Reprise du message précédent :

le mode avion bloque t il réellement la géolocalisation de ton téléphone par l'opérateur?

Non.  

Il faudra juste oublier son téléphone chez soi.

Oui

Scénario : je me mets en mode avion, je prends ma caisse, j'ai un accident. Je veux appeler en mode urgence, je ne peux pas?

Les appels d'urgence sont TOUJOURS possibles.
Même sans déverrouiller le téléphone.

 
 
 
Ah ça m'intéresse ça.
Il y a des sources fiables là dessus ?
 
J'en était resté aux applis (et google) qui pouvaient continuer à tracker la position via le gps et envoyer les infos plus tard aux serveurs lorsque le téléphone quittait le mode avion.
 
Mais le mode avion est censé couper toute communication téléphonique avec les antennes, au retour (sortie du mode avion) je ne vois pas trop comment le téléphone pourrait communiquer (hors applis spécifiques) les infos à l'opérateur téléphonique.
J'ai tout faux ?

Désolé je me suis trompé de poste et je pensais qu'il affirmait que le mode avion empêchait le tel de donner son positionnent

l'appel a un numero d'urgence désactive le mode avion
le tel ne donne aucun positionnement, celui dont on parle est calculé par les antennes "GSM"

Oui c'est ce que je voulais dire pour le positionnement via la triangulation sur les antennes
Je ne savais pas pour le mode avion, je pensais qu'il était plus bavard

Je découvre le topic et punaise, pas facile à digérer en tant que n00b de la sécurité.
Là je m'intéresse à la gestion de mot de passe en particulier et j'en suis à choisir un password manager.

J'ai rien de particulièrement sensible à protéger, mais pour le principe ça m'intéresse.

Comment choisir ? Est-ce que le gestionnaire de Firefox c'est ok ?

D'ailleurs, me viens une question. Si par exemple je dois me connecter à un compte via une machine random, je fais comment concrètement avec mon password manager ?

Je trouve qu'en local avec un mot de passe maître c'est une bonne solution.  
 
Les plus acharnés te diront que ça suffit pas, mais pour ça il faut déjà accéder physiquement à la machine donc bon.

 
En règle générale, je déconseille toujours les gestionnaires de mot de passe des navigateurs.
Même si Firefox est sûrement l'un des meilleurs, j'irai vers une solution dédiée.
 
Comment choisir ?
 
C'est simple, fonctionne en local + open-source.
 
Donc KeePass / KeePassXC.
Si l'option locale n'est pas primordiale, alors Bitwarden mais je n'ai pas encore essayé

Et bien entendu avec back-up, ça serait con de perdre tous ses passwords d'un coup

Drapo.

Perso je suis sur bitwarden et ça parait être un très bon compromis pour garder une certaine facilité d’utilisation, extension FF sur pc perso et appli iOS qui permet d’avoir la base constamment sur soi

KeePass (Windows) / MacPass (OS X) avec plugin sur navigateur Firefox pour détecter automatiquement le login / MDP stocké dans le gestionnaire de MDP et remplir le formulaire d’authentification

Me demandez pas pourquoi, mais j'ai envie d'aller vers Bitwarden. Peut-être pour ce qui suit.
J'ai compris que si j'installe ça, je peux me loguer sur n'importe quel PC depuis un Firefox ?

Et du coup, le seul moyen de (pas) se faire hacker, c'est (pas) laisser trainer le PC avec Bitwarden logué ?

1) il faudra installer l’extension sur chaque pc
2) je pense que mettre ton master password sur tous les pc que tu croises ne fera pas l’unanimité

Effetivement, je peux comprendre ça.
Du coup c'est ma grande question, comment on gère quand on est sur un PC random ?
Typiquement, j'ai déjà du me loguer quelques fois sur mon Battle.net sur un PC autre que le mien. Si le mdp est intapable, je suis marron.
 
Rentrez le mdp maître sur tous mes PC/OS est problématique si je délog après usage ?

Authenfication à deux facteurs au minimum pour un gestionnaire de mots de passes.  

En cas de keylogger sur le random pc !
Si besoin d'un seul mdp sur ledit pc, je prends 30 secondes pour le taper à la main en le lisant sur le KeePass de mon smartphone.

Ok, donc, en gros, dès que j'ai à me connecter ponctuellement sur un PC pas sur, je préfère ne rentrer que le mdp utile.  
Du coup, j'imagine que je change ce mdp une fois de retour à la maison ?
 
Je suis en train de tester Bitwarden. Un intérêt à tester KeePass en parallèle ?

Test les 2, et garde celui qui te satisfait.

 
Yes et oui sur un ordinateur invité je dirais aussi d'utliser son mobile.
 

