La plus grande nouveauté sur cette branche 0.3.x est l'utilitaire usbhotplug qui permet de démarrer l'économiseur d'écran (xlock) dès que la clé USB est retirée et de l'arrêter une fois que la bonne clé USB a été remise (NdM : l'authentification de la "bonne" clé USB est basée sur l'algorithme cryptographique DSA).
L'action à effectuer lors de l'insertion et du retrait de la clé USB est configurable : en effet usbhotplug permet de démarrer un script shell quand la clé est insérée et un deuxième script dès qu'elle est enlevée.
Cette dernière version inclut des changements au niveau de la gestion mémoire, ce qui devrait augmenter sa fiabilité.
Des modifications ont été apportées à la documentation qui visent à la rendre plus simple. La traduction de celle-ci (notamment en français) devrait venir dans les prochaines semaines.
Aller plus loin
- Projet sur Freshmeat (5 clics)
- Homepage du Projet (2 clics)
- Changelog (1 clic)
- Mailing list (1 clic)
# c'est bien sympa comme idée
Posté par ʭ ☯ . Évalué à 2.
Et est-ce que ça peut demander au contraire un mdp qui correspond à la clé?
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: c'est bien sympa comme idée
Posté par Bernez . Évalué à 4.
Ce n'est pas le problème de pam_usb de rajouter un autre système d'authentification. Il s'intègre de façon tout à fait normale à PAM, point barre (RTFM PAM pour les détails techniques).
# Sécurité ?
Posté par Eric Boulat . Évalué à 0.
[^] # Re: Sécurité ?
Posté par Grégory Legarand (site web personnel) . Évalué à 4.
En fait, pour l'instant, la sécurité est basée sur "qui tu es" et "ce que tu sais", soit ton nom d'utilisateur et ton mot de passe. En plus de ça, on cherche de plus en plus à prendre en compte le "ce que tu possède", comme ce machin-bidule-clef-USB.
Pour l'instant, ces trois composantes sont assez simples, mais ça peut exister en plus complexe: identification par empreinte digital ou iris de l'oeil (qui tu es, car unique), mot de passe (difficile de trouver autre chose là) et badge magnétique/electronique.
[^] # Re: Sécurité ?
Posté par Croconux . Évalué à 8.
Ah, la biométrie. C'est un truc super hype et pas trop utilisable. Effectivement il s'agit de données uniques mais le gros problème c'est qu'elles peuvent légèrement varier. Tu portes des lentilles? de lunettes? Ah bah ça marche plus. Tu as une inflammation à un oeil? Idem. En fait l'avantage c'est que le risque de faux positifs est très faible. Le gros problème c'est que le risque de faux négatif est important. Ca agace très vite de ne pas pouvoir bosser parce que ce satané bidule d'authentication te dis que tu n'es pas toi. Qui ne se souviens pas de la pub avec le gars enrhumé qui ne peut pas rentrer chez lui parce que l'authentification est basée sur la voix et qu'il parle du nez.
Pour le empreintes digitales, il me semble que les boites qui vendent ça ont oublié pourquoi la police les utilise : Parce qu'on les laisse trainer sur tout ce qu'on touche!!! C'est pas beau comme système de sécurité? L'équivalent du mot de passe grifonné sur un post-it placé en évidence sur le moniteur.
[^] # La sécurité de la biometrie telle qu'on l'utilise est en question.
Posté par djano . Évalué à 5.
Notamment les empreintes digitales:
Un chercheur japonnais a reproduit une empreinte digitale avec de la gelatine. Resultat: il trompait 70% des appareils charges de faire la verification.
On ne sait peut-etre pas encore comment contourner les autres techniques biometriques, mais il est tout a fait envisageable que l'on y arrive un jour ou l'autre : Pensez a la greffe d'yeux que l'on voit dans minority report.
La problematique securitaire est aussi le fait que l'on confonde le "qui tu es" et le "ce que tu sais". La biometrie devrait seulement etre utilisee pour tester le "qui tu es". Cela resoudrait les problemes ci-dessus.
