Le rendez-vous Tech 162 – Initiation à l’hygiène informatique

lerendezvoustech_162

Au programme :

  • Gestionnaires de mots de passe
  • Authentification double facteur
  • VPN
  • Chiffrement de mails et PGP

Pour soutenir l’émission, rendez-vous sur http://patreon.com/RDVTech

Plus d’infos sur l’épisode :

Vous pouvez télécharger le fichier MP3, et vous abonner par iTunes ou en RSS.

Commentaires

  1. MERCI BEAUCOUP à Patrick pour m’avoir invité, moi modeste auditeur depuis les débuts (et donc des années) du rendez-vous tech. Si vous voulez débattre ou autre, laissez un message ou contactez moi (en message chiffré… ou non 😉
    Posez vos questions ici et je verrai pour essayer d’y répondre.

    Enfin oui je dis tout le temps « comment dire », c’est un GROS tique/défaut de language chez moi 😉

  2. Salut

    très bon épisode, que je vais conseiller.
    Je vous rajouterais les 3 règles fournies par Krebs pour les logiciels (http://krebsonsecurity.com/2011/05/krebss-3-basic-rules-for-online-safety/ ):
    1- si ce n’est pas ce que vous êtes allé chercher, ne l’installez pas (et allez le chercher sur les sites officiels)
    2- mettez les à jour
    3- supprimez les si vous n’en avez plus besoin.

    De plus, étant peu être un puriste, je penses qu’une précision sur les verbes « chiffrer » et « crypter » (ainsi que d’autre) est intéressante.
    Personnellement, je demande à mes collègues de bannir le terme « crypter » car il est flou, ceux qui l’utilisent peuvent vouloir dire
    * chiffrer : c’est à dire rentre inintelligible avec une méthode mathématique réversible généralement avec une clé symétrique ou un bi-clé
    * hasher : générer une empreinte non prédictible d’un élément à l’aide d’une méthode non réversible destructive (par exemple md5, SHA, Scrypt)
    Je l’ai déjà vu aussi à la place du verbe « encoder », c’est à dire changer le jeu de caractères (en l’occurrence une transformation en base64)

    Par contre « décrypter » peut/doit être utiliser lorsqu’il s’agit casser un chiffrement : rentre intelligible un élément sans la clé ou la méthode de déchiffrement
    il peut éventuellement signifier « casser un hash » : rechercher une chaine qui permet de générer une empreinte bien précise.

    Et il reste le terme déchiffrer : rentre intelligible avec les moyens légitime un élément chiffré.

    Un site ou un système, qui stocke un mot de passe dans le but de vérifier qu’il est connu de l’utilisateur, ne doit pas le chiffrer, mais le hasher puis faire une comparaison des empreintes, autrement un compromission de la clé de déchiffrement mettrait en péril tous les mots de passe du système.
    Lastpass, one password, dashlane… doivent chiffrer les mots de passe afin de pouvoir les fournir à nouveau aux systèmes sur lesquels on souhaite s’authentifier.
    rq: dashlane a le gros avantage d’être français, cependant tous ces systèmes ont l’inconvénient d’être en ligne et donc d’être vulnérable à une attaque du site.
    Il existe aussi des conteneurs de mots de passe complétement autonome, personnellement j’utilise keepass et son application android et windowsphone avec un conteneur que je synchronise régulièrement.

    En espérant avoir été aussi clair que vous.

    Pour le HTTPS, il faut aussi veiller à ne pas accepter les exceptions de sécurité, sinon ca ne sert à rien…

    Et pour finir, pour un public averti, je conseillerais aussi le podcast nolimitsecu, qui est un bon complément au comptoir, et notamment l’épisode sur le https everywhere, qui montre que même des pro se demande s’il est important de mettre du https partout.

    DVN

    • « Pour le HTTPS, il faut aussi veille à ne pas accepter les exceptions de sécurité, »
      Quid des certificats Cacert et auto-signé? Tu auras une exception car non signé par une autorité de certification et pourtant si tu as validé la signature avec l’éditeur du certificat, tu peux avoir plus confiance qu’en des certificats signés par microsoft.com qui autorise un domaine *.* par exemple….

