Mot de passe en clair sur réseau

pazouzeus

Membre confirmé
7 Décembre 2005
95
2
Bonjour à tous,

Je suis passé de Classic (9.2) à Tiger et désormais tous les navigateurs & clients FTP m'indiquent que mes mots de passe sont envoyés en clair sur le réseau et susceptibles d'être interceptés par des "pirates" (dixit Fetch). Or, certains mots de passe que j'emploie sont "sensibles". Qu'en est-il précisément et quels sont les moyens d'éviter qu'un mot de passe puisse, le cas échéant, être intercepté en clair entre Tiger et le serveur ? Après moult recherches sur le Net, toujours pas arrivé à tirer de conclusions. :hein:
Merci ! :up:
 
Bilbo a dit:
Pas de mots de passe sensibles sur le Net. Jamais. Simple comme conclusion, n'est-ce pas ? ;)

À+

Simple, mais pas réaliste pour deux sous, dès lors que TU ES OBLIGÉ de le faire. :eek:
Regarde tous les administrateurs de gros sites en PHP. Comment font-ils ?
Et quand tu travailles par FTP ?
Supprime les mots de passe sensibles, et Internet n'existe plus. ;)
 
daffyb a dit:
dans ce cas, on travaille en sftp :zen: ou en ssh

Merci beaucoup pour ce premier élément de réponse.
Je pense que le paramètre concerne essentiellement la sécurisation d'un accès à la racine d'un site. Mais concernant l'accès à l'administration d'un site en PHP ou de la protection d'un répertoire via un ht.access ou une console type Plesk, existe-t-il une solution viable ?
Désolé de poser des questions dont certaines des réponses peuvent paraître évidentes aux initiés, mais elles me sont à moi fort utiles.
Encore merci ! ;)
 
Les mots de passe, normalement, il faut les varier (un pour le site, un pour la base de données, un pour la banque, un pour ceci et encore un autre pour cela ...).
Par ailleurs, pour éviter les drames, il faut bien différencier les mots de passe :
- locaux (là c'est comme tu veux)
- réseau / non sécurisé (achtung !)
- réseau / sécurisé (un peu achtung !, mais moins)

Si tu veux administrer ton site en HTTP (avec ton navigateur, donc), la partie administration doit être accessible uniquement par le protocole HTTPS (i.e. le protocole HTTP sécurisé). Dans ce cas, ton mot de passe ne sera pas envoyé en clair mais dans un tuyau de cryptage qui le cachera à l'oeil de l'indiscret.

L'ennui est que, le plus souvent, on n'a pas le choix et seuls les modes non sécurisés sont proposés ...

Remarque au passage : c'est d'ailleurs pour cela que j'apprécie aussi GMail. Tous les accès sont sécurisés ! Certes, le contenu est indexé par Google (donc il faut rester prudent) mais pour le reste, c'est nickel.
 
bompi a dit:
Certes, le contenu est indexé par Google (donc il faut rester prudent) mais pour le reste, c'est nickel.
Ah booooon, t'es sûr que Google ne le stocke pas en clair dans sa base ?

C'est un peu provoc comme question mais c'est aussi un aspect en prendre en compte. ;) Je persiste et signe : Pas de mots de passe sensibles sur le Net. Jamais.

Cela dit, c'est vrai qu'il est bon de savoir quels sont les risques pour ensuite savoir quelle sont les mesures à prendre sans sombrer dans la paranoïa. Bon, la limite entre la prudence et la paranoïa est assez ténue. :siffle:

Le risque sur le mot de passe se situe à plusieurs niveaux.
  1. Sa construction. Si vous prenez le prénom de votre maîtresse suivie de votre année de naissance vous êtes mal barrés. Une recherche sur Google avec comme requête "mot de passe" bon donne de bons articles comme celui-ci.
  2. L'interception lors de sa transmission. C'est le sens de l'alerte que tu donnes dans ta question. Ce n'est pas à la portée du premier venu mais le risque existe. La parade consiste à chiffrer la liaison lors de la transmission du mot de passe ; ce que bompi appelle "réseau / sécurisé". C'est à ça que servent les protocoles ssh, sftp, https et consorts. Plus de détails ici ou . Bien sûr il existe d'autres méthodes de chiffrement que SSL mais c'est un bon début pour approcher le problème.
  3. Les personnes qui ont accès à l'endroit ou est stocké le mot de passe. C'est le sens de ma remarque sur GMail. Je n'ai rien contre GMail, on pourrait faire cette même remarque à ceux qui ont leurs adresses de courriel sur mes serveurs. Même si les mots de passe son chiffrés, rien ne m'empêche d'essayer de les trouver. Un exemple pris au hasard pour illustrer ce type d'attaque. :siffle: :D

