Logo journal du hacker middle
  1. 3

    Sur le papier ça a l’air cool, mais plusieurs points qui vont vraiment me freiner à utiliser un truc du genre :

    • l’apk android n’est plus maintenue depuis 2 ans, et pas publiée sur le playstore (t’a même du fournir un lien de webarchive)

    • aucun audit de sécu, du coup on ne sait pas s’il serait par exemple possible d’arriver à deviner le “Master password” à partir de plusieurs couples “username/ndd/password” … quand on s’amuse avec la crypto comme ça, c’est hyper cool, mais ça demande vérification extérieure, et la: rien

    • tu te retrouve bloqué sur ce gestionnaire de mdp, impossible de switcher pour un autre (ou très, très compliqué)

    • après avoir lu le “technical paper”, quid du changement de mot de passe pour un compte d’un site ? je n’ai pas testé le gestionnaire, mais ça n’a pas l’air possible de changer de mot de passe… quelle est la procédure en cas de leak d’une bdd ?

    1. 1

      Commentaires super intéressants, ça fait plaisir, merci @BarbossHack !

      En effet, bien que j’utilise cet outil depuis depuis +2 ans maintenant il est décevant de voir la faible maintenance du projet.

      Il est cependant possible d’utiliser leur algorithme open-source sur d’autres projets (ex : https://github.com/bkueng/qMasterPassword)

      Je ne suis pas du tout un expert en cryptographie, pour le moment, je me dis qu’entre stocker mes mots de passe sur un logiciel (local ou remote) et utiliser un générateur open-source comme Spectre j’ai fait mon choix :)

      Je viens de trouver des informations supplémentaires intéressantes sur Hacker News : https://news.ycombinator.com/item?id=9788597

      1. 1

        Je pense justement que c’est une fausse bonne sécurité, le fait de générer les mots de passes comme le fait Spectre. En fait après réflexion, je n’y vois même aucun avantage, que des inconvénients (ceux que j’ai cité, mais aussi ceux présentés sur Hacker News).

        C’est toujours intéressant de faire une analyse de risque au plus proche du réel pour voir les différences.

        Par exemple, tu dis préférer générer tes mdp que les stocker en local. Quel est le risque d’un vault local ? Qu’un malware sur ton PC récupère tes mdp. Mais alors ce malware est déjà installé sur ton PC, avec un keylogger pour récupérer le master password de ton vault local (pour récupérer les mdp qui sont dedans). Quel avantage apporte Spectre ? Le keylogger arrivera aussi à enregistrer le master password de Spectre et donc dériver l’ensemble de tes mdp. (il pourra aussi récupérer ton presse-papier, ton clavier (keylogger), ton historique bash, … tout, quelque-soit le gestionnaire). Donc, aucun avantage à Spectre.

        Par contre des inconvénients, on peut en lister beaucoup…

        Le sujet est super intéressant, ça me donne des bonnes idées pour d’autres projets, mais jamais je ne m’autoriserais à utiliser ce gestionnaire :-/

        1. 1

          Un des avantages est quand même le fait que tu ne peux pas perdre de base de données de mot de passe. Pas de fichiers à backup.

          Mais tous les désavantages ne font pas le poids à mon goût…

          1. 1

            Eh bien, c’est même pas si vrai que ça en plus je trouve…

            • Si tu veux changer de mdp sur un site, tu va devoir incrémenter un “compteur” (-c 2, -c 3, …) lors de la génération du mdp.
            • Si un site n’accepte pas le “format” des mdp générés par Spectre, il faut lui en spécifier un nouveau en argument (-t …).

            Donc ça fait des paramètres dont il faut se souvenir pour pouvoir retrouver ses mdp, il faut les stocker quelquepart (sinon ça devient ingérable), donc pas si “stateless” que ça

    1. 1

      Sinon, y a Taiga https://www.taiga.io/ en licence MPL

      1. 2

        Ou sinon Wekan aussi opensource et très facilement déployable https://github.com/wekan/wekan

        Mais payer 49€ pour CHAQUE mise à jour majeur, je trouve ça abusé de la part de Stacks !!!!

        1. 1

          Je voulais vraiment un truc super simple à mettre en place et sans maintenance, du coup j’ai préféré aller vers Stacks.

          Une mise à jour majeur ça doit pas arriver tout les 4 matins, généralement ça dure plusieurs années. Donc bon, ça me parait carrément raisonnable comme prix ;)

        2. 1

          Je l’ai rapidement testé, mais j’ai pas trop aimé l’ergonomie perso ^^

          1. 1

            Merci, corrigé.

