Reprise du message précédent :
Faut que je teste, mais il faut installer un truc sur le mobile? Ou c'est dans le navigateur?

Faut installer une application oui. Et la désigner sur android comme ton gestionnaire de mot de passe dans les paramètres.
Perso j'utilise KeePassDX sur android et KeePassXC sur PC windows et linux.

Ça marche très bien pour remplir les champs dans les applis.  
Par contre pour le navigateur sur mobile c’est moins pratique, il faut le magiclavier.

Reprenons..

les systèmes principaux ont tout iteret  à collaborer dans le sens vie privée :
a/ pour l'image, cf l'affaire snowden, meme si le GP s'en tape les steaks à fond : les "fuites" de données par ex, et aussi le cours de bourse, qui peut faire chuter une compagnie qui ne sécurise pas correctement ses données, peut perdre fortement en réputation clients. les gafamnt ont notamment à plusieurs reprises été impliqués dans une meilleure sécurisation de leurs produits/services, en complément d'avoir pour certain participé au démantellement de botnets ; c'est toujours ca de pris.
b/ il y a la concurrence : entre mac & apple c'est je t'aime moi non plus ; passons, les linux/bsd ont aussi plus de terrain, mais toujours très très minoritaire ; c'est surtout entre mastodontes qu'ils ont intéret à y aller à fond sur la qualité.
quand à liux, oui c'est un très bon choix, mais si system76 est ta seule référence, je t'invite à lire ce magnifique post :
https://linuxfr.org/nodes/126603/comments/1880161

tu peux, libre à toi si tu trouves un appareil qui le support, ou mieux encore, vendu avec. Mais c'est ultra minoritaire, à nouveau, encore plus que le pinephone/librem, par ex.

tu as compris le principe de framasoft, bravo. et de la dégooglisation des internets

j'approuve, car je fais pareil ; attention cependant à pas trop brusquer les proches : les gafamnt, ils adhèrent, ils adorent et en raffole, les gens veulent du toutfacile..

ddgo pourquoi pas, bien que ce soit made@usa, un peu comme brave. qwant, c'est au dela du boycott, de par l'énormissime bordel qui peut etre visualisé par le rapport suivant :

pour ma part, ecosia, ou lilo si tu veux du franco ; sinon reste les métamoteurs, mais je garde mes recettes perso dans mon chapeau

si tu veux *vraiment* un tel complètement indépendant de google/apple, c'est faisable, mais au prix de la flexibilité et de la compatibilité avec les apps populaires, cf :
https://forum.hardware.fr/hfr/gsmgp [...] m#t2666698

tu devrais revoir les notions de "secret" et de "confidentialités", brillamment expliquées par gary oldman donnant la réplique à antonio banderas, dans le film "offshore", qui traite des panama papers

merci de m'éviter d'avoir à lui donner un cours

moi je compare ca au numéro insee et à leurs mensurations, voire leur positions préférées. Ca fait rougir rapidement    

comme dans la vie pratique, je divise pour mieux régner dans le numérique.
tout est séparé.
ex simple, j'ai plusieurs applis de communication, pas les meme personnes dessus
j'ai deux BEL néobanques, juste pour les frais de devise. J'ai pas mes applis bancaires et je m'en passe largement
bah pareil pour la navigation : firefox focus, c'est tout. Le gar qui me prend mon firefox va bien avoir du mal à me profiler, puisqu'il enregistre rien.
et j'ai jarté toute application provenant des gafamnt de mon smartphone, je fais qu'avec les alternatives.

wof
chacun pose sa question et voit en fonction des réponses hein

tu peux partir sur par ex :
la souveraineté des données vs son caractère offshore (ex : stockage de tes sauvegardes, pays de connexion si vpn)
le gros du gros : les applis de comm
ensuite le gestionnaire de mdp, si t'en veux un (perso j'en veux pas)
les différentes précautions de manière générale

..mais après ca dépend de ce que tu veux protéger, ya mille type de données/interactions sur un malinphone

99% des gens s'en foutent
une preuve flagrante est les replays de tf1 ( ) sur la CdM 2022 : la plupart sont les yeux rivés sur leurs écrans.. pensez qu'ils visionnent ce qu'ils viennent de filmer?
bah c'est zéros sociaux direct et le qatar (ou la russie en 2018) aurait tort de se priver d'une telle manne d'infos

mais à l'heure d'une info à deux cent à l'heure, les gens ne veulent plus savoir, veulent 100% simplciité, 200% goooglité...