      • Bonjour,

        Comme tu le dis : tu ne peux avoir confiance que « si tu as validé la signature avec l’éditeur du certificat », c’est pour moi un énorme SI, et il n’est pas valable pour les sites « mainstream »…
        Si tu es sur un réseau privé et que tu accède à un service local, ça marche relativement bien, mais si tu es sur un réseau ouvert, cela signifie généralement que tu as reçu l’empreinte du certificat par un canal de confiance…

        Apres ce n’est que mon humble avis 🙂

  3. Bonsoir,

    Un immense merci Patrick pour cet épisode sur un sujet très important.
    Comme à ton habitude tu sais rendre compréhensible ce qui ne l’est pas forcément naturellement.
    J’utilise 1Password depuis des années et cela fait donc longtemps que j’utilise des MDP longs (12 à 18 caractères) et complexes pour mes services divers.
    Merci également à genma sur la partie mail qui m’a fortement intéressé et surtout interpelé.
    L’explication de la carte postale est excellente !!
    Mais je ne vois pas comment mettre en place un système de chiffrement tel que expliqué dans l’épisode, vu la complexité…
    Il est quand même très surprenant qu’on ne puisse pas soit même et simplement mettre un e-mail sous enveloppe fermée comme un courrier physique.
    En résumé on ne peut qu’envoyer des e-mails en carte postale…!
    Cela pose quand même beaucoup de questions, lorsque j’achète des applications pour mon Mac par exemple, l’éditeur m’envoie par mail ma licence avec la clé… sur une carte postale donc à la vue de tout le monde… !?!
    Ouch… Et il n’y a pas vraiment de solution.
    Pour chiffrer l’e-mail entre l’éditeur et mon Mac il faut rentrer le domaine ô combien compliqué de clé…

    C’est curieux que cela n’interpelle pas plus les gens… ou alors il l’ignore.

    Bref, un sujet qui reste ouvert et quelque chose me dit qu’on en reparlera sans doute dans quelques temps peut-être dans un prochain RDVTech. !

    PS : mais où est donc passé Jeff ? Cela fait quelque temps que je ne l’ai pas entendu ?

    Bien cordialement 🙂
    Yoann.

  4. Bonjour,

    Je n’ai pas encore fini d’écouter tout l’épisode(j’en suis à 20min) mais je ne doute pas de sa qualité.

    Sujet 1 : Le Gestionnaire de mot de passe

    Personnellement je n’utilise pas de gestionnaire de mot de type cloud-service. J’ai pris le parti pour mes mots de passe de ne pas faire confiance à un tier. J’utilise le gestionnaire le mot passe Keepass. Il est gratuit, open source. Il créer une base de donnée pour vos de passe chiffré sur votre ordinateur. Pour accédé à cette base il y a plusieurs moyen que l’on peut cumulé : mot de passe – clé d’authentification – compte utilisateur Windows. Pour l’auto-remplissage des formulaire, il y a plusieurs extension pour navigateur disponible. Afin de pouvoir synchroniser votre base de donnée entre vos différents appareil vous pouvez utiliser un simple en espace cloud comme dropbox. Il existe des applications IOS et Android.

    • Oui on recommande Keepass de notre côté (Café vie privée). Merci pour ce retour.

    • hummm, ne pas faire confiance aux services « cloudés » pour ses MDP, et mettre sa base sur dropbox pour la synchro, ça me parait pour le moins étrange. 🙂
      je ne vois pas en quoi dropbox serait plus sécurisé pour une base de donnée cryptée, que le service de MDP lui même, dont c’est le but d’avoir une sécurité au taquet.

  5. Bonne émission très intéressante.

    L’hygiène numérique c’est comme les backups, on a tendance à ne pas se sentir concerné jusqu’au jour où…

    Un spécial backup serait pas mal aussi d’ailleurs : quels outils utiliser quels pratique / habitude à avoir…
    PS: pour les photos, le backups papier peut etre une solution: il serait très désagréable de perdre ses photos qui nous tiennent à coeur (mariage, les enfants qui grandissent…)

    Un truc tout bête: quand vous parlez du wifi à McDo:
    J’avais lu une news, où ils indiquait la chose suivante:
    Nos smartphones, tablettes.. cherchent en permanence la présence d’un SSID wifi connu, certains hacker « écoutent » ces paquets de recherche afin de monter un point d’accès wifi accessible
    Ainsi votre device se connecte « automatiquement » à celui-ci (cela dépend de vos préférences) et vous vous retrouvez à votre insu dans le cas d’un Man in the middle (une personne pouvant espionner tout votre trafic)

