acces aux donnees depuis un cybercafe (par e xemple)

"jean declercq" <jde@wanadoo.fr> a écrit dans le message de news:
mn.0a227d5643d71eb2.14737@wanadoo.fr...

Bonjour,

Je me pose la question suivante (et je n'ai rien trouvé dans les
archives du forum à ce sujet, peut-être mal cherché...) :

Quel est le risque lorsque l'on accède à ses données perso (compte
mail, éventuellement prise de controle à distance, accès ftp) depuis un
accès "public", genre cybercafé ?
En fait, accéder à des données demandant une identification depuis une
machine qu'on ne connait pas.
Est-ce que la machine ne risque pas de mémoriser quelque part les
identifiants saisis ?
Existe-t-il une méthode pour éliminer/aténuer ce risque?

Bonjour,
J'ai toujours trouvé cela effectivement dangereux.
Il est si simple pour un propriétaire de cyber café mal intentionné
d'installer un keylogger....
Mais que faire ??
Lorsque l'on se connecte depuis un cyber café, c'est bien souvent que l'on
ne peut pa sfaire autrement et que l'on a un besoin urgent de relever ses
emails..
Ne soyons pa son plus paranoiaques....

Salutations.

[...]

Quel est le risque lorsque l'on accède à ses données perso (compte mail,
éventuellement prise de controle à distance, accès ftp) depuis un accès
"public", genre cybercafé ?
En fait, accéder à des données demandant une identification depuis une
machine qu'on ne connait pas.
Est-ce que la machine ne risque pas de mémoriser quelque part les
identifiants saisis ?
Existe-t-il une méthode pour éliminer/aténuer ce risque?

Merci d'avance

Ce qu'on risque ? Se faire dérober ses identifiants/mdp soit via
keylogger ou via caméra de surveillance.

C'est tout le problème et je soupçonne fortement certains Cybercafé de
pratiquer ce genre de surveillance.

Une solution intéressante serait un défi/réponse sur une carte à
microcircuits (avec ou sans-contact) détenue par l'usager.
Mais pour cela il faudrait un lecteur de cartes et l'application qui va
avec sur la machine du cybercafé.

Toutefois en attendant je me suis démerdé pour enrober mon Horde d'un
OTP (One Time Password).
En clair, lorsque je me déconnecte il me donne sous forme d'image le
prochain MDP.

Mais c'est toujours en développement.:-(

db
--

Courriel : usenet blas net

(¯`·..Yttrium ...·?¯) a écrit sur fr.comp.securite le 01/06/2005 dans
<429d8cb6$0$18905$626a14ce@news.free.fr> :

"jean declercq" <jde@wanadoo.fr> a écrit dans le message de news:
mn.0a227d5643d71eb2.14737@wanadoo.fr...

Bonjour,

Je me pose la question suivante (et je n'ai rien trouvé dans les
archives du forum à ce sujet, peut-être mal cherché...) :

Quel est le risque lorsque l'on accède à ses données perso (compte
mail, éventuellement prise de controle à distance, accès ftp) depuis un
accès "public", genre cybercafé ?
En fait, accéder à des données demandant une identification depuis une
machine qu'on ne connait pas.
Est-ce que la machine ne risque pas de mémoriser quelque part les
identifiants saisis ?
Existe-t-il une méthode pour éliminer/aténuer ce risque?

Bonjour,
J'ai toujours trouvé cela effectivement dangereux.
Il est si simple pour un propriétaire de cyber café mal intentionné
d'installer un keylogger....
Mais que faire ??
Lorsque l'on se connecte depuis un cyber café, c'est bien souvent que l'on
ne peut pa sfaire autrement et que l'on a un besoin urgent de relever ses
emails..

En plus, là, c'est pas seulement les mails, j'envisage (enfin pour
l'instant j'y pense seulement) de faire du VNC sur mes serveurs.
Alors ça m'emballe pas trop (pour ne pas dire plus).

--
Jean Declercq
message rédigé sur un spam 100% recyclé

Bonjour.

Bonjour,

Je me pose la question suivante (et je n'ai rien trouvé dans les
archives du forum à ce sujet, peut-être mal cherché...) :

Quel est le risque lorsque l'on accède à ses données perso (compte
mail, éventuellement prise de controle à distance, accès ftp) depuis
un accès "public", genre cybercafé ?
En fait, accéder à des données demandant une identification depuis une
machine qu'on ne connait pas.
Est-ce que la machine ne risque pas de mémoriser quelque part les
identifiants saisis ?
Existe-t-il une méthode pour éliminer/aténuer ce risque?

