Le gestionnaire de mots de passe Keeper devient aussi un gestionnaire de passkeys -- du moins, sur mobile. Les clés d'accès n'étaient pas encore gérées sur l'appli. Ils l'étaient déjà sur la version de bureau.
Le gestionnaire de mots de passe Keeper devient aussi un gestionnaire de passkeys -- du moins, sur mobile. Les clés d'accès n'étaient pas encore gérées sur l'appli. Ils l'étaient déjà sur la version de bureau.
Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !
Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.
Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.
Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.
Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.
Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.
Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .
En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.
Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !
Après plusieurs de ses rivaux, Proton s'ouvre enfin aux passkeys (clés d'accès), qui ont pour ambition de remplacer les mots de passe. À l'image de ses autres initiatives, Proton précise que sa prise en charge des passkeys couvre toutes ses formules, y compris l'offre gratuite, et respecte les principes de l'open source.
Après plusieurs de ses rivaux, Proton s'ouvre enfin aux passkeys (clés d'accès), qui ont pour ambition de remplacer les mots de passe. À l'image de ses autres initiatives, Proton précise que sa prise en charge des passkeys couvre toutes ses formules, y compris l'offre gratuite, et respecte les principes de l'open source.
Cet article a été réalisé en collaboration avec Bitdefender
Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.
Cet article a été réalisé en collaboration avec Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Cet article a été réalisé en collaboration avec Bitdefender
Sur internet, aucun canal n’échappe aux hackers, pas même les messageries instantanées. Heureusement, quelques bonnes pratiques limitent les risques.
Cet article a été réalisé en collaboration avec Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Keeper est un gestionnaire de mots de passe qui ne ménage pas ses efforts pour séduire les PME et les entreprises. Ce qui ne veut pas dire que les particuliers n’y trouveront pas leur compte. Découvrez notre avis complet sur Keeper.
Vous connaissez le refrain, les mots de passe, c’est comme les slips sales, on ne les laisse pas traîner. Mais à l’ère du numérique, notre trousseau de mots de passe pèse lourd, très lourd.
Alors, que diriez-vous de confier ces précieux sésames à un gardien de confiance ? Ça tombe bien, KWalletManager est là pour ça.
KWalletManager, c’est l’outil qu’on n’attendait pas, mais dont les linuxiens ne vont plus pouvoir se passer.
Son job ? Gérer vos mots de passe sur votre système KDE d’une main de fer. Cet outil utilise le framework de gestion de portefeuille de KDE et offre ainsi accès à un espace sécurisé où vos applications peuvent stocker leurs petits secrets chiffrés.
Là où KWallet fait mouche, c’est dans son intégration avec l’écosystème KDE. Il ne se contente pas de stocker vos mots de passe, il gère l’accès à toutes les applications compatibles. Par exemple, si vous souhaitez que votre client mail se souvienne de votre mot de passe ou stocker la phrase de passe de votre clé SSH, KWallet peut se mettre sur le coup.
Alors bien sûr comme de nombreux logiciels libres (et d’autres gestionnaires de mots de passe Linux), KWalletManager peut sembler austère au premier abord, mais c’est justement sa force. Pas de fioritures, pas de gadgets inutiles, juste un service essentiel : protéger vos mots de passe. Certains diront qu’il est brut de décoffrage, mais si ce que vous cherchez c’est un outil fiable sans chichis, vous êtes au bon endroit.
Là où d’autres gestionnaires de mots de passe vous bombardent de fonctionnalités, KWallet vous permettra de rester zen et sécurisé sans vous noyer dans les détails. Il fait ce qu’on lui demande et il le fait bien. Pas de générateur de mot de passe, pas de synchronisation, mais un service de chiffrement solide qui fait le job.
KWallet est donc un peu à l’ancienne, mais il y a une beauté dans cette simplicité ^^. Et pour ceux qui veulent un peu plus, des solutions comme Keepass sont souvent recommandées pour compléter l’arsenal de sécurité.
KWallet, c’est un peu comme ce vieux sage dans les films qui connaît tous les secrets, mais ne parle que lorsqu’on l’interroge. Il est là, intégré dans votre système KDE, veillant sur vos mots de passe sans vous enquiquiner. Pas d’extension, pas de fioriture… c’est fiable et discret. C’est en ça que KWallet a tout compris.
D’autres gestionnaires de mots de passe pour Linux :
Salut à vous, les aficionados de la sécurité informatique !
Aujourd’hui, on va plonger dans l’univers de Zoho Vault, outil qui vient rejoindre la grande famille des gestionnaires de mots de passe gratuits, et qui, je vous le promets, va vous faire oublier vos post-its sous le clavier ou vos mots de passe écrits sur des bouts de papier (oui, oui, je sais que certains d’entre vous font encore ça) !