  6. Excellente émission, merci à vous deux.
    Du coup, je me suis posé pas mal de question plus basiques, à savoir, comment avoir un ordinateur « sécurisé » car le fait d’avoir une petite saleté peut rendre j’imagine toutes ces précautions inutiles.
    Je suis sous distri GNU/linux depuis 6 ans maintenant et je switche sous windows assez rarement pour les jeux. Depuis quelques semaines j’ai acheté un windows 8.1 tout neuf et je m’aperçois que j’ai assez vite constaté des ralentissements et des petites fenêtres internet qui s’ouvrent vers de la pub, chose qu’il ne m’était plus arrivé depuis mon passage linuxien. Du coup je me dis que j’ai dû prendre de mauvaises habitudes et qu’une émission plus générale sur les bons réflexes pourrait être complémentaire et intéressante. Pour tes prochaines vacances Patrick 😉

    DomS

  7. Merci à tous les deux pour cet excellent épisode (encore une fois). L’info tech vu par Patrick me semble de plus en plus incontournable (ou de moins en moins contournable c’est selon)! Bravo encore Patrick pour tout ton travail que tu réalises depuis tout ce temps!

    2 ans que je t’écoute et j’ai toujours hâte d’écouter les épisodes qui sortent!

    MattCipan

  8. Episode intéressant et salutaire 🙂

    Je ne vais dire que j’ai appris des choses évoluant moi même dans un milieu proche mais j’ai apprécié les analogies de Genma, je pense qu’elles font mouche auprès d’un public non technophile.
    L’initiative des cafés est très bonne.

    Quelques remarques :
    Il ne me semble pas que vous évoquez le petit soucis de sécurité rencontré par Lastpass dernièrement ? (http://korben.info/hack-de-lastpass-changez-vite-de-mot-de-passe.html)
    Pour les allergiques au Cloud, KeePass est une excellente alternative (moins mobile qu’un Lastpass) et commence à être déployé en entreprise (i.e. vous l’avez peut être sur votre poste au bureau).

    Un point d’attention sur le HTTPS, il est possible que le fournisseur de Wifi (restaurant, entreprise) utilise un proxy ssl. Dans ce cas vos communications SSL/HTTPS sont effectivement chiffrées… avec un certificat délivré par le fournisseur Wifi.
    Pas clair ? Si votre société a un proxy SSL sur son Wifi Guest et que vous allez sur le site de votre banque depuis ce Wifi alors elle peut voir le contenu de ce qui transite.
    Pensez bien à lire la charte informatique ou charte internet.

    Important : Les mots de passe/passphrase/PIN c’est le mal !
    Il y a des sociétés qui se sont unies sous la bannière « FIDO » pour mettre fin au mot de passe: https://fidoalliance.org/specifications/overview/
    Une implémentation de FIDO 2.0 va arriver dans Windows 10 sous le nom de Windows Hello combiné à Microsoft Passport : http://blogs.windows.com/bloggingwindows/2015/03/17/making-windows-10-more-personal-and-more-secure-with-windows-hello/

    Donc ça peut arriver… et peut être assez vite 😉

    Pour ceux qui ont un périphérique iOS avec TouchID n’oubliez pas de mettre un pin long et complexe (pas 0000 ou 1234) et d’utiliser TouchID pour déverrouiller 🙂

    Pour les « IT Pros » ou juste les amateurs avertis, l’ANSSI propose quelques guides avec des passages intéressants (et des mots rigolos comme ordiphone pour smartphone) :
    http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf

    • Merci pour toutes ces précisions et complément d’information. Sur le cas du SSL/TLS en entreprise et du Man In The Middle, Attaque de l’Homme du milieu, cela sortait du cadre de la vulgarisation de cette émission. Mais lors des Cafés vie privée, on parle des extensions permettant de valider/vérifier un certificat, de comment détecter du MITM…

  9. LIENS DE L’EMISSION
    – Le podcast @comptoirsecu http://www.comptoirsecu.fr/
    – L’article de Slate c’est Voici à quoi ressemble l’Internet d’un hyper prudent http://www.slate.fr/story/101631/internet-hyper-prudent
    – Mon blog : Le blog de genma http://genma.free.fr
    – Twitter @genma https://twitter.com/genma
    – Les Cafés vie privée https://café-vie-privée.fr/ ou contactez moi directement 🙂

  10. Enfin un épisode quelque peu différent de d’habitude, un épisode comme les fanas de techno les aiment car basé sur un sujet certes complexe mains non moins passionnant et surtout ludo-éducatif. ça change des news du genre guerre de brevets à deux bal, lois sur la vie privée en « a » (acta, pipa, …) et tous les trucs du genre le fondateur de facebook a fait ci, le ceo de google a dit ça, etc. J’ai vraiment apprécié cet épisode, il m’a beaucoup rappelé les temps premiers du RDVteech !

