[ Ubuntu-cm ] Message transféré en pièce jointe

Thu Mar 25 23:15:46 GMT 2010

> > je ne sais pas si c'est moi qui ai mal fait quelque chose.

Oui, c'est toi qui a enregistré ton mot de passe.

> > mais pidgin 
> > ne crypte pas le mot de passe avant de l'enregistrer (enfin pour ceux
> > qui mémorise les mots de passe).

C'est écrit clair et net sur leur site, il y a même une page spéciale pour ça.
http://developer.pidgin.im/wiki/PlainTextPasswords

> > Et ca c'est une grosse faille ca. 

La faille c'est surtout d'enregistrer son mot de passe. Le meilleur endroit 
pour sauvegarder un mot de passe, c'est dans la tête et à partir du moment où 
on accepte d'enregistrer le mot de passe dans un logiciel, il faut s'attendre 
à ce qu'il soit décrypté un jour (peu importe le chiffrage utilisé) car il 
faut savoir que le chiffrage ne sert pas à empêcher le décodage, mais juste à 
faire en sorte que ça prenne beaucoup de temps. Si par exemple il faut 4ans 
pour déchiffrer ton mot de passe, ça va décourager certains, mais si 
quelqu'un y tiens vraiment et qu'il a les moyens de se payer un botnet, il le 
fera en moins d'une semaine.

> > Je ne sais pas si c'est pareil pour emphaty, mais ca me fait peur grave.

Non, avec Empathy, quand on éssaye d'enregistrer un mot de passe pour la 
première fois, on nous demande de saisir un deuxième mot de passe pour le 
trousseau de clé. Ce mot de passe sera utilisé pour crypter le fichier 
contenant le mot de passe, malheureusement la majorité des gens préfèrent 
ignorer cette étape malgrès l'avertissement qui leur dit pourtant que leur 
mot de passe ne seront pas en sécurité s'ils ne saisissent pas de mot de 
passe.

> > Faut que je trouve une solution a ca.

La solution, c'est de ne plus mémoriser ton mot de passe et de le saisir à 
chaque fois que tu te connectes. Si tu trouves que c'est trop difficile, ça 
signifie que tu ne tiens pas tant à protéger ton mot de passe. En tous cas il 
a été clairement dit sur le site de Pidgin qu'il n'ont pas l'intention de 
crypter le fichier des mot de passe.

> Je vois très bien l'ampleur du problème. En réalité,
> aucune sécurité n'est garantie dans les protocoles de messagerie
> instantanée.

C'est la raison que les développeurs de Pidgin ont aussi donné. Vu que les 
échanges entre ton PC et les serveurs de messagerie ne sont pas cryptés (eh 
oui, tous ce que vous vous dites sur Messenger circule en clair sur le résau 
et on peut tout sniffer), ils ne voient pas pourquoi se casser à crypter les 
mots de passe.

> Pour ce problème, on pourrait écrire un script shell qui, 
> à la fermeture de pigdin, crypte le fichier "accounts.xml" et à son
> ouverture, le décrypte avant que pidgin ne l'utilise. Ecrire un script
> pareil ne prendrait pas du temps. On configurera donc l'interface
> graphique pour que lors d'un clic sur l'icône de pidgin, il lance le
> script.

Les développeurs ont déjà eu cette idée avant toi Izane et c'est intégré par 
défaut. Sous Gnome (donc sous Ubuntu), ça s'appelle Gnome keyring et sous 
KDE, c'est Kwallet. Je crois (mais je ne suis pas sûr) que Pidgin est 
compatible avec Gnome Keyring grâce à un plugin. Essayes de chercher de ce 
côté là.

> De manière générale, une personne ne devrait pas avoir
> accès à la session d'une autre personne.

Oui, oui de manière générale. Mais maintenant, comment être sûr que le root du 
PC ne viendra jamais fouiner dans nos fichiers?

> C'est par cette faille qu'on 
> pourrait facilement récupéré ce fichier. Sachez que 90% des faille de
> sécurité dans les entreprises sont de cause humaine et non matérielle
> ou logicielle.
> Brice, si tu veux on met en place le script ;)

Moi je peux plutôt t'aider à mettre en place un script qui s'assure que tu 
n'as pas enregistré ton mot de passe.

Bonne nuit.