Il y a un truc que je n'ai pas compris dans l'histoire : à aucun moment on ne configure d'autorisation entre pageant et putty/mobaxterm... Ce qui j'imagine que n'importe quelle application prit aller récupérer les clés privées lorsqu'elles sont dedans non ?
C'est pas une faille massive ? Genre si j'exécute (enfin quelqu'un qui squatte mon pc à mon insu plutôt ) le moindre malware (même sans droits d'admin) sur mon pc il peut potentiellement aller syphoner l'intégralité des clés privées que j'aurai exposées dans pageant depuis keepass ???

non, tu utilises pageant a tes risques et périls puisqu'il ouvre une brèche,

Il n'y a pas un truc plus secure mais sur le même principe ?  genre ce qui se fait entre keepass et le navigateur Web (autorisation spécifique entre les 2 et rien d'autre)

fermer pageant ?

Vu que j'ai en permanence des sessions ssh ouvertes, et les contraintes pour que pageant reçoive les clés de keepass ça serait juste invivable.

si elles sont ouvertes tu n'en a plus besoin

je corrige : j'en ouvre/ferme tout au long de la journée. Parfois elles "timeoutent" toutes seules, parfois je mets l'ordi en veille, parfois... enfin bref, s'il faut ouvrir pageant, fermer la base keepass, rouvrir la base keepass (avec long mot de passe), j'ai plus vite fait de copier un mot de passs de 32 chars aléatoires pour l'utilisateur ssh que d'utiliser des clés RSA via ce système.

 
Effectivement
 
D'où l'idée d'avoir un pixel avec graphene os avec seule connectivité le wifi via hotspot d'un autre tel ou autres  
 

 
Non    
 
Et c'est quoi Olvid ?

 
Evian
 

 
Une autre appli sécurisée  

 
 
 
la seule appli sécurisée accessible, grand public et cryptée par d'anciens mathématiciens de la dgse.
de quoi vouloir s'en servir
 
connaitre whapp signal telegram isntagram jtefkgram sans connaitre les skred threema wire matrix et olvid c'est qu'il y a un beau probleme de patriotisme techno et de souveraineté des données

Comment faire adopter ça à des contacts casu ? Déjà que j'ai galéré pour Signal  

oh pour moi, very simple, 100%rationnal:
soit :
a/ tu adhère à ma solution de messagerie, sans virer les autres (aka istallation complémentaire)
b/ t'es pas d'accord? ok, retour aux messageries tradi, échanges via réseaux "ordinaires" et si surout on fait avec. Dix ans de whapp sans 1 centime en appel à l'étranger? relis le a/. No whapp for me, period.

Perso j'ai beaucoup d'indicateurs qui jouent en cette faveur :
whapp est américain, j'essaie d'éviter les gafam
a/ question de souveraineté des données (là où elles snt stockées, cloud act etc)
b/ question de patriotisme industriel et numérique (et montrer que la fronss sait en branler une )
c/ gpdr et vie privée chez fb ca fait deux : des exemples t'en as moult sur internet, fb n'est pas un enfant de coeur
d/ beaucoup d'applis européennes sont aussi fortes et douées que les whapp/signal/telegram
e/ alternative : le jour où ton whapp/t/s crève, devient indispo? ressortir ici les jolies pannes de ces services depuis deux/trois ans (il y en a eu plusieurs)//diviser pour mieux regner
f/ flemmardise ou esprit d'initiative: si tu goutes pas la différence auj tu la gouteras jamais, tu dépenderas toujours d'oncle sam
g/ prism, la nsa, ca te parle? Fb montraient il y a dix ans pouvoir se connecter instantanément à n'importe quel compte utilisateur..