L'avantage serait de rendre plus difficile de prouver qui l'on est et empecherait les attaques en "brute force".
Malheureusement les inconvenients cites ci-dessus sont un frein important a cela.
[^] # Re: La sécurité de la biometrie telle qu'on l'utilise est en question.
Posté par djano . Évalué à 2.
regardez ce post ci-dessous:
http://linuxfr.org/2004/08/03/16960.html#455041(...)
[^] # Re: Sécurité ?
Posté par KiKouN . Évalué à 1.
Où bien, tu rentre ton mdp et ton empreinte digitale ou autre pour valider ta clé usb pendant la journée. Si tu perds ta clé pendant la journée, tu vas sur un autre poste et tu d'identifie avec la même méthode que pour valider ta clé afin de la désactivée.
Puis de temps en temps, un ptit contrôle ?rétinein? pour être sûr. Le but étant de faciliter le login ou l'identification pendant la journée ou en plein milieu d'une séance de travail. Donc on peut prendre de le temps de bien s'identifier avant.
[^] # Re: Sécurité ?
Posté par Nap . Évalué à 2.
ton empreinte digitale remplace le PIN, et en plus ça résoud le problème déontologique d'un stockage centralisé des données biométrique (c'est la carte qui fait la vérification).
[^] # Re: Sécurité ?
Posté par Nico C. . Évalué à 5.
"Additional: To login, you have to put the USB device and type your password.
If you want to use this mode, add the following line before the auth required pam_unix.so line:
auth required pam_usb.so"
Autrement dit, ca doit repondre aux question concernant le mdp.
je suis sur que les auteurs ont ete confronte a cette question il y a bien longtemp...
Imbolcus
[^] # Re: Sécurité ?
Posté par Nico C. . Évalué à 6.
"Key encryption
In some cases you may want to encrypt the private key. By doing this, every time you authenticate your authentication program will prompt for password to unlock the key. This is useful when for example you go to a unsafe place and someone might copy your key. Without decrypting the private key it's not possible to log on."
Imbolcus
[^] # Re: Sécurité ?
Posté par Andrea Luzzardi . Évalué à 3.
Comme l'a dit Imbolcus, il y a plusieurs solutions pour protéger la
copie et le vol de la clé USB:
- mode additional: non seulement il faut la clé, mais aussi le
password du compte demandé (implementé dès la première release, 0.1-beta1)
- cryptage de la clé privée: la clé sera cryptée en 3des/twofish/autre grâce à l'utilitaire usbadm fourni avec, pour pouvoir se logguer il faudra entrer ce password. (implementé dans la 0.2-rc1)
- access list de serial numbers: seules les clés dont le serial number est dans la liste pourront se logguer (implementé dans la 0.1-beta1).
Ces trois solutions peuvent être couplées entre elles et d'autres sécuritées seront implementées dans le futur.
Pour ce qui concerne les empreintes digitales, il y a des clés USB biometric. Je n'ai pas encore eu la possibilité d'en acheter une pour essayer (vu les prix), mais tôt ou tard je me pencherai sur cette solution (j'éspère que les donations au projet pourront m'aider à m'en procurer une)
J'ai aussi vu des commentaires qui parlaient de PINs.
Certaines clés USB supportent le montage avec password. Ces clés coûtent à peu près le même prix que les clés normales.
J'en acheterai une dans les semaines à venir pour poivoir rajouter le support PIN.
# Peut-être une exellente idée...
Posté par Christophe Chailloleau-Leclerc . Évalué à 2.
Bien entendu, ce n'est valable que si ce genre de clés se généralise, mais le contraire m'étonnerait...
[^] # Re: Peut-être une exellente idée...
Posté par Grégory Legarand (site web personnel) . Évalué à 1.
[^] # Re: Peut-être une exellente idée...
Posté par Rin Jin (site web personnel) . Évalué à 2.