le mot d'ordre de la prudence serait "diviser pour mieux régner", ce qui appelle à ue sorte de fédération (un peu contraire au "tout se décide à paris   )
bah pourtant les gens sont accos à... whapp. Cf le commentaire évocateur :

mon horreur d'un truc qui devient trop gros, les aigrefins rappliqueront : déjà quand on voit que sur telegram chaque semaine on se bouffe un spam, c'pas sur xmpp/jabber que ca arriverait, ya que des nerds dessus

de mon coté, j'ai plus de cinq applis pour les messages, pour la visio/tel, et j'en veux surtout pas moins : la disponibilité du service (n'oublions pas que whapp s'est déjà bouffé plus d'une panne de plusieurs heures), et surtout pouvoir utiliser chaque fonctionnalité spécifique, voire "trier les contacts" selon les applis.

diviser pour mieux regner, à jamais

 
Pour utiliser n'importe quel téléphone android il faut accepter les CGV Google.
Donc c'est un peu mort pas défaut  

Pas nécessaire pour lineage, graphene OS &co

J'ai du whatapps pour les conneries, et du Wire / Olvid sur d'autres discussions plus sérieuses.
Pardon j'ai écris ça un peu rapidement, c'était pour dire que sur certaines discussions je considère que c'est pas grave d'utiliser des solutions non sécurisés, plutôt que de se compliquer la vie en bypassant Google & Co.
Et d'ailleurs, se cacher dans la masse c'est aussi une technique pour passer inaperçu (bon avec l'IA et le profilage ça peut changer la donne).

J'utilise simplement l'application disponible sur le store alternatif :
https://f-droid.org/fr/packages/com [...] ass.libre/
Il faut installer F-Droid avant.

Et KeepassXC sur ordi :
https://keepassxc.org/

Et Lineage pour mon smartphone  

Pour les navigateurs tu peux activer la saisie automatique, si tu as bien nommé les entrées, la saisie automatique renseigne automatiquement l'utilisateur et le mdp.

J'utilise GrapheneOS, donc un AOSP (Android Open Source Project) dépouillé de toutes fonctionnalités intrusives de google, nul besoin d'accepter les CGV Google.

 
que ce soit sur ordi ou sur mobile, toujours je remplis l'intégralité des champs à la main ; je laisserai jamais de données parmi la fonction de "saisie automatique" ou autres possibilité, j'aime pas la tracabilité dansl e navigateur. Nav'privée en permanence, peu importe l'appareil utilisé, depuis des années. Les seules traces sont des pages web "brutes" exportées en pdf, si besoin est. Jamais mes données perso enregistrées

Un mdp généré aléatoirement tu l'écris à la main ?
 
Genre ca : (k3,_-M|0RMZ5$Iu3p.>AfaZFH3+XR:r

 
Suffit de trouver la bonne méthode de génération
Comme :
 
"Taile de mon zizi" + "site" + "année en cours" + "president en cours" + "!!!!"
 
Ca donnerait
 
25cmHFR2023Macron!!!!
 
Et c'est un mot de passe fort

Et donc quand la base du site se fait hacker, avec les mots de passe en clair qui fuitent parce que codé avec les pieds (ou interception via keylogger), on peut extrapoler tous tes pass sur d'autre sites...

Pire idée pour faire un mot de passe
 
Le mieux c'est ceux qui ont un mot de passe complexe avec le nom du site qui change selon le site  

C'est clair que mettre le nom du site dans le mot de passe c'est... la cata totale. C'est un des premiers trucs qui sera tenté dans le combinaisons par l'algo de bruteforce, ça et le fait que si ça pète dans un leak un attaquant pourra sans problème comprendre la logique et tester sur les autres sites.

Ensuite si le mot de passe se fait phisher pas besoin de faire un dessin.