h/ le chiffrement de bout en bout est quelque chose de proposé mais non pratiqué par défaut chez les géants us en général (en tout cas chez whapp ca leur a été reproché), en europe t'as des initiatives dont le chiffrement à l'extreme -ex de threema, olvid, skred, matrix- est leur fonds de commerce
i/ to be continued

il est évident qu'après si ils veulent pas d'alternative tu peux rien leur imposer. Peut être leur rappeler qu'ils seront toujours "possiblement écoutés", ce qui est vrai, mais l'idée aussi c'est que tu peux pas les changer, donc moi perso depuis dix ans tout mon entourage sait que je suis passé de "signal/tele/whapp" sera jamais // à // "n'est plus compatible avec mon tel mais j'ai depuis longtemps ces autres app.. donc c'est simplement dans la continuité bien dégueulasse du "on accepte plus les chèques" "on a plus droit de recevoir de courrier postal" "prélèvement exclusivement" etc...
perso mon excuse béton c'est que je peux pas installer ces apps sur mon tel, étant donné qu'il est trop ancien d'abord, et surtout que quand j'en changerai je repasserai sur un écosystème différent d'apple ou de google (exit ios et andro, les initiatives libres ca existe, j'utilise quelques apps, le web, mais pas ma banque sur mon tel par ex)

donc après c'est à faire au mieux, si tu veux pas convaincre les gens tu leurs dis "je t'envoies cette info sur proton, pour du dialogue plus approfondi on se voit chaque semaine sur teams ou jitsi (là en général ils réfléchissent à prendre une nouvelle app tellement c'est tiré par les cheveux       )

c'est une pote qui m'a ramenée sur wire, moi qui en ai ramené une dizaine dessus (des accros à whapp) puis sur matrix.
et maintenant t'as olvid, skred, threema, matrix..  c'est comme pm/me tout le monde connait pas, pourtant ca se fait son public. Et t'as des pays hyper bouffés par les gafam, en afrique du sud c'est dans les offres opérateur direct..

edit;=:
quand on parle du loup..

https://www.lemonde.fr/pixels/artic [...] 08996.html

Personnellement je m'inquiète plus de ce qui pourrait être à l'extérieur de l'appli, qui tournerait en tâche de fond sur le smartphone et qui aurait accès à tout ce qui passe, genre écran, micro, clavier...
En gros quand j'écris dans signal ou n'importe quelle appli dite sécurisée, qu'est-ce qui me prouve qu'il n'y a pas un keylogger entre les deux ? Qu'une app ne fais pas des captures d'écran régulièrement ou que tout ce qui transite par le micro n'est pas enregistré, stocké et envoyé automatiquement quand il y a du wifi /réseau...?

C'est une approche parano bien sûr, mais quand tu vois la quantité d'appels à une multitude de serveurs (Google, marque du téléphone...) quand le téléphone est en veille, déjà ça fait peur.

 
 
tout vrai espion est forcément parano : la paranoïa est une qualité requise au meme titre que la rigueur ou la ponctualité du monde pro ordinaire.
Neyret rappelait à l'antenne il y a quelques années qu'un dialogue secret se fait dans un endroit connu que de deux personnes, apres assurance sans filature (un résistant a failli se faire bouffer ccomme ca), dans un lieu public, à l'extérieur, sans aucun appareil électronique.
 
 
si tu veux 100% de sécurité, lache ton smartphone.
je recommande  à ceux qu'ont peur des mouchards directement dans l'appareil (càd pas sur la ligne) une reinstallation tous les trois/six mois.
chaud, mais permet de remettre à zéro un éventuelle pegasus reçu.
et des exemples de mouchards systemes, ca doit pouvoir se trouver..

Lâcher son smartphone -> totalement d'accord. Après par exemple pour être certain qu'aucun enregistrement quelconque (voix/image) ne soit possible il faut aussi que l'ensemble des personnes concernées par une discussion que tu souhaites absolument conserver privée fasse de même.
 
Bon ça c'est quand tu peux avoir la discussion en physique. Quand l'échange ne peut avoir lieu qu'à distance, c'est quand même pratique d'avoir un téléphone
On retrouve la même problématique : si mon téléphone est clean, celui de mon interlocuteur l'est-il ?
 
Enfin comment s'assurer d'avoir un téléphone clean ? Reset/réinstaller -> oui, mais comment être certain que le problème (mouchard) n'est pas présent nativement sur l'OS ?
 
J'avais par exemple envisagé un firewall qui bloquerait tout en sortie sauf ce qui est explicitement autorisé, mais :
1/ installé par exemple sur ma connexion internet @home, c'est invivable (on passe son temps à faire des règles pour autoriser tel ou tel site) + ça ne fonctionne qu'à la maison. On peut imaginer qu'un mouchard stocke des infos tant qu'il n'a pas de connexion et balance tout dès accroche un réseau 4G quand tu sors de chez toi.
2/ installer un firewall applicatif sur le smartphone -> aucune certitude qu'il fonctionne à un niveau suffisant par rapport au mouchard.
 