C'est le probléme de toute identification, et contre ça, pas de solutions simple.
[^] # Re: Peut-être une exellente idée...
Posté par Gauthier (Mastodon) . Évalué à 7.
[^] # Re: Peut-être une exellente idée...
Posté par Rin Jin (site web personnel) . Évalué à 4.
Sinon, le genre de systéme que tu décris doit, je pense, fonctionner correctement. Et je ne vois d'ailleurs pas trop par quoi on pourrais remplacer l'identification par mot de passe, c'est, je pense, celle qui pose le moins de probléme.
[1] une idée, peut-être stupide, me vient en tapant ce commentaire: peut-être pourrait-on envisager l'index pour l'authentification réelle et le majeur pour l'identification falsifié telle que tu la décrit. Mais cela ne pourrait fonctionner si la personne de mauvaise volonté sait quel doigt est utilisé (et si cette personne est un peu observatrice)
[^] # Re: Peut-être une exellente idée...
Posté par Colin Leroy (site web personnel) . Évalué à 2.
Genre, avec une scie? :)
[^] # Re: Peut-être une exellente idée...
Posté par thaodalf . Évalué à 3.
la nouvelle technique consiste à mettre un fil de kevlar, ou autre matériaux super dur, entre ta valise et toi. Le fil passe dans ta manche de veste, remonte vers le cou et descend vers ta taille pour y faire un tour.
le truc c'est que c'est plus dur de coupé un torse qu'une main :)
[^] # Re: Peut-être une exellente idée...
Posté par maston28 . Évalué à 1.
la on parle de protection des empreintes digitales, mais moi, si je devais accéder à cette fameuse machine protégée avec pam_usb, voila ce que je ferais :
1- je vais sur knoppix.org, je dl une iso et je la grave.
2- je mets le cd dans la machine
3- je reboote sur la knoppix.
la morale de cette histoire ? je m'appelle pas james bond, j'ai pas découpé de main ou fais une copie de l'iris du monsieur, et pourtant j'ai accès au système....
si avec ca je me tape pas une bombe sexuelle à la fin du film...!! ;)
[^] # Re: Peut-être une exellente idée...
Posté par Rin Jin (site web personnel) . Évalué à 2.
La sécurité, c'est bien beau, mais si je peux voler la machine, tu ne pourra pas m'empécher de récupérer les données (sauf évidemment si tu crypte les données vraiment importantes). Alors le coup de la Knoppix...
je m'appelle pas james bond (...) si avec ca je me tape pas une bombe sexuelle à la fin du film...!! ;)
Si tu t'appelais James Bond, tu n'aurais pas à attendre la fin fu film :c)
[^] # Re: Peut-être une exellente idée...
Posté par KiKouN . Évalué à 2.
Bon sinon, pam_usb peut convenir à certain, pas à d'autre et au lieu de gueuler la dessus, on devrait être content que l'on puisse au moins choisir entre plusieurs modes d'identification.
[^] # Re: Peut-être une exellente idée...
Posté par tgl . Évalué à 2.
# Des authentifications
Posté par Jean Parpaillon (site web personnel) . Évalué à 3.
Je ne suis pas un spécialiste de la sécurité mais il me semble que la publicité faite à ces nouveaux moyens d'authentification et particulièrement à la biométrie ressort plus de l'imposture que d'un véritable progrès technique.
L'avis d'un spécialiste sur la biométrie :
http://www.zdnet.fr/techupdate/securite/0,39020976,39125546,00.htm(...)
"Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier
[^] # Re: Des authentifications
Posté par sk . Évalué à 3.
Sans la clé une méthode de bruteforcage de mot de passe est totalement inefficace, c'est quand même un plus, non ?
[^] # Re: Des authentifications
Posté par tgl . Évalué à 4.