Zoho Vault, c’est développé par la société Zoho que vous connaissez peut-être pour ses outils de CRM en ligne. Zoho Vault est conçu pour les particuliers, mais également les entreprises avec des équipes de toutes tailles. Au niveau des fonctionnalités, on a un stockage illimité, de la génération de mots de passe, de l’import de mots de passe existants et bien sûr tous les plugins qui vont bien pour le remplissage automatique. Bref, tout ce que vous aimez dans votre gestionnaire de mot de passe actuel, vous l’avez dans Zoho Vault.
Hé bien la sécurité, c’est le dada de Zoho Vault. Tous vos mots de passe sont protégés par un chiffrement AES 256. Même les employés de Zoho ne peuvent pas accéder à vos données. Votre mot de passe principal, est donc votre clé personnelle qui ouvre votre coffre-fort et personne d’autre ne l’a ou ne l’aura sauf si vous lui donnez. Un truc comme avec Zoho Vault, c’est qu’avec son fonctionnalité de connexion unique (Single Sign-On ou SSO) vous pourrez accéder à toutes vos applications en ligne favorites sans avoir à entrer un mot de passe. Un clic, et vous êtes connecté. C’est pas beau, ça ?
Pour les amateurs de contrôle et de données, Zoho Vault propose également des tableaux de bord de sécurité qui vous permettent de voir en un clin d’œil la robustesse de vos mots de passe. Vous pouvez identifier les mots de passe faibles et les changer facilement.
Chez Zoho, il savent également que parfois, on est obligé de partager des mots de passe avec des collègues, des amis ou des membres de la famille. C’est relou mais partager ne signifie pas compromettre la sécurité. Avec Zoho Vault, vous pouvez partager vos mots de passe en toute sécurité, en attribuant différents niveaux d’accès aux gens avec qui vous partagez tout ça, sans forcement leur dévoiler le mot de passe et bien sûr en gardant le contrôle total de vos identifiants.
Vous pourrez même suivre qui a accédé à quoi, quand et comment. Chaque action reconnue comme sensible est conservé dans les logs.
Et si demain, vous quittez l’entreprise (ou ce monde cruel), vous pouvez même transférer tous vos mots de passe à une personne.
Alors c’est gratuit en version de base et disponible sous la forme d’un site web accessible de partout. Mais rassurez vous, comme pour d’autres gestionnaire de password, c’est aussi dispo sous la forme d’extensions pour Chrome, Firefox, Edge et j’en passe mais éalement en version app mobiles pour iOS et Android. Comme ça, en cas de voyage à l’autre bout du monde, pas de souci, vous aurez vos mots de passe dans la popoche.
Zoho Vault n’a rien à envier à la concurrence. Il est robuste, flexible, et il a une réponse à presque tous vos besoins en matière de gestion de mots de passe. Que vous soyez un particulier qui cherche à sécuriser ses comptes personnels ou une entreprise qui veut protéger ses données sensibles en équipe, Zoho Vault est une solution à considérer sérieusement.
D’autres gestionnaires gratuits à découvrir :
Enpass est un gestionnaire de mots de passe qui vous laisse la main sur le stockage de vos données. Un gestionnaire local, qui autorise malgré tout une synchronisation sur plusieurs appareils pour moins cher qu’un café tous les mois. Voyons de quoi il retourne dans notre avis complet sur Enpass.
Cet article a été réalisé en collaboration avec Bitdefender
Enceintes, ampoules, routeurs et même lave-linges, les objets connectés font désormais partie de notre quotidien. Grands collecteurs de données, ces appareils apprennent de vos habitudes de vie. À ce titre, ils méritent d’être sécurisés. On vous explique comment mieux protéger votre vie privée.
Cet article a été réalisé en collaboration avec Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Le gestionnaire de mots de passe sert à mémoriser pour vous vos codes d'accès à vos comptes en ligne, dans un environnement protégé. C'est comme un coffre-fort.
Déployé de manière progressive et présenté au FIC en avril dernier, le Dashboard LockSelf fait désormais partie intégrante des outils de pilotage cyber des organisations utilisatrices de la suite LockSelf. Retour sur ses spécificités et ses fonctionnalités clés !
The post LockSelf dévoile un nouveau Dashboard dédié aux RSSI ! first appeared on UnderNews.
Après Android, c'est autour d'iOS de recevoir bientôt une version actualisée de WhatsApp. La célèbre application de messagerie prépare la prise en charge des passkeys sur l'iPhone.