    Merci bien au sieur Genma.

  11. Lors de la partie sur les réseaux wifi vous avez mis en garde sur la transparence de nos données sur ces même réseaux. Qu en est il de l utilisation de la 3g. Nos données sont elles visibles a d autres que les FAI ?

    • En 3G/4G, des données arrivent chez le FAI et ensuite vont sur « Internet » donc elles sont « visibles » comme quand tu surfes. Si la question est « est-ce qu’on peut capter des données sur la 3G comme avec un réseau wifi », à ma connaissance, non car normalement c’est « chiffré », mais jettes un coup d’oeil des « Imsicatchers » pour en savoir plus : https://numaparis.ubicast.tv/videos/imsi-catchers/

  12. Les utilisateurs de l’application Mail d’OSX peuvent utiliser PGP gratuitement grace à GPGTools.
    https://gpgtools.org/

  13. Très bon et très instructif épisode pour mettre un pied dans la sécurité de nos données.

  14. Episode bien fournit qui donne quelques clés intéressantes sur la sécurité.

    L’idée pour savoir si l’on doit utiliser tel ou tel système de sécurité (double authentification, système biométrique, sauvegarde des données dans le cloud, etc) est simplement d’analyser le cout en temps ou financier lié aux risques que cela permet d’éviter et de conclure si c’est raisonnable pour nous ou pas.

    Exemple et explication de la démarche générale :
    En matière de sécurité, on parle souvent de gestion des risques. Et bien oui, rien ne sert de sécuriser quelque chose s’il n’y a pas de risques. C’est pour ça que souvent lorsqu’on essaie de sécuriser quelque chose, on va d’abord commencer par analyser les risques éventuels.
    Il s’agit de :
    1. Lister le maximum de risques possible
    2. Évaluer les probabilités d’occurrence
    3. Chiffrer le cout des dégâts potentiels
    4. Identifier des solutions pour éviter ou limiter ces dégâts
    5. Chiffrer ces solutions.
    Pour finir, on évalue le rapport cout/gain/proba du risque et établit un plan de gestion des risques.
    Petit exemple :
    J’ai un datacenter qui héberge des données sensibles qui sont accessibles via le net.
    L’accès a ces données par une personne mal intentionnée serait dommageable pour l’activité de l’entreprise.
    Je liste les risques :
    1. Un pirate parvient à s’introduire sur nos serveurs et à accéder aux données.
    Risque important car nos données sont en claire sur nos serveurs qui sont exposés au net.
    Cout des dommages très important.
    Solution possible serait de chiffrer entièrement les données.
    Cout de la solution moyen. Il faut mettre en place le système de chiffrement et mettre à jour l’appli web.

    2. Une météorite tombe pile sur les 3 centrales électriques qui alimentent le datacenter et coupe aussi les axes de circulations impliquant une coupure du système de sécurité du batiment de + de 24h. Un pirate profite de ce blackout pour s’introduire dans le bâtiment et voler les données.
    Risque assez faible car le datacenter est déjà relié à 3 alimentations de 3 centrales.
    Cout es dommages très important en cas de vole.
    Solution : installer une centrale autonome qui produit de l’énergie pendant 1 mois.
    Cout énorme.

    Le plan pourrait considérer que le risque 1 et la solution proposé est raisonnable et va donc mettre en place la solution, mais que le risque 2 est trop faible et pour un cout trop important et ne sera pas mis en place.
    Dans ce cas, on peut dire que le datacenter n’est pas « complètement » sécurisé, mais que le plan de gestion des risques est bien fait car il a analyser tous les risques possibles.

  15. AuditeurQuébécois dit:

    À un moment donné, Genma recommande de prendre des phrases poétiques, du genre « La baleine nage dans le ciel », sous prétexte que ces phrases ne se trouvent pas telles quelles dans le dictionnaire. Le problème, c’est que les logiciels d’Attaque par dictionnaire travaillent à partir d’une liste de mots, et non d’une liste de phrases. Ils combinent eux-mêmes les mots, testant toutes les phrases possibles, systématiquement. Donc, le code « La baleine nage dans le ciel » a autant de chances d’être cassé que « La baleine nage dans la mer ».