Par "mouchard" j'entends un truc théorique, je ne dis pas que mon téléphone en a un ou que les constructeurs en implantent un dans tous les téléphones, c'est juste une recherche de comment s'en prémunir si cela devait se produire.

 
Rajoutons session.
 
J'ai 80% de mes discussions sur signal, c'est pas mal!
 
Maintenant si je m'amuse à passer sur threema, wire, matrix ou session, c'est mort  

Qui dit ça ?

Il n'est pas possible de communiquer d'ordi à ordi, ou en passant par un quelconque serveur interchangeable utilisant un protocole public ? On n'est pas obligé de centraliser (cf Mastodon par opposition à Twitter, ou les ancestraux courriel et forums Usenet).

https://www.letemps.ch/suisse/larme [...] se-threema
 

 
Merci pour ce process digne du bureau des légendes

Bonjour à tous.
 
J'utilise en ce moment What's app pour une demi-infinité de raison, mais toutes liées à des questions triviales.
 
Je sais que ce n'est pas top question confidentialité mais j'aime les atouts et les fonctionnalités suivantes :
 
- gratuit
- les groupes ;
- la possibilité de s'en servir depuis son ordi (c'est plus facile de taper ses messages depuis un clavier)
 
 
J'aimerais constituer un groupe privé dédié à des échanges de nature politique et je souhaiterais pour cela passer par une appli qui assure un peu plus de confidentialité et qui offre les mêmes avantages, à savoir :
 
- gratuite et simple à utiliser ;
- possibilité de créer des groupes
- possibilité de s'en servir depuis un PC
 
On m'a conseillé SIGNAL.
 
Vous en pensez quoi ?

 
Je dis oui. C'est ce que j'utilise au quotidien.
Session doit faire le job aussi mais jamais testé.

 
 
Merci pour ce retour    
 
D'autres avis sur la question ?

Je valide également, c'est ce que j'utilise aussi, ça répond à tous tes critères et ça marche sur toute plateforme

 
Merci !  
 
Je vais me laisser tenter alors.
 
 

 
Pareil, j'utilise aussi Signal sur mon mobile.    
 
Mais je ne sais pas s'il y a une interface pour le PC.

 
Si si
 
Signal avec Proton c'est le combo gagnant

Elle fonctionne même téléphone éteint. Même depuis une tablette Android dépourvue de sim.

 
Wire ? Plus secure que Signal et moins connu.
Après je me suis toujours demandé si les interfaces PC sont bien, en gros si ça peut ouvrir des failles potentiels.
 

https://twitter.com/moxie/status/14 [...] 22240?s=20
 

 
More: https://signal.org/blog/new-year-new-ceo/

 
En quoi Wire est plus secure ?  

Pareil : Signal fait globalement tout ce que fait whatsapp sans vendre son âme à Facebook !
 
Je ne comprends même pas comment on peut encore utiliser whatsapp en fait !

Les contacts qui ne veulent pas changer, j'imagine

 
Voilà j'ai un paquet de boomers qui n'utilisent que whatsapp et qui ne changeront sûrement jamais
 
Mais ça représente 10% de mes échanges je pense.

Moi j'ai supprimé whatsapp. Quelle ne fut pas ma surprise quand on m'a dit que j'y apparaissais toujours... Avec ma photo et tout. Même si j'ai bien fait la demande de suppression de compte.

c'est ce que fait jean charles naouri, qui sur le secret des affaires affiche autant de paranoïa que : je te laisses chercher, mais il dirige son entreprise en partie par l'utilisation de méthodes dignes du contre espionnage, comme vlad' fait de même avec son pays. Fouille de tous les membres du comex avant la moindre réunion de dirigeants.
 

suffit d'avoir les mêmes modèles par ex, ou mieux encore d'avoir des prépayés sous paul bismuth comme  
mieux encore, s'amuser  à déconner au tel : chirac sortait souvent des jurons immondes se sachant écoutés par l'oncle sam ; et dans son bureau, il mettait souvent le foot à fond.
 

certains facteurs ont déjà fait du détournement de courrier, meme le petit smicard qui vole les CB des grands mères (un fait dans les choux gras l'année dernière)
tu peux pas ; 100% confidentialité c'est se réunir sous une foret avec personne autour sauf les zozios.
 
