[Noumenon]

Citation :

Publié par Cha!

Je pense que si la société ne propose aucun accès distant ou stockage en ligne ou solution de cryptage locale, TOUT les outils/services non approuvés par ton SI doivent être considérés comme prohibés ( et comme crade au passage )
Perso je ne trouve pas ça déconnant de stocker du crypté sur un One Drive, stocké des fichiers en clair c’est une autre histoire
Et c’est pas parce que les "cloud d'entreprise" sont brandés par des grands noms genre "OBS" OVH ou "ATOS" que la confidentialité sera respectée.
Un google drive for business à 8€/mois sera tout aussi efficace, surtout avec la fonction Vault activée (un poil plus cher).

Ca leakera des meta-data (nom de fichiers, etc.). Sachant que la NSA pratique l'espionnage industriel, je m'abstiendrais.

[adorya]

Han, dommage, Dropbox & co ne sont pas sur la liste officielle, faudrait il donc faire un gros doigt à un prestataire qui propose un hébergement par Dropbox?

Sinon, apparemment y a un peu de relachement dans les délivrances d'agrément, dans la liste y a des hopitaux et des syndicats (un CHU, sécurisé? )

[Linou]

Citation :

Publié par adorya

Han, dommage, Dropbox & co ne sont pas sur la liste officielle, faudrait il donc faire un gros doigt à un prestataire qui propose un hébergement par Dropbox?

Heu ma société est listée et on ne fait pas d'hébergement Cloud hein.

edit
... c'est du stockage de donnée médicale ta liste. Pas du Cloud.

[Ambrine]

Coffre fort électronique c'est mortel

Tu as tes documents dans un coffre sur ton serveur d'entreprise, et tu peux y accéder de chez toi en sécurisé sans soucis.

Dans les softs gratuits, tu as SVN, qui fait bien les choses.
Dans le payant, les logiciels ne manquent pas

[Doudou Spuiii]

Citation :

Publié par Chafouin

C'est peut-être une idée reçue mais j'ai l'impression que mes docs balancés sur le cloud de google sont je ne sais où sans possibilité de vérifier s'il y a des fuites. Et puis je veux un service fiable niveau sécurité.

Bein, clairement des solutions cloud/google, pour du pro, t'es vulnérable. Si tu bosses sur des trucs sensibles ou en forte concurrence avec des produits américains, c'est clairement pas un truc à faire.
Ça peut même être explicitement interdit par la boite où tu bosses.

[Linou]

Citation :

Publié par Ambrine

Coffre fort électronique c'est mortel

Clair, mais trop peu de société qui y adhérent malheureusement.

[Thorkas]

Comme plus haut, Truecrypt et n'importe quel service de synchronisation via le cloud (Dropbox ou Google Drive). Tu combines la sécurité du chiffrement de Truecrypt et la praticité de la synchronisation du cloud.

Et en français, crypter et chiffrer sont actuellement des synonymes. Logique et rationalisme ne sont pas et n'ont jamais été des critères d'évolution de la langue française (ou d'aucune autre). Merci d'arrêter d'essayer d’empêcher une langue de vivre.

[Ambrine]

Truecrypt n'a pas été abandonné suite aux failles révélées il y a de cela un an ?

[Cha!]

Citation :

Publié par Ambrine

Truecrypt n'a pas été abandonné suite aux failles révélées il y a de cela un an ?

Exact.
Ce n'est plus un outil fiable, on a d'ailleurs arrêté de l'utiliser au boulot.
Tu peux remplacer par Veracrypt qui est capable de lire les conteneurs Truecrypt ou essayer Axcrypt (pas le même usage mais tout aussi fiable)

[Ambrine]

Je fais bêtement confiance a bitlocker moi, j'ai tors ?

[kermo]

Pour faire ça assez souvent, je passe par un logiciel de gestion de version (git en l'occurence).

Bien sûr il faut qu'un des deux PC soit toujours allumé, dans mon cas c'est même un troisième, un Raspberry Pi chez moi sur lequel je peux me connecter depuis l'extérieur.
Ça demande un peu de config par contre.

Sinon au boulot on a un système de serveur de fichiers, et aussi un VPN pour accéder aux disques partagés. Chez nous c'est hors de question de faire transiter des documents sur les serveurs de Google ou de Microsoft (même si plein de personnes échangent des pièces jointes par mail alors qu'on est chez Office365...).