 
Non
 
Je test aussi de mon côté. L'import de keepass marche bien en tout cas
J'avoue serrer les fesses d'importer tout ça sur le clouuuuuuuuud  

Yep, c'est pour ça que je préfère encore  garder mes mdp en local sur la machine (via le mot de passe maître FF par exemple). Au moins pas de risque de fuite dans l'intraweb.

 
Après un mot de passe fort + 2FA + Open-Source et des audits (a vérifier si c'est le cas pour BitWarden) normalement y a pas de souci

Dans ces domaines tout tient toujours sur la confiance que l'on donne au "normalement"
 
Mais tu as raison tes éléments offrent de bonnes garanties

https://www.passwordstore.org/    
 
open-source
sécurisé (chiffré par GPG donc on peut utiliser les courbes elliptiques)
auto-hébergement possible, voir même local-only (ça passe par git)
authentification multi-facteur (clé GPG + mot de passe de la clé + authentification sur le serveur git)
utilisable partout (ligne de commande, GUI, extensions navigateurs, android, etc.)

Du coup pour Bitwarden, faut passer en version payante pour remplir ces conditions ?

Une phrase d'une vingtaine de caractères, que des minuscules, c'est fort ou pas ? J'avais vu un site sur lequel ça indiquait qu'il fallait plusieurs million d'années pour casser ce genre de mdp.

 
Non non tu as tout déjà en version gratuite
 

 
La version pro à 10$ par an ajoute:
 

Voila, pour ma part j'ai payé rien que pour l'utilisation des clefs.

Moi ça me dérange pas de payer 10 balles par an dans l'absolu, mais j'y pige que dalle.

Pour quelles clés ?

Des Yubikey et diverses clefs Fido U2F. Plusieurs pour avoir du backup à divers endroit.

mais du coup tu dois utiliser la clef a chaque fois que tu veux utiliser bitwarden?

Non, plutôt à chaque ouverture de session.

Une petite histoire « protection des données » IRL qui m’a hérissé...
 
Dans mon immeuble, figure une boîte qui vends du voyage linguistique / sportif pour jeunes (jusque là OSEF )
 
Hier soir en jetant les poubelles, je découvre dans la poubelle papier (Bon au moins il y a eu cet effort d’effectué ) plein de dossiers d’inscriptions posés comme ça  
 
Dans chaque dossier, photo de l’enfant, coordonnées des parents, photocopies du dossier médical de l’enfant (!) et même des documents annexes sympathiques comme des copies de jugement de divorce etc.
 
 

 
Commence par la version gratuite, tu as quand même de l'authentification à deux facteurs.
 

 
Yes c'est le top ça
 

 
Tu peux régler le verrouillage de bitwarden selon ton choix :  
 
- Directement après utilisation
- Après 1/5/15/30min et 1 ou 4h
- A la fermeture de ton navigateur  
- Au verrouillage de ta session
 
Sachant que je verrouille ma session dès que je quitte mon pc, ça me semble un bon compromis

Les trucs comme ça désormais je les remonte à leurs auteurs pour faire un peu d'éducation.
En général en prenant un exemple bien trash de ce qui pourrait se produire.

L'autre jour on m'envoie en clair dans un mail un login/pass important pour une entreprise. Quand j'ai expliqué que si mon pc ou celui de l'expéditeur (ou les boîtes mails) étaient compromis on pouvait ensuite facilement faire des trucs de fous à partir de ce login /pass, genre rendre publique certaines données confidentielles ou aller rerouter la homepage de leur site vers un site porno... là j'ai senti que j'avais toute l'attention de mes interlocuteurs.

Les petites structures ont souvent un gros manque de formation sur ces sujets mais ce sont aussi celles qui risquent de mettre la clé sous la porte au moindre pépin de ce type.
C'est vraiment comme pour les backups... J'en croise encore des palanquées qui ont des trucs cruciaux juste sur le laptop du pdg. Même chose pour certaines infos clé. Tu demandes "et si demain tu meurs d'un méchant virus, il se passe quoi pour le reste de la boîte ?" silence...

Ca me rappelle la premiere amende en UK pour le GDPR (RGPD):
https://www.telegraph.co.uk/news/20 [...] dpr-rules/
 

Quand je suis arrivé dans ma COGIP, un des premiers trucs que j'ai fait a été de faire le tour des poubelles.

Copies de feuilles d'imposition, passeports, jugements de divorce (pour le côté client), et échanges avec les fournisseurs sur des sujets un peu sensibles côté COGIP.

Du coup, j'ai demandé à ce que l'on mette en place une solution de gestion sécurisée des déchets papiers.

Mais oui, la poubelle est bel et bien un sacré mouchard, si on n'y prend pas garde.