            Tcho !

          1. 4

            Je ne suis pas sur que ce soit une bonne idée d’accepter des liens vers des sites de Gambling, jeux d’argent et autres arnaques à la cryptomonnaie

            1. 4

              Pareil. Des articles sur le fonctionnement des cryptomonnaies pourquoi pas, mais 3 articles successifs pour des jeux d’argent (même en crypto), non merci…

            1. 3

              Mauvais lien, 404 not found

              1. 2

                En terme de précision par contre je préfère https://speed.cloudflare.com/

                  1. 2

                    C’est pas “peut-être”, c’est sur à 100% que c’est eux dont Micode parle^^

                    (sa dernière vidéo https://www.youtube.com/watch?v=xf_cKTlOYLo )

                  1. 3

                    J’ai beaucoup aimé cet article, merci ! :)

                    1. 1

                      Il y a un “a” en trop à la fin de l’url @orel

                      1. 1

                        Corrigé, merci pour le signalement.

                      1. 1

                        Quel est la différence entre /recent et /newest ? (je vais toujours sur /newest)

                        1. 4

                          Salute,

                          https://www.journalduhacker.net/recent : Les plus récentes infos avec un panaché aléatoire des infos récentes soumises qui n’ont pas encore atteint la page principale.

                          https://www.journalduhacker.net/newest : Les plus récentes infos.

                          Perso je suis /newest.

                          Tcho !

                          1. 1

                            ha ouai tiens ?!

                          1. [Comment removed by author]

                            1. 2

                              Merci @BarbossHack pour ces précisions très justes. L’article à été mis à jour récemment afin de refléter ces nouvelles informations. Le but de cette article est de sensibilisé un maximum de lecteurs sur les dangers d’une mauvaise gestion de sa sécurité en ligne, il n’y a aucune monétisation ou autres avantages.

                              1. 1

                                Nice :)

                              1. 5

                                Parce qu’il est important de ne pas véhiculer de fausses informations:

                                COMB n’est pas une attaque, c’est juste une combination de plusieurs centaines de leaks de ces dernières années, rien de récent la dedans, et rien de plus intéressant que ça, tout était déjà publique.

                                Il n’y a eu aucune fuite de données chez Gmail ou Hotmail, juste des personnes qui utilisent le même mot de passe partout, et donc ça fait plus vendeur dans les titres d’articles.

                                Utilisez un gestionnaire de mot de passe (je conseille Bitwarden).

                                  1. [Comment removed by author]

                                    1. 1

                                      C’est bizarre de vendre de l’anti-ddos et d’avoir son site derrière Cloudflare…

                                      1. 1

                                        Cloudflare sert d’anti-ddos mais aussi et surtout de CDN c’est pour cela que nous l’utilisons.

                                      1. 1

                                        Bonjour, Ce n’est pas un article mais une brève (rédigée en français, mais basée sur un article anglais). Aucun article FR sur cette news pour le moment… Si cela ne rentre pas dans les critères du journalduhacker, pas de problème à ce que cette news soit supprimée ! Au moins je saurais :) Cordialement

                                        1. 2

                                          Vraiment cool cette solution !

                                          1. 2

                                            Oui vraiment original et sympa!

                                          1. 2

                                            “Nous n'avons plus qu'à attendre un bel audit de sécurité du code.” On attend :)

                                            1. 1

                                              Ah on a le droit de mettre des bon plans qui n'ont aucun rapport avec les thématiques du Journal du Hacker ?

                                              1. 1

                                                Yo,

                                                Ça dépend ce que tu appelles des bons plans. La marque est jeux, si il était pas dispo et gratuit pour SteamOS + Linux, je l'aurais pas remonté.

                                                De manière générale, il ne faut pas hésiter à poser la question ou tenter de remonter un article. Si ça convient pas, on supprime/modère, on en tient pas rigueur et il y a pas de lapidation publique à la fin ;)

                                                Tcho !

                                                1. 1

                                                  Je vois pas où il est gratuit mais bon …

                                                  1. 2

                                                    “Promo valable jusqu’au 15 juillet”. L'info a été plussé trop tard, du coup je vais la supprimer d'ici qq heures.

                                                    Tcho !

                                                    1. 1

                                                      On a un bug avec cette info au niveau des réseaux sociaux, elle sera supprimée après avoir creusé le bug.

                                                      Tcho !