Les écossais ont le Loch Ness, et nous, français, nous avons le Locknest, et ce n'est pas qu'une légende ! Et oui, Locknest, c'est le nom d'un nouveau gestionnaire de mots de passe physique. Il vient d'être lancé sur le marché par LockNest Group, une jeune entreprise spécialisée dans la cybersécurité. Présentation de ce produit innovant.
Le Locknest prend la forme d'une grosse clé USB qui tient dans la paume de la main et qui va vous permettre de stocker vos identifiants de façon sécurisée. Le boitier est doté d'un connecteur USB-C et du Bluetooth pour permettre une prise en charge sur divers appareils, tout en étant autonome : il n'y a aucune dépendance au Cloud ! De plus, lorsque le boitier Locknest est éteint, les données qu'il contient sont inaccessibles.
En termes de sécurité, sachez que les données stockées sur le boitier Locknest sont chiffrées avec de l'AES 256 bits, les communications bénéficient du chiffrement de bout en bout, et le boitier s'appuie sur un microcontrôleur sécurisé.
Dans le même esprit qu'un gestionnaire de mots de passe "classique", que ce soit KeePass, ou une autre solution comme Bitwarden, 1Password ou encore LastPass, vous devez déverrouiller votre coffre-fort de mots de passe pour accéder à son contenu. Mais, là, vous oubliez l'utilisation d'un mot de passe maitre très long puisque Locknest nécessite uniquement un code PIN de 7 chiffres !
"Locknest vise à modifier le comportement des utilisateurs en intégrant le moins de complexité possible. Plutôt que de miser sur une révolution technologique, les créateurs de Locknest ont préféré s’attaquer au frein le plus courant : le facteur humain. L’aspect hardware de la solution permet d’absorber une grande partie de la complexité de ce type de solutions, notamment en ne demandant qu’un PIN de 7 chiffres pour le déverrouiller, là où les solutions purement en ligne nécessitent un secret maître long et complexe.", peut-on lire dans le communiqué de presse officiel.
Lorsque l'on utilise le Locknest, tous nos identifiants sont stockés sur ce boitier et uniquement sur celui-ci. Forcément, on s'interroge : que se passe-t-il si le boitier est perdu, volé ou tout simplement s'il ne fonctionne plus ?
Sachez que vous pouvez réaliser un export chiffré de votre coffre-fort, afin d'en avoir une copie externalisée. Pour le moment, c'est à l'utilisateur de trouver une solution fiable et sécurisée pour stocker cette sauvegarde. Toutefois, la feuille de route 2024-2025 de Locknest précise : "ouverture du service de sauvegarde des données sur un serveur sécurisé, privé et français.", qui sera utilisé pour sauvegarder votre coffre-fort, et non pour la lecture des données à chaud.
Par ailleurs, le Locknest intègre un système de verrouillage automatique pour se "mettre en sécurité" et refuser les tentatives de déverrouillage lorsqu'il y a trop de tentatives infructueuses à la suite : "A la manière d’une carte bancaire, Locknest applique une pénalité sous forme de bannissement temporaire à partir de 3 erreurs de secret maître, et ce, jusqu’à ce que le bon secret maître ait été utilisé. Durant ces 10 minutes de bannissement, toute tentative d’ouverture de session sera purement ignorée."
En complément, voici d'autres informations importantes à savoir au sujet de Locknest :
Vous pouvez l'acheter sur le site officiel de Locknest, mais également sur Amazon.fr via ce lien, par exemple.
Sur le marché des clés physiques pouvant assurer la fonction de gestionnaire de mots de passe physique ou de gestionnaire d'identité numérique physique, il y a d'autres alternatives qui sont à prendre en considération. Voici quelques noms :
Qu'en pensez-vous ?
Article mis à jour le 31/01/2024 à 14h45, pour apporter des précisions sur les alternatives existantes au LockNest.
The post Voici Locknest, le tout nouveau gestionnaire de mots de passe physique et il est français ! first appeared on IT-Connect.
Comme d'autres gestionnaires de mots de passe, NordPass a tout le nécessaire pour vous aider à importer rapidement vos codes secrets depuis n'importe quel navigateur de premier plan, comme Google Chrome.
Cet article a été réalisé en collaboration avec Bitdefender
Les iPhone sont réputés comme étant les smartphones les plus sûrs du marché, mais qu’en est-il réellement ? Certaines erreurs courantes restent susceptibles de mettre en danger vos données personnelles.
Cet article a été réalisé en collaboration avec Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Pour migrer de Google Chrome à Dashlane, il existe des outils d'import et export qui permettent de basculer facilement ses mots de passe.
Connexion