[Doudou Spuiii]

Citation :

Publié par Thorkas

Et en français, crypter et chiffrer sont actuellement des synonymes.

Il me semble que c'est toujours pas le cas, t'as vu ça où ?
Ca serait d'ailleurs assez con, vu que décrypter et déchiffrer ont un sens différent.

[Cha!]

Citation :

Publié par Ambrine

Je fais bêtement confiance a bitlocker moi, j'ai tors ?

Nan, BitLocker c'est efficace, intégré à l'OS et pas chiant à mettre en oeuvre

[Sadyre]

Citation :

Publié par Ambrine

Truecrypt n'a pas été abandonné suite aux failles révélées il y a de cela un an ?

Citation :

Publié par Cha!

Exact.
Ce n'est plus un outil fiable, on a d'ailleurs arrêté de l'utiliser au boulot.
Tu peux remplacer par Veracrypt qui est capable de lire les conteneurs Truecrypt ou essayer Axcrypt (pas le même usage mais tout aussi fiable)

Source de failles connues et sérieuses ? (je ne parle pas des 2 remontée par le rapport et qui ne remettent pas en cause les volumes)
Sérieusement

Parce qu'hormis la disparition pure et simple de l'équipe de développement, conseillant d'ailleurs bitlocker à la place (la bonne blague), le dernier rapport d'analyse de truecrypt le considère encore comme valide.
Quant à veracrypt, si vous l'utilisez, j'espère que vous savez que c'est un fork de truecrypt. Parce que si ce dernier n'est plus fiable, il y a de fortes chances que veracrypt souffre de failles de sécurités communes. Il leur faudra plusieurs années avant d'avoir une totale indépendance de ce coté.

[Ambrine]

Citation :

Publié par Sadyre

Source de failles connues et sérieuses ?

Wikipedia

https://fr.wikipedia.org/wiki/TrueCrypt

Perso quand l'équipe qui développe l'outil m'annonce que truecrypt est compromis et qu'ils arrêtent le projet.... ben j'ai tendance à les croire !

Quels sont les soucis connus de bitlockers ?

[Sadyre]

Pour bitlocker, c'est un produit de microsoft, alors que les documents de snowden, antérieur à l'arrêt de truecrypt, montrent largement que cette compagnie américaine travaille main dans la main avec la nsa. : outlook.com, OneDrive (skydriver), et skype sont compromis. On peut donc aisément supposer que le reste l'est aussi.
Assez surprenant et ironique de leur part de conseiller cette solution, beaucoup ont du bien rigoler en voyant ceci.

Et pour wikipedia, ce n'est pas une réponse, parce que les auteurs n'ont donné aucune explications. Le principal problème est que le nombre de solutions réellement viables sont très peu nombreuses.

[Adau]

Citation :

Publié par Thorkas

Et en français, crypter et chiffrer sont actuellement des synonymes. Logique et rationalisme ne sont pas et n'ont jamais été des critères d'évolution de la langue française (ou d'aucune autre). Merci d'arrêter d'essayer d’empêcher une langue de vivre.

Désolé d'en remettre un couche, mais non. Il ne s'agit pas d'empêcher la langue de vivre (je suis bien le dernier à l'en empêcher) mais d'utiliser les termes adaptés pour deux opérations fondamentalement différentes.

On va quand même pas mélanger les termes "vélo" et "moto" pour que la langue française puisse vivre. Si on diffère ces moyens de locomotions avec des termes différents, c'est qu'ils sont fondamentalement différents. Et bien c'est pareil pour "déchiffrer" et "décrypter": ce sont deux opérations fondamentalement différentes. Pourquoi les mélanger ?

Je pense que tout le monde est capable ici de déchiffrer un message. Mais combien sont capables d'en décrypter un ? Personne. C'est bien parce que ces opérations n'ont rien à voir, aucun point en commun... Donc on ne les mélange pas.

Si tu commences à mélanger des termes qui désignent des choses différentes, on va tous finir par parler le schtroumpf à la fin... Je veux bien que la langue française évolue, mais pas vers la langue des petits bonshommes bleus.

Citation :

Le principal problème est que le nombre de solutions réellement viables sous Windows sont très peu nombreuses.