Merci d'avance

Si dans les options du navigateur, au niveau de la saisie assistée des
formulaires, l'enregistrement des mots de passe est activé, vous tournez
les talons tout de suite.

Ensuite, vous vérifiez ***avant*** que vos droits d'utilisateur vous
permettront d'effacer le cache, l'historique de la navigation et les
éléments mémorisés (autres que les mots de passe) dans ladite saisie
assistée, et vous n'oubliez pas de le faire avant de partir.

Vous pouvez même vider la corbeille Windows et effacer aussi les fichiers
temporaires, ça ne fera pas de mal.

D'ailleurs si le patron est un minimum responsable, il devrait avoir une
politique claire à ce sujet et l'afficher, ou faire lui-même la manip devant
vous lors de votre départ. Je pense que vous devez pouvoir l'exiger au nom
des lois préservant les informations confidentielles.

Evidemment si la machine est vérolée (volontairement ou pas), c'est cuit.
Donc idéalement n'utilisez pas ce type de ressource publique pour ordonner
des virements bancaires ou pour faire des achats en ligne, et si vous avez
déjà un doute pour vos comptes mails et similaires, changez votre mot de
passe :-D

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

salut
Dominique Blas <db@internet.invalid> a écrit dans le message
news:429d9d6f$0$28301$636a15ce@news.free.fr

Ce qu'on risque ? Se faire dérober ses identifiants/mdp soit via
keylogger ou via caméra de surveillance.

c'est pour cette raison qu'il ne faut pas le faire... hein ?

Toutefois en attendant je me suis démerdé pour enrober mon Horde d'un
OTP (One Time Password).
En clair, lorsque je me déconnecte il me donne sous forme d'image le
prochain MDP.

un /pass-kleenex/ ... tiens, c'est pas con :-)
(ça doit être quand même un peu chiant au niveau des post-it lol )

ça existe déjà ou bien c'est une idée originale ?

je sais (enfin, j'ai lu) que les Etasuniens utilisent des "clés" à usage
unique (générées de façon ultra-tordue) pour le cryptage de leur documents
Top-Parano
mais est ce que le coût* de ces pratiques n'augmente pas de façon
exponentielle en fonction du niveau de sécurité souhaité ?

désolé si le sujet a déjà été débattu... mais je ne lis pas tous les threads
où interviennent les grands spécialisss

* ressources nécessaires, logistique, personnel qualifié, etc

@tchao

Le 01-06-2005, Dominique Blas a écrit :
[...]

OTP (One Time Password).
En clair, lorsque je me déconnecte il me donne sous forme d'image le
prochain MDP.

L'image le donne en clair ?
--
Jacques L'helgoualc'h

Le Wed, 01 Jun 2005 10:00:31 +0000, jean declercq a écrit :

Quel est le risque lorsque l'on accède à ses données perso (compte
mail, éventuellement prise de controle à distance, accès ftp) depuis un
accès "public", genre cybercafé ?
En fait, accéder à des données demandant une identification depuis une
machine qu'on ne connait pas.
Est-ce que la machine ne risque pas de mémoriser quelque part les
identifiants saisis ?

Si bien sur. Keylogger (on conserve les frappes de clavier) ou
éventuellement en plus une capture de l'écran au vol (image de pseudo
clavier aléatoire pour taper un mot de passe) etc etc.

Existe-t-il une méthode pour éliminer/aténuer ce risque?

Une méthode est OTP (one time password). Il s'agit de mot de passe à
usage unique. Ainsi, lorsque quelqu'un récupère ton couple
logging/password il ne pourra pas le rejouer.

ATTENTION : amha dans tous les cas de figure tu es potentiellement
vulnérable à du session hijacking. C'est à dire
que quelqu'un de mal intentionné peut te "voler" ta session, une fois que
tu t'es identifié. Donc amha il ne faut jamais[1] faire de
l'administration avec ce genre de machine

Une deuxième méthode est la copie/redirection d'email (par exemple).
Quand je suis en déplacement il m'arrive fréquement de m'ouvrir un
compte email et de copier mon courrier reçu sur ce compte[2]. Au retour
je supprime le compte. Cette méthode peut être, bien entendu, combinée
au OTP (ne serais que pour éviter qu'on ne t'efface tes futurs emails :)).