En fait l'intérêt d'avoir un mot de passe différent par site perd totalement son intérêt en mettant le nom du site dans le mot de passe. Autant utiliser le même partout. Un pass unique par site sert justement à éviter la compromission des autres sites en cas de vol d'un seul mot de passe. Mais si un pass se fait voler ou bruteforcer avec ce schéma, c'est dead pour tous les sites.

 
j'ai jamais utilisé de mdp généré aléatoirement
tous diff mdp que j'ai moi meme personnalisé
 
 
c'tout  

Le copier-coller ca fonctionne bien hein... Même sur android (depuis keepass2android ou équivalent)

 
La prochaine fois tu mettras un redface, apparemment c'était pas assez obvious pour certains  

pour ceux que cela intéresse :
La chronique d'Anthony Morel : Le smartphone d'Emmanuel Macron - 08/11
https://www.dailymotion.com/video/x687ii0

cryptosmart est un ensemble de services numériques (telcos, cloud etc) fournis d'abord aux services d'états, puis depuis quelques années aux grands groupes et pme, par orange cyberdef', et peut etre aux particuliers...
cette techno vient d'une collaboration entre samsung et suneris, société soeur d'ercom (que les plus aguerris connaissent), toutes deux filiales de thalès.

le samsung montré prenait la succession du teorem de thalès, très sécurisé mais pas pratique du tout, délaissé par les ministres sous hollande (qui préféraient comme la sarkozie un smartphone ordinaire), rendu célèbre par un certain... Alexandre Benalla, avant que ces solutions ne soient adaptées sur smartphone.

https://www.nextinpact.com/article/ [...] es#/page/3
https://www.lesechos.fr/2018/06/par [...] ges-996621

Dans vos boîtes, comment vous faites pour le MFA ? Tout le monde a un smartphone professionnel ?
Chez nous, compliqué à mettre en place car moins de la moitié des effectifs en ont un.
J'ai paramétré Google oauth authticator sur Google chrome d'une collègue pour un de ses softs spécifiques mais bon, pas sûr que ça soit à universaliser

 
Duo sur iphone.
Et oui tout le monde en a.

Pas de smartphone pro mais MFA obligatoire et  token SMS interdit sauf urgence
Soit yubikey soit Duo ou Google auth sur smartphone perso.

Je me vois mal obliger à faire du MFA sans fournir le smartphone... à voir...
Merci pour vos retours  

Yubikey + l'App qui va avec pour ce qui ne gère pas le u2f mais qui fonctionne avec des codes tournants.

 
+1 sur yubikey.
 
C'est ce que j'utilise en perso

En expérience utilisateur c'est pas fantastique la yubikey. On n'a pas toujours de port USB dispo, ou bien il faut aller en chercher un derrière la tour pourvu que cela soit facilement accessible, il faut se la trimballer, parfois accrochée à un trousseau de clés c'est imposant pour un pauvre petit port USB (surtout en -C). ça s'oublie, se perd... c'est pas toujours compatible pour se connecter depuis un téléphone, idéalement il faut en enrôler 2 à chaque fois, etc.

Nan mais là t'abuses.

Généralement les cas sont clairement identifiés (quels outils ont besoin de 2FA) + on a un panel de clés différentes (usb c ou a, micro ou non) et pour les fixes il y a des trucs vachement bien qui s'appellent des rallonges usb, voire même - dans un élan de luxe - des hubs usb !

Il y a un moment il faut choisir, soit on fait de la merdouille, soit on définit un protocole clair de sécurité et on équipe toutes les personnes concernées correctement (2 clés, adaptées à leur matos, obligation d'ajouter systématiquement les 2 clés à tout nouveau compte...)

Et même si la clé reste en permanence sur l'ordi c'est pas un drame si l'accès à l'entreprise n'est pas une passoire.

Il vaut mieux une yubikey h24 sur le PC que rien du tout, et de treeees loin.

 
+1 j'ai une micro usb-c à demeure sur mon macbook.
 
Et pour téléphone, y a la fonction NFC qui marche bien sur android et ios

Non clairement, je le vois pas dans le métro ou le tramway fouiller mon sac à dos ou ma veste pour chercher la yubikey qui me servira à m’authentifier sur un site web ou une app. C’est 1000 fois plus contraignant qu’utiliser une notification push ou un password fort dans un vault sur reconnaissance faciale.

On va pas s'mentir hein, mais si ton scénario typique c'est des accès à un service soit disant sécurisé dans le métro ou le tramway, tu as d'autres problèmes beaucoup plus graves que le MFA  

Alors, je parlais plutôt dans un cadre "perso" sur ses sites/services courants sur lesquels on a souhaité mettre en place du MFA (Amazon, iCloud, Outlook, etc.).