À+
 
  • J’aime
Réactions: Dark Templar
... d'autant que mes collègues de la sécurité m'ont toujours soutenu mordicus que 3/4 des attaques de sécurité (genre : usurpation d'identité ...) sont dues à des gens "dans la place". C'est souvent plus dur de dehors que de dedans ...

Donc il est bien entendu que, en-dehors du thème des mots de passe, il vaut mieux éviter de laisser traîner son numéro de carte bancaire dans un quelconque mail !!

Marrant, l'article de ixus.net ...
 
Bilbo a dit:
Ah booooon, t'es sûr que Google ne le stocke pas en clair dans sa base ?

C'est un peu provoc comme question mais c'est aussi un aspect en prendre en compte. ;) Je persiste et signe : Pas de mots de passe sensibles sur le Net. Jamais.

Cela dit, c'est vrai qu'il est bon de savoir quels sont les risques pour ensuite savoir quelle sont les mesures à prendre sans sombrer dans la paranoïa. Bon, la limite entre la prudence et la paranoïa est assez ténue. :siffle:

Le risque sur le mot de passe se situe à plusieurs niveaux.
  1. Sa construction. Si vous prenez le prénom de votre maîtresse suivie de votre année de naissance vous êtes mal barrés. Une recherche sur Google avec comme requête "mot de passe" bon donne de bons articles comme celui-ci.
  2. L'interception lors de sa transmission. C'est le sens de l'alerte que tu donnes dans ta question. Ce n'est pas à la portée du premier venu mais le risque existe. La parade consiste à chiffrer la liaison lors de la transmission du mot de passe ; ce que bompi appelle "réseau / sécurisé". C'est à ça que servent les protocoles ssh, sftp, https et consorts. Plus de détails ici ou . Bien sûr il existe d'autres méthodes de chiffrement que SSL mais c'est un bon début pour approcher le problème.
  3. Les personnes qui ont accès à l'endroit ou est stocké le mot de passe. C'est le sens de ma remarque sur GMail. Je n'ai rien contre GMail, on pourrait faire cette même remarque à ceux qui ont leurs adresses de courriel sur mes serveurs. Même si les mots de passe son chiffrés, rien ne m'empêche d'essayer de les trouver. Un exemple pris au hasard pour illustrer ce type d'attaque. :siffle: :D

À+

Merci à tous pour ces renseignements. Sympa ! :up: Cela va me permettre de mieux appréhender le thème. Je me rancarde un peu et je reviens... :zen:
 
Re,
J'essaie vainement de me connecter en SFTP, via Fetch ou Cyberduck (et encore SFTPSecumachin sur MacOS Classic) : a chaque fois, mon MDP est rejeté.:hein:
La même procédure en FTP et ça baigne... :rolleyes:
Un copain sur PC parvient, lui, à se connecter sur le même serveur en SFTP.:mouais:
Quelqu'un a une idée : savoir comment dois-je me connecter en SFTP sous X.4.2 ? :siffle:

NOTA : l'hébergeur me dit qu'il suffit de cocher SFTP sur un PC...:love:
Nota2 : Je n'ai plus de PC.:eek:
 
J'utilise soit la commande (Terminal)
Bloc de code:
sftp
soit Transmit et ça marche très bien.
Rassure-toi, il n'y a aucun problème avec les clients SFTP sur Mac. Quel est ton hébergeur ?
 
bompi a dit:
J'utilise soit la commande (Terminal)
Bloc de code:
sftp
soit Transmit et ça marche très bien.
Rassure-toi, il n'y a aucun problème avec les clients SFTP sur Mac. Quel est ton hébergeur ?