Faut voir que pas mal de gens utilisent les prénoms ou dates de naissance de leur enfant, ce genre de chose, et que donc deviner le mot de passe d'un collègue peut etre assez simple, pour peu qu'on ait vaguement aperçu en gros ça ressemblait quand il le tape. Et puis y'a le social engineering aussi, avec des trucs aussi simple que de demander au téléphone ou par email son mdp à quelqu'un en se faisant passer pour l'administrateur système.
Bref, cette clef USB, moi je la vois surtout comme une bonne façon de protéger les utilisateurs contre leur propre naïveté.
# c'est bien beau mais ...
Posté par M . Évalué à 2.
- dans le boot loader on peut passer l'option init=/bin/sh au noyau pour devenir root
- si le boot loader est verrouilller, on peut booter en root a l'aide d'une disquette/cd/clef usb bootable
- si le bios est verrouillé, on peut toujours effacer le mdp en boujeant un jumper/retirant la pile ou en recuperant tout simplement le DD
Bref une vrai autentification securise, c'est utile a distance, or il me semble pas que l'usb fonctionne via le reseau...
[^] # Re: c'est bien beau mais ...
Posté par KiKouN . Évalué à 1.
Puis, sinon tu peux toujours mettre ton pc dans un coffre fort et y faire resortir que les fils.
[^] # Re: c'est bien beau mais ...
Posté par Croconux . Évalué à 5.
C'est aussi ce qu'on m'a dit lors de mon premier cours de sécurité : Si l'attaquant à un accès physique à la machine pas la peine de chercher plus loin, c'est mort.
Ca me rappelle le portable qui figurait sur une pub Surcouf il y a un an. Il incluait un lecteur d'empreintes digitales pour authentifier les utilisateurs. Totalement inutile puisqu'il suffit de voler le portable et de virer la pile du bios pour retourner aux réglages d'usine. Mais bon il y a surement des directeurs informatique qui trouvent ça génial (ceux qui lisent 01).
[^] # Re: c'est bien beau mais ...
Posté par Stéphane Salès . Évalué à 1.
c'est vrai ... qui va se rendre compte que le DD a disparu ... personne!
[^] # Re: c'est bien beau mais ...
Posté par Olivier . Évalué à 2.
http://www.crypto.com/software,(...) apt-get install cfs, etc.
<joke>Il faut alors enlever les post-it avec les mots de passe qui sont collés sur l'écran</joke>
Petite question, connaissez-vous un site de recettes *nix spécial paranos qui soit en accord avec la législation française par exemple sur le type d'encodage (lire nombre de bits) ?
[^] # Re: c'est bien beau mais ...
Posté par Xavier Teyssier (site web personnel) . Évalué à 2.
Pour le chiffrement, si tu utilises GnuPG ou OpenSSL, tu n'as plus de limites. Voir : http://linuxfr.org/2002/08/07/9196.html(...)
[^] # Re: c'est bien beau mais ...
Posté par Andrea Luzzardi . Évalué à 1.
Le but de ce projet n'est pas de sécuriser une machine:
dès qu'on y a accès physique, on peut y accèder comme on veut.
Puisque quoi qu'il arrive l'accès physique sera pas sécurisé, pourquoi perdre du temps à taper le password ?
C'est la qu'intervient pam_usb. Il n'est en aucun cas plus sécurisé que le password, vu l'accès physique, mais te permet de te logguer plus facilement et plus rapidement sur ta propre machine.
Cependant, la sécurité a été le but principale pendant le dévéloppement: l'authentification se fait par des clé DSA, qui peuvent être cryptées, une ACL de serial numbers est disponible et plusieurs moyens d'identifications sont disponibles.
En dehors de l'utilisation doméstique, son utilisation est intéressante aussi au sein d'une entreprise, d'un laboratoire, d'un internet café, etc. car les gens ne s'amusent pas à demonter la machine dans des endroits pareils pour remettre à zero le password du bios :)
De plus, il inclut des utilitaires sympas tel que usbhotplug, qui permet de bloquer l'écran quand tu enlèves la clé usb, et de le débloquer dès que tu remet la bonne clé usb.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.