 

tplink en ont un pour leur sav sur tous leurs routeurs, ca a été pointé du doigt sur reddit.
wiko (ou xiaomi, je sais plus) s'était fait prendre dans le pot de confiotte aussi. je vous laisse chercher.
huawei a admis avoir mis cette même spécificités sur leurs anciens appareils backbones (dorsales) de réseau :
https://www.01net.com/actualites/xi [...] 07427.html
https://www.lemondeinformatique.fr/ [...] 56133.html
https://kam.lt/en/news_1098/current [...] ujcnBszQi9
 
etc.. t'en as pléthode, le monde numérique est surveillé faut en avoir conscience. Après si c'est pour des vidéos de chat..
 

 
connais pas session. Regarderai. Mais passer sur signal c'est niet. Les trois autres pourquoi pas.. wire et matrix font du bon boulot.. sinon  reste olvid..
 

toi, ca fait longtemps que t'as pas essayé de déposer un quelconque courrier à la mano à la réception d'un immeuble de bureaux
 

 
mastodon peut être, à priori c'est son fonctionnement, mais je m'y suis pas penché plus, bien que c'est sur ma todolist.
je pensais à matrix, sur lequel c'est un peu comme le protocole mail, aka un langage commun et plusieurs logiciels "serveurs" installables sur l'ordi que tu veux auquel se connecteront les clients.
tu peux donc avoir N systèmes de messagerie (serveurs) de dispo en fonction de tes besoins/ressources et prévoir un joli système de comm' sur mesure bien solide, à condition de s'en donner les moyens. Un peu comme les quelques dirlos qu'ont décidé d'avoir deux syst informatiques parallèles dans leur boite après avoir eu le coup de sueur de leur IT paralysé par un ransomware... mais ca nécessite de doubler/tripler et c'ets chiant (mais ca peut sauver )
 

 
les allemands ont temporarirement repris la machine à écrire après les fuites de snowden, si jme trompe pas (pour certains députés)
n'oublions pas que le courrier postal peut être lu, et les enveloppes "collées" ouvertes via système par chaleur (càd sans déchirer l'enveloppe). Notons également que pour les colis une grande partie de ce qui transite via l'étranger est systématiquement inspecté par les douanes, notamment pour lutter contre le trafic de drogue. Prendront ils le temps d'inspecter une clé usb pour savoir si elle doit filer dans les mains du ICIJ?
 

 
trois posts de retard
 
 

 
à toi de voir si tu veux être surveillé ou pas.
comme disait sébastien sauvage, maintenant je convainc plus, soit tu prends conscience soit jte laisses dans ta mouise...
 

 
skred, threema, olvid, matrix/elements, wire, et tutti quanti, yen a pléthode
 
jamais j'irai sur un des "cinq gros"..
 

 
tout le topac' a l'air complètement sous l'emprise des solutions des géants : whapp, signal, telegram..
moi je préfère les indépendants
 

en rien : c'est pas la meme boite, c'est basé en suisse, cependant si signal pete, tu fais quoi?
n'oublions pas que les gafamnt se sont bouffés quelques heures d'indispo ces deux dernières années..
sans penser au rgpd et autres.. pour moi signal est trop gros pour rester intègre.
 
 

 
oh, très simple! les gens  se foutent de leur vie privée et veulent d'un truc simple ou ya tout le monde.
vas en afrique, whapp est plus présent que n'importe quel système de comm', et pour longtemps encore.
 

 
tous les trentenaires de la génération des '80 également, qu'ont vu cette appli mettre un coup de grace aux frais d'itinérance à l'étranger au début des 2010...
 

 
ya une diff entre supprimer l'appli et supprimer le profil.
rien t'empeche de faire une réclamation auprès de leur service rgpd, c'est tout à ton initiative.

 
C'est sur le courrier postal (remis par les facteurs: je n'en suis pas un) que portait ma question.