La question initiale c'est "dans vos boîtes" ! En évoquant le fait que tout le monde n'a pas de smartphone pro.
Donc ta remarque est totalement à côté de la plaque :-)

Après pour un usage perso on peut se permettre d'avoir son smartphone avec une appli 2fa en plus de la yubikey, voire même (quand c'est supporté) le u2f via empreinte digitale en parallèle de la yubikey.

Typiquement chez boursorama j'ai l'empreinte digitale sur mon smartphone et ma yubikey sur PC.
Et si j'oublie mon doigt à la maison je sortirai ma yubikey NFC de secours qui est sur mon porte clé. L'autre est à demeure sur mon PC, sauf quand je pars de chez moi un peu longtemps.

 
Les dernières avec le NFC sont top.
Moi surtout c'est que je jongle souvent entre USB et USB-C...

Perso j'ai tout pris en usb-c pour la pérennité et j'ai un adaptateur usb a (aliexpress, 1 euro) pour l'instant.
Une nano (ordi portable slim proof même si j'ai qu'un fixe ) et une NFC sur le porte clé.

quand t'es à un spot de TEC (gare, aéroport), et que pour récupérer ton billet sur tes mails, comme t'es en wifi (j'abhorre la data/données mobiles) et que t'as pas d'app "propriétaire" et que gémaille de te demande de t'authentifier alors que t'as ton bon id/mdp.... "validez la connexion sur votre htc chose" .. euh mec, le htc ca fait deux ans qu'il est HS, j'ai l'id/mdp tu me laisses passer mon joli?

ce fut l'une des causes majeures de mon divorce avec gmail -pas la seule- (et de beaucoup d'autres services)
je préfère l'id+mdp compliqué que d'avoir un truc qui peut me bloquer lorsque je suis à l'extérieur (donc situation compliquée), et comme ca m'est déjà arrivé..

jamais j'aurais "l'appli officielle" de tel ou tel service.

mais le jour où vous vous faites extorquer (typiquement racketter), vous faites comment?
le jour où vous etes loin de chez vous, mettons qu'un drame arrive et que votre matériel sur vous est détruit?
ca c'est assez intéressant, les gens pensent jamais à l'indisp de leur matos lorsqu'ils le sécurisent
on me dit souvent pparano (et à raison, quand vous etes dans un traquenard en france -racket rer par ex- ou à l'étranger -ce qui s'est déjà vu-), ou qu'un drame vous prive de votre matos (pas forcément suite à une malveillance), mais l'idée d'accéder simpement à ses srevices par id/mdp, est pour moi très importante.
(ce qui n'empechera pas la nsa/cia d'accéder à certaines données )

en complément, n'oubliez pas qu'il peut arriver ceci à votre 3D secure :
https://www.nextinpact.com/lebrief/ [...] i-catchers

https://www.lemonde.fr/pixels/artic [...] 08996.html

J'espère que vous utilisez des dns privés

Oui !
Quad9 est une bonne approche en doh
Nextdns apporte un cran de paramétrage / blocage de pubs sympa
En pihole / adguard à la maison

Sinon rewe : en général tu as des codes de secours pour éviter le problème que tu évoques !
Perso à l'autre bout du monde en slip je peux récupérer une version de ma base keepass et l'ouvrir pour récupérer tout ce qu'il faut.

Adrien LinuxTricks a fait un live récement sur le DNS et blockeur de pub, il va jusqu’à faire un petit serveur adguard @home.
 
Récemment l'association FDN à ouvert un résolveur DNS.
 
Pour mes comptes avec authentification 2FA, je privilégie l'utilisation d'une base keepass dédiée uniquement à la génération de code TOTP.  
J'ai des cold backup physique mais rien en ligne, donc si je suis en slip au bout du monde, je reste en slip comme un con . Peut être envisager une petite clé usb Tails (accompagné d'un stockage persistant) dans la valise ?
 

 
Si t'es slip, tu la mets où ta clef usb ?    
 
Non en fait ne me dis pas  

Perso j'ai hébergé une copie de ma base sur un de mes serveurs web et j'y accède avec une adresse du genre monsite.com/jaimekeepass123 (vous avez compris l'idée).

La base en elle-même est suffisamment secure + obfuscation (avant de connaître l'adresse exacte...)
Apres en cas de hack physique du serveur oui la base fuite et pourra être soumise a brute forcing quantique, mais la proba reste très faible...

 
Ça fait très longtemps que ça existe. Perso je me fais plus chier, Mullvad partout.