Bienvenue dans la grande famille des Geek ;)

Ce n'est pas parce qu'un logiciel ou un OS est mise à jour tous les mois qu'il est forcément bon. Le plus bel exemple c'est Windows :) Personnellement je continue d'utiliser KeepassX et il est toujours intégré à des OS sécurisé comme Tails. Mais rien ne vous empêche de passer sur KeepassXC, cela ne change pas grand chose puisque la base de données est sécurisée de la même façon pour des raisons de compatibilité avec Keepass et KeepassX.

Merci pour votre réponse!

Je préfère que mes mots de passe soient stockés sur mes machines plutôt que sur un serveur dont je n'ai pas le control. Néanmoins, BitWarden est plus "confortable" à utiliser, surtout si on utilise plusieurs machines. C'est à chacun d'évaluer le bénéfice/risque, surtout si les mots de passe stockés donnent accès à des comptes très critiques comme banque, administration etc.

@@paflegeek Merci beaucoup pour cette réponse ; je suis bien d'accord avec cette analyse. Quelle différence entre KeePassX et KeePassXC ?

KeepassX n'est plus vraiment développé puisque la dernière version date de 2016. KeePassXC a de nouvelles fonctionnalités, un nouveau design et a des mises à jour régulières.

Je n'ai pas vraiment d'avis sur ce projet et je n'ai rien contre. Quelques fonctionnalités supplémentaires (dont je n'ai personnellement pas besoin) et un "flat design" qui le rend plus moderne. Pourquoi pas ?! C'est tout l'intérêt des projets open source : Faire toujours mieux et selon ses goûts. Personnellement je préfère utiliser les versions originales tant qu'elles ne sont pas abandonnées par les développeurs.

Même si j'ai confiance en Mozilla, je ne suis pas fan des gestionnaires qui stockent mes mots de passe ailleurs que sur ma machine. La synchronisation apporte un certain confort, mais c'est aussi un risque.

@@paflegeek J'y stock principalement des forums ou autre compte sans liaisons avec de l'argent. Mes données bancaires ça non, jamais. Mais merci pour votre avis, la vidéo étant daté j'avais peur que mon commentaire ne soit pas vue. Avez vous un compte utip ?

+Bruno Baggylover Merci pour l'intérêt que vous portez à mes vidéos. Comme tous les fichiers qui se trouvent sur votre disque dur, il est conseillé de faire une sauvegarde sur un support externe et de préférence un disque dur ou un cloud sécurisé (SpiderOak). Il suffit d'aller dans le menu fichier et de cliquer sur "Enregistrer la base de données sous...".

Je suis contre l'utilisation de service de stockage de mots de passe sur internet car je pense qu'ils ne sont pas sécurisé. Je préfère utiliser des logiciels comme KeePass.

Il te faudra stocker ta base de données dans une clef Usb et la prendre avec toi en vacances

J'aborderais le sujet de la vérification des signatures dans une prochaine vidéo sur la série des clefs GPG.

OK merci bien. Dois-je en déduire que ce fichier n'est pas corrompu? Puis-je donc l’utiliser sans problème ?

La seule façon de le savoir est de vérifier la signature et/ou également le hash en utilisant la commande sha256sum sous Linux par exemple. www.keepassx.org/releases/2.0.3/SHA256SUMS

Super c’est noté, je regardais les « mauvais fichiers », le seul qui donne les bonnes informations, je l’ai ignoré. J’espère que vous tiendrez compte de cette remarque dans votre prochaine vidéo qui traitera des signatures numériques. Cependant j’ai pu vérifier le fichier KeePassX-2.0.3.zip avec un bon résultat. Un grand MERCI pour votre aide et bonne continuation.

Pour les mobiles play.google.com/store/apps/details?id=keepass2android.keepass2android . Utilises un Cloud pour synchroniser ton fichier .kbx sur tous tes appareils.

super! merci!

@@paflegeek Je comprends la facilité d'usage du cloud mais n'est-ce pas risqué de placer son fichier .kdb chez Google, AWS, MS,... ? je n'ai pas trouvé d'autre moyen que de copier mon fichier .kdb sur clé USB pour mes 2 PC.