Fixed.
Parce que sous OSX, on peut créer nativement des images disques chiffrées en AES (à taille variable en plus !).
Et sous Linux, entre dm-crypt, luks, et maintenant le chiffrement natif des partitions ext4 (depuis linux 4.1), c'est pas non plus les solutions qui manquent.

Je trouve ça vraiment nul qu'en 2015, ça soit toujours la galère pour chiffrer facilement et surement des données sous Windows

[Cha!]

Citation :

Publié par Sadyre

Assez surprenant et ironique de leur part de conseiller cette solution, beaucoup ont du bien rigoler en voyant ceci.

Pas vraiment, c'est le produit le plus simple à utiliser et administrer sous Windows, une sécurité même basique vaut mieux que rien du tout

Si on applique ce principe aux autre outils populaires comme WebEX, Skype, Office365, Chrome, tout les outils de sécurités édités en US/EU, aux services clouds business peut importe le pays d'hébergement des serveurs, au hardware (serveur, switch, routeurs) fabriqués par Cisco-Huawei-Dell etc...tu peux potentiellement être surveillé par n'importe quel gouvernement.

Il faut faire la part des choses, IMO pour la majorité des sociétés quelle est la menace ? Les gouvernements US/européens, les myriades de groupes criminels spécialisés dans l'espionnage industriel ou juste les petits délinquants opportunistes ?

Citation :

Publié par Sadyre

Et pour wikipedia, ce n'est pas une réponse, parce que les auteurs n'ont donné aucune explications. Le principal problème est que le nombre de solutions réellement viables sont très peu nombreuses.

Je vais aller lire l'audit de la NCC cette semaine, je ne savais pas qu'il était disponible
Concernant VeraCrypt il y'a eu un bon paquets de correctifs de sécurités intégrés depuis la version initiale basée sur la 7.1a.
Aucune protection n'est parfaite mais le minimum reste de combler les problèmes de sécurité déjà remontées, ce qui est plus le cas avec TrueCrypt.

[Sadyre]

Citation :

Publié par Cha!

Pas vraiment, c'est le produit le plus simple à utiliser et administrer sous Windows, une sécurité même basique vaut mieux que rien du tout
(...)

Disons que pour un fil dans un contexte professionnel, ça me pose problème. Encore plus de conseiller bitlocker à l'envolée, sans préciser les implications derrière.

Et en terme de sécurité informatique et protection des données, comme tu l'indiques : oui, la majorité des outils americains usuels ne sont pas fiables
Après je suis aussi d'accord, c'est une question de proportion, il faut en faire la part des choses.
Pour un particulier qui n'a pas de documents "industriellement sensibles", bitlocker fait l'affaire.
Pour un professionnel, c'est une autre paire de manche.

J'ai encore en mémoire la tête des admin sys d'un FAI allemand à qui on présentait le détail de ce que la NSA connaissait de leur backbone, suite au rapport snowden. Les USA connaissaient mieux cette infra qu'eux-même.
Et je préfère largement, pour cette raison et plusieurs autres, avoir une protection éprouvée que je sais être faillible dans un contexte spécifique, qu'une n'offrant aucune garantie si ce n'est un faux sens de sécurité qui sera mis à mal dès la première occasion. Pour le moment, true/veracrypt restent du meilleur usage, en attendant que la cause du "unsecure" soit connu.

Citation :

Publié par Cha!

Concernant VeraCrypt il y'a eu un bon paquets de correctifs de sécurités intégrés depuis la version initiale basée sur la 7.1a.
Aucune protection n'est parfaite mais le minimum reste de combler les problèmes de sécurité déjà remontées, ce qui est plus le cas avec TrueCrypt.

Je suis d'accord, mais pour truecrypt, les failles sont assez spécifiques et non exploitable pour la majorité des usages, et pour veracrypt, le problème de maitrise du source d'origine reste entier, les failles corrigées héritées de truecrypt ne sont liées qu'à l'UI.
En l'état si truecrypt souffre d'une faille réellement critique sur les conteneurs, il en sera obligatoirement de même pour veracrypt. A partir de là on verra la réelle maitrise des nouveaux dev par rapport au temps nécessaire pour corriger quand, et si, cette faille sera connue.