Une autre possibilité est de te faire transferer tes données sous un
format quelconque qui est en plus chiffré, mais ça implique que tu peux
au moins récupérer l'info (pas toujours évident les transferts de
fichier dans un cyber-café) et que tu as quelque chose pour les traiter
(plus facile).

Sur ces principes (OTP et réplication des données et chiffrage) tu peux
broder un peu comme tu veux. Il existe aussi des dispositifs matériel à
connecter à la machine mais je pars de l'hypothèse que ce n'est pas
(toujours) possible.

Voila pour une première série de suggestion, je ne doute pas que tu vas
en recevoir d'autres.

Eric

[1] Comme d'hab le "jamais" peut être tansgressé si la situation
l'exige, mais dans ce cas c'est que quelque chose à probablement été
mal fait en amont :)

[2] Je pars du principe que de toute façon mon email est une carte
postale et mes correspondant sont habitués à gnupg et autres pgp quand
Ils ont des documents important à me transmettre. Accessoirement puisque
tu lis tes emails sur une machine alien, le proprio de la machine peut le
faire aussi.

Eric

Eric Razny a écrit sur fr.comp.securite le 01/06/2005 dans
<pan.2005.06.01.13.58.16.103694@razny.net> :

Je réponds à l'aimable assemblée.

Quel est le risque lorsque l'on accède à ses données perso (compte
mail, éventuellement prise de controle à distance, accès ftp) depuis un
accès "public", genre cybercafé ?

Une méthode est OTP (one time password). Il s'agit de mot de passe à
usage unique. Ainsi, lorsque quelqu'un récupère ton couple
logging/password il ne pourra pas le rejouer.

Ca, c'est pas bête.
Je pense à VNC, et que j'aurai moyen de faire simple et tout bête:
comme il y aura quand-même quelqu'un à l'autre bout, un coup de
téléphone après la fin de la session, et le mdp d'accès est changé
illico sur le serveur VNC.

ATTENTION : amha dans tous les cas de figure tu es potentiellement
vulnérable à du session hijacking. C'est à dire
que quelqu'un de mal intentionné peut te "voler" ta session, une fois que
tu t'es identifié. Donc amha il ne faut jamais[1] faire de
l'administration avec ce genre de machine

Ah, là ça m'inquiète plus.
Session volée "en live" ? Pendant que je suis connecté ?

Voila pour une première série de suggestion, je ne doute pas que tu vas
en recevoir d'autres.

Y'en a déjà eu pas mal, et je remercie tout le monde.
Je vais voir ce que je trouve sur OTP.

Comme vous l'avez surement remarqué, je ne suis pas du tout une
pointure dans le domaine de la sécurité, mais je m'en préoccupe ;-). Et
j'ai au moins un an devant moi avant d'avoir le nez dans le problème.

--
Jean Declercq
message rédigé sur un spam 100% recyclé

[...]

L'image le donne en clair ?
Non, sous la forme d'un captcha.

db

--

Courriel : usenet blas net

salut
Dominique Blas <db@internet.invalid> a écrit dans le message
news:429d9d6f$0$28301$636a15ce@news.free.fr

Ce qu'on risque ? Se faire dérober ses identifiants/mdp soit via
keylogger ou via caméra de surveillance.

c'est pour cette raison qu'il ne faut pas le faire... hein ?

Ca dépend : toujours le compromis coût / risque.

Toutefois en attendant je me suis démerdé pour enrober mon Horde d'un
OTP (One Time Password).
En clair, lorsque je me déconnecte il me donne sous forme d'image le
prochain MDP.

un /pass-kleenex/ ... tiens, c'est pas con :-)
(ça doit être quand même un peu chiant au niveau des post-it lol )
Ce n'est pas chiant c'est dangereux. Car si jamais j'oublie le nouveau

MDP : perdu ! Et lorsqu'on est à Cuba on ne va pas revenir pour
débloquer le bignou.
C'est la raison pour laquelle j'ai, en sus, une autre série de MDP OTP
(5 en tout générés avant de partir).
Comme ça si je me plante j'ai au moins ceux-là en secours.

ça existe déjà ou bien c'est une idée originale ?
L'OTP existe depuis des lustres.

L'appliquer au webmail est peut être une idée originale en soi mais elle
s'impose tout naturellement.

db

--

Courriel : usenet blas net