Les dépôts sont rarement à jour. Le mieux est de compiler le source : github.com/keepassx/keepassx

Bonjour, Je tenais tout d’abord à vous remercier pour votre réponse. Suite à quelques recherches et aux visionnements de vidéos sur youtube, il semble que ce dépôt soit fonctionnel: sudo add-apt-repository ppa:eugenesan/ppa Se rendre à 1:52 de la vidéo: kzbin.info/www/bejne/h3aZapqMmcp0fZY ubuntuhandbook.org/index.php/2015/12/install-keepassx-2-0-in-ubuntu-16-04-15-10-14-04/ linuxpropaganda.wordpress.com/2016/07/24/install-keepassx-from-ppa-in-xubuntu-16-04/ J’ai testé ce dépôt sur un os sur une machine virtuelle et je suis bel et bien passé à la version 2.0.3 Toutefois savez-vous si ce dépôt est "légitime" et ou s’il comporte quelconques risques? Je suis relativement nouveau sous Linux… Excusez mon inexpérience… Merci à vous!

Si il y a avait un dépôt "légitime" je pense qu'il serait indiqué sur le site de KeepassX. Le même problème se pose pour Keepass keepass.info/download.html

Merci pour votre réponse!

Le principe reste le même. Seule l'interface change un peu.

***** Oui, le clavier virtuel est une bonne solution même si il est possible de prendre une photo d'écran à chaque clique de souris pour voire sur quelle lettre se trouve le curseur de la souris. Merci de suivre de ma chaîne :)

***** Pour un service comme lastpass qui gère les mots de passes, tu peux utiliser authentification à deux facteurs. Même si le keylogger vole ton mots de passe, ne pourrons pas entrer. Ils auront besoin d'un truc externe qui change en permanence. Par exemple, ton cellulaire peut te donner un code de 6 chiffres avec google authenticator. Pour entrer dans lastpass tu dois donner ton username, ton password et en plus ton code a 6 chiffres qui change toutes les 30 ou 60 secondes. Sans ce code même avec le bon mot de passe tu peux pas entrer. L'ordinateur n'accepte aussi ce code qu'une seule fois. C'est une protection suplémentaire si tu peux l'activer avec un service. Pour l'authentification à deux facteurs, il y a par exemple: L'authentification de Yubico Fido U2F Google Authenticator Via SMS...

Sous Windows par exemple, il suffit de faire un clique droit sur l'icone de Kaspersky, puis Outils, puis Clavier virtuel. Il est utilisable où on veut.

Un fichier clef peut-être n'importe quoi, comme une image ou un document. Pour ouvrir il faut le mot de passe + le fichier clef. C'est une sécurité supplémentaire.

Merci pour votre réponse.

C'est le même code quelque soit l'OS donc oui c'est OK.

Il n'y a pas vraiment de différence entre les 2. Mais KeePassX est également le choix de Tails et les développeurs de Subgraph OS ont également annoncé que ce serait leur choix. Il est juste plus simple d'utiliser le même logiciel sur tous les OS. Mais je n'ai rien contre KeePass.

Ce sera le sujet d'une prochaine vidéo ;)

+Günther Valentin La collecte d'aléas permet d'augmenter la génération de données aléatoires en ajoutant une action humaine, comme par exemple agiter la souris de façon aléatoire. L'aléatoire n'existe pas vraiment pour une machine. C'est souvent basé sur des données comme la température d'une sonde ou la variation d'une valeur électronique quelconque de la carte mère. L'action humaine donne une données plus aléatoire car vraiment imprévisible par la machine. La collecte des mots de passe fera l'objet d'une autre vidéo...suspens ;) Tu as raison, poisson c'est pas terrible. La prochaine fois je mettrais cacahuète, c'est plus drôle :p

Ok merci pour ces précisions. Lol, je me demandais surtout si c'était vraiment utile car on peut retrouvé le fichier par l'extension, non ?

+Günther Valentin L'extension est explicite uniquement pour celui qui connaît KeePassX, mais si tu met "mes mots de passes" comme nom, ce sera explicite pour tout le monde. Il n'est pas interdit de changer l'extension d'ailleurs.

Je synchronise avec le hive de spideroak.

Ok merci, g vu qu'il est dispo sur iOS, est-ce qu'on peut consulter le fichier kbdx sur son téléphone ? Comment tu fais exactement ?

Je ne considère pas mon téléphone comme un espace sécurisé. Par conséquent je n'utilise pas de gestionnaire de mot de passe dessus. Je ne n'utilise quasiment pas mon téléphone.

Oui c'est mieux avec un clavier virtuel mais pas celui de Windows bien sur.

Quel logiciel tu recommandes ? Ou alors un clavier virtuel en ligne ?

Aucun en particulier. J'utilise celui de mon antivirus quand je suis sur Windows et rien sur les autres.

C'est quoi ton antivirus ? T'utilises rien sur les autres car t en confiance sur linux ?