[Ambrine]

Citation :

Publié par Sadyre

Pour truecrypt, les failles sont assez spécifiques et non exploitable pour la majorité des usages.

Donc quand on parle de Bitlocker, c'est de la merde car la NSA peut avoir acces a nos données.
Par contre quand on parle de Truecrypt, la aussi des failles peuvent exister mais c'est pas grave par ce ne sera pas le premier péon venu qui arrivera à faire quoi que ce soit.

J'ai du mal à voire la différence moi...

Et si bitlockers était un produit aussi pourri que cela, il ne serait certainement pas utilisé par de nombreuses sociétés dont les données sont plus que critiques !

[Sadyre]

Dans le principe tu as raison.
Plusieurs points cependant : pour true/veracrypt, il n'y a actuellement aucun POC sur une faille réelle. Le code a été audité par une équipe indépendante, et est estimé fiable à 4 anomalies près, dont 2 problématiques mais non réellement critiques pour un usage normal.
Après on n'est pas à l'abris d'une faille, mais dans le cas de true/veracrypt, vu que ces outils ont une certaines réputation d'être très problématique à casser, y compris pour la NSA, si faille il y a, l'information se propagera rapidement une fois exploitée : quant au passage de la douane un type se fera présenter le contenu de ses disques, il aura vite compris.

Le problème qu'il y a, d'où la raison de rester avec cet outil, est d'avoir un remplaçant viable.
dm-crypt en est un, mais reste réservé au monde linux. Pareil pour realcrypt, qui en plus est un fork de truecrypt
En double windows/linux, hors truecrypt et forks, c'est un peu le désert.
Donc en attendant de trouver mieux, tu fais avec le plus adéquat, en totale connaissance de cause

Maintenant parler de bitlocker, c'est ce qui a été évoqué avant, je ne vais pas revenir dessus
Quant à l'utilisation, ça dépend du niveau de sensibilité, et ça dépends du niveau de contrôle sur son utilisation. Les pc fixes d'une société par défaut sous bitlocker, pour le cas d'un vol avec effraction, c'est sensé (même si rares sont celles qui le font)
Les portables pour les profils à risques, bitlocker par défaut c'est une chose, mais sûrement pas que ça, il y aura d'autres couches indépendantes rajoutées par dessus.

Quant tu vois à quel point un smarphone, surtout un iphone, laisse (/laissait ?) un accès aux données qu'il contient, et dans plusieurs cas sans avoir besoin du code pin, à un moment faut arrêter de prendre pour argent comptant ce qu'on te raconte, et vérifier par soi même. Hors, Microsoft ont à leur actif plusieurs facilitations rajoutées pour l'accès à certaines données par les autorités de leur pays.
Donc à choisir un mal pour un mal, je préfère, en toute connaissance de cause, prendre le moins pire en attendant d'avoir mieux (s'il y a).

[cricri]

et vous connaisser un logiciel qui utilise la methode rsa ??

[numero6]

Déjà, les termes 'mettre en réseau' et 'données confidentielles' ne vont pas du tout ensemble et me font hérisser les poils...

La solution la moins pire pour bosser sur du protégé à la maison, c'est un support amovible dédié, utilisé sur une machine dédiée et isolée ou au moins non raccordée à un réseau de classification moindre que celui des données (ou éventuellement la machine elle même, pour peu que ce soit un portable évidemment).

[Frescobaldi]

pourquoi ne pas utiliser un simple outil de versioning comme git ou svn ? personnellement c'est ce que je fais quand je veux bosser chez moi en "heures sup gratuites" (même si en théorie je ne suis pas censé le faire)

sinon un github personnel en mode privé..

Merci pour vos réponses détaillées, je vais m'y pencher sérieusement. Là pendant le week-end j'ai essayé le coffre fort électronique proposé par la Banque Postale : "Digiposte". Il y a 5 Go gratuit et c'est assez pratique dans l'ensemble...Je vais lire un peu les avis sur ce système.

Les données confidentielles ce sont surtout des informations médicales, des comptes rendus, des attestations, des notes cliniques et des courriers. Je cherche des outils secures pour garantir le secret professionnel de mon activité.

Du coup quand vous parlez de crypter/chiffrer un document, est-ce que je peux le faire avec un doc en format pdf ou une simple image ? Je suis noob dans ce domaine je dis peut-être des conneries