J'ai un problème avec la commande terminal : après plusieurs années de travaux forcés sur Classic et de détente sur PC..., tout ce qui procède d'Unix, je suis un peu charette (depuis 2 week-end sur Tiger). Donc voilà...:rose:
L'hébergeur, via un intermédiaire, est AGOM.
Amicalement.
 
pazouzeus a dit:
Un copain sur PC parvient, lui, à se connecter sur le même serveur en SFTP.:mouais:
Hé bien utilise son PC et connecte toi avec ton identifiant et ton mot de passe. Tu sauras ainsi si le problème se pose sur le serveur ou sur ta machine. J'ai le même point de vue que Bompi, il n'y a pas de problème avec les clients SFTP sur Mac, donc on cherche ailleurs d'abord. :zen:

À+
 
Bilbo a dit:
Hé bien utilise son PC et connecte toi avec ton identifiant et ton mot de passe. Tu sauras ainsi si le problème se pose sur le serveur ou sur ta machine. J'ai le même point de vue que Bompi, il n'y a pas de problème avec les clients SFTP sur Mac, donc on cherche ailleurs d'abord. :zen:

À+
Le problème, c'est qu'il vit à près de 200 bornes de chez moi... Et de toute façon, je n'ai pas acheté mon Mac d'occase, avec le prix duquel j'aurais pu avoir un PC neuf dernier cri, pour aller me connecter sur le PC d'un pote...
Non, je ne doute pas l'ombre d'une seconde du SFTP sur Mac. Le prob, c'est que moi sur Fetch, Cyberduck ou SecureFTP, c'est niet ! :hein:
Pourquoi ?
C'est précisément là toute ma question de néophyte... :)
 
pazouzeus a dit:
Le problème, c'est qu'il vit à près de 200 bornes de chez moi... Et de toute façon, je n'ai pas acheté mon Mac d'occase, avec le prix duquel j'aurais pu avoir un PC neuf dernier cri, pour aller me connecter sur le PC d'un pote...
Non, je ne doute pas l'ombre d'une seconde du SFTP sur Mac. Le prob, c'est que moi sur Fetch, Cyberduck ou SecureFTP, c'est niet ! :hein:
Pourquoi ?
C'est précisément là toute ma question de néophyte... :)
On ne s'est pas compris. ;) Nous avons besoin de savoir si ton identifiant et ton mot de passe marchent en utilisant une machine où les services fonctionnent. C'est la première étape de ce qu'on appelle un arbre décisionnel et en fonction de la réponse on ne cherchera pas les mêmes pannes. :zen:

À+
 
Remarque, je suppose que ses identifiants sont bons puisqu'il se connecte en FTP.
Mais, si ça se trouve, il n'a pas d'accès en sFTP chez son hébergeur ...
Avec le mien, je n'en ai pas, je pense (online.net)
 
  • J’aime
Réactions: Bilbo
oui mais non :D un identifiant FTP et un identifiant SFTP peuvent aussi être différents ;) et comme dit au dessus, c'est pas parce que le ftp est activé que le sftp l'est aussi ;)
Le sftp passant pas un tunel ssh (si je ne m'habuse) il faudrait plutot savoir si le ssh est activé sur le serveur.
 
  • J’aime
Réactions: bompi
Bon, ben à nous trois, on vaut bien les médecins qui se penchent sur ce pauvre malade dans Astérix chez les Helvètes. Je ne me souviens plus de la phrase exacte, mais en gros ça donnait "Les médecins en groupe sont plus dangereux qu'une cohorte de légionaires." :D pazouzeus, t'es pas rendu. :siffle:

À+
 
Faut dire que l'on manque un peu d'informations ... comme son login et son mot de passe par exemple :D :D
 
bompi a dit:
Faut dire que l'on manque un peu d'informations ... comme son login et son mot de passe par exemple :D QUOTE]

Rouf ! :D

Sur ma console :
1/ Terminal SSH non activé
2/ FP-SSL non activé
3/ FP Webadmin non activé.
Je ne peux les activer par moi-même.
Le problème serait là...? :mouais:

Amicalement.