Kaspersky sur Windows. Aucun intérêt sur Qubes OS. Les autres sont des machines de test.

play.google.com/store/apps/details?id=com.android.keepass

Merci pour le retour...;) J avais effectivement vu ce logiciel keepass .. est il aussi fiable que keepassX ? Merci infiniment pour la qualité de tes tutos

La question qu'il faut surtout se poser c'est : "Est-ce que mon téléphone est fiable ?" Car toutes les applications qui tourneront dessus peuvent être compromises par d'autres applications ou par Android et son Play Store de chez Google. Sinon il n'y a que l'embarras du choix : play.google.com/store/search?q=keepass

L'endroit le plus sécurisé au monde c'est ton cerveau (enfin pour l'instant). Travailles ta mémoire ;)

Oui je me suis dis ça aussi, mais tu vois g pensé à me faire un mdp bien compliqué d'une bonne cinquantaine ou soixantaine de caractères enfin le maximum que le logiciel puisse proposer quoi, mélangeant toute sortes de caractères spéciaux, et tout ce qu'il est possible de mettre pour au final avoir une combinaison bien farfelu sans queue ni tête complètement inintelligible, donc tu vois pour retenir ça, c'est un peu compliqué... Je ne vois pas d'autres solutions que de l'écrire sur un papier mais j'en ai pas tellement envie ou alors le planquer quelque part sur mon dd au risque de me le faire voler, il n'existe apparemment aucun autre moyen à ce jour. La nouvelle question qui se poserait, comment bien planquer un fichier contenant le mdp sur un dd dans un endroit insoupçonnable et difficile d'accès pour quiconque à part moi, avec un nom, puis format de fichier qui permettrait de ne pas éveiller les soupçons d'un hacker qui aurait réussi à y accéder malgré tout.

Je suis méfiant concernant Dashlane. Les médias mainstream en parle beaucoup trop pour être honnête. Je n'aime pas les gestionnaires de mot de passe qui transfèrent des données sur le réseau. Un logiciel gratuit fiancé massivement par des fonds américain, dont le siège est à New York et qui est plébiscité par Apple et Google ?? Comment cette entreprise compte-t-elle gagner de l'argent dans le futur ? Qu'obtiennent en retour ceux qui financent ?

Oui je suis d'accord avec toi, de plus je préfère tout ce qui est opensource, le truc c'est que g besoin d'un logiciel qui fonctionne sous iOS, oui je sais je fais pitié g un iphone (❛︵❛)

"A l'impossible, nul n'est tenu". Nous avons tous des configurations différentes. Si tu met le costard d'un autre, tu as toutes les chances qu'il soit trop grand ou trop petit.

G pas compris cette phrase.

Je veux dire que ce qui marche pour quelqu'un ne va pas forcément fonctionner pour toi.

+Touhami issam Il est capable de lire ce qui est en mémoire mais il n'est pas capable de casser le fichier contenant les mots de passe. C'est une injection dll. C'est à dire que l'on modifie l'un des fichiers du logiciel pour qu'il se comporte différemment. Comme toujours, il faut faire attention à ce que l'on installe sur son pc.

+Chuck Bartowski Je suis contre tous les gestionnaires de mot de passe qui stockent les données dans le Cloud. Les données doivent rester sur la machine de l'utilisateur. Si vous voulez vraiment stocker vos mots de passe dans le Cloud, mettez le fichier de données de KeePassX sur SpiderOak.

+Tristan C Oui à condition que dans cette phrase il y ait des chiffres, des caractères spéciaux (ponctuation ou autre), et plusieurs lettres majuscules : "Toi, Paul, je ne t'oublie plus, ni maintenant, ni dans 1258 ans !"

+Paf LeGeek Effectivement la phrase que tu proposes est bien plus compliquée à trouver. Mais les ordres de grandeurs sont tellement élevé qu'arriver à un moment c'est négligeable. Prenons l'exemple d'un dictionnaire à 10 million d'entrées. Si la phrase que je propose était coupée en deux et présente dans ce dictionnaire, ça donnerait 100 mille milliard de mot de passe ça tester. Une phrase de 6 mots sortie d'un dico de 30 000 mots prendrait 2 milliard d'année avec une vitesse de 10 milliard de mots par seconde. Après je ne critique pas le reste, c'est très bien fait. Je trouve simplement ça paradoxal de sensibiliser les gens à la sécurité en les repoussant avec une trop grande complexité.

+Tristan C Qui peut le plus peut le moins. J'essaye de placer le curseur le plus haut possible. A chacun de placer le curseur où il veut en fonction de l'adversaire qu'il veut contrer.