    • Tout à fait, mais il a sensiblement moins de chances d’être cassé que jean1987, et il est plus facile à retenir que JK?.82€ikpqù/… Il parle de compromis acceptable et réaliste, et en ce sens les phrases de pass sont assez longues pour être fortes (la taille étant, contrairement à d’autres,domaines, le facteur le plus important) sans être impossibles à retenir donc impraticables. Il faut parler aux gens un langage qu’ils comprennent ; si on s’accroche mordicus à un idéal inatenniable que personne n’appliquera vraiment, ça ne sert pas à grand chose… 🙂

    • Patrick a parfaitement résumé l’idée dans son commentaire. Rien à redire.

  16. Je m’intéresse depuis pas mal de temps à un système tel que lastpass ou 1password mais je n’ai pas encore franchi le pas car voici la question que je me pose :

    1) je suis au cybercafé et je veux me connecter de façons urgente à mon mail comment je fais ? Je dois ouvrir mon application sur mon tel et recopier à la main le mot de passe hyper long et complexe avec le risque de me tromper en recopiant ?

    2) Je suis très souvent en déplacement et la double authentification ne semble plus simple et moins contraignante à mettre en place qu’un gestionnaire de mdp. Il reste cependant le problème de ne plus avoir de batterie sur son cellulaire et de ne pas pouvoir se loger.

    A la question gestionnaire de mdp vs double authentification je n’ai pas compris pourquoi vous n’avez pas voté pour la double identification. Si je comprend bien je pourrait mettre toto1234 sur tout mes comptes tant que la personne n’a pas mon téléphone pour une double authentification elle ne pourra pas se connecter au système. Cela me semble plus sur qu’un seul moyen d’identification même complexe.

    3) faire varier ces mot de passe avec un racine commune est un idée intéressante mais attention à la partie variable qui ne dois pas être évidente à trouver. La encore avec un soft qui teste toute les lettres une à une je ne vois pas l’intérêt au niveau de la protection de CE compte. Cependant il est vrai que cela évide de faire tomber tout les comptes d’un coup.

    4) Peut-être que l’une des alternatives serait aussi d’arrêter la démultiplication des comptes… Ce que je veux dire c’est que parfois cela m’exaspère de devoir me créer un compte pour jouer à tetris sur mon iphone… Je trouve que de plus en plus de service oblige à créer des comptes sans intérêt. Nous aurions ainsi moins de compte et donc nous serions moins obligé d’utiliser toujours les mêmes mdp.

    Merci pour cette bonne émission.
    Je retiens qu’il convient d’adapter la sécurité à son usage et au niveau de confidentialité désiré.
    Finalement «toto» sera parfait pour mon compte tetris et pas mal moins bien pour mes comptes bancaires…

    Bon travail Genma

    • Super ce long retour avec plein d’éléments de réflexions / questions soulevées. Je vais y réfléchir et voir pour apporter une réponse.

    • Salut

      Quelques éléments de réponse ..

      1) Pour le mail, tu peux utiliser un mot de passe différent et complexe, que tu es le seul à connaitre. Pas besoin de ton gestionnaire de cette façon.

      2) tu peux avoir les codes imprimés : ils sont à usage unique, et révocables.
      Si tu utilise Gmail une clée Fido fonctionnera également
      Tu peux aussi définir d’autres numéro de téléphone de secours (fixe ou mobile)
      mdp vs gestionnaire :
      De manière générale, mettre le même mot de passe partout n’est pas une bonne idée.

      3) Si l’attaque ForceBrute trouve ton mot de passe, un humain peut deviner à partir de la tes autres password.

      4) Je créer avec une adresse email poubelle (@yopmail) pour les trucs pas important, et Lastpass génère des mots de passe à la volée. Je préfère ça Facebook ou G+ login partout.

      A +

  17. Un hors série vraiment sympa. Généraliste, qui permet au néophyte de découvrir, et aux étourdis de se souvenir et de remettre une couche sur la sécurité.

    Au sujet de la double authentification, sous Google, les clés Fido sont reconnues à la place du SMS.
    Ca coute entre 10 et 20 euros,

  18. Hello tous,

    Petite question concernant le gestionnaire de mdp… Quid de quand on veut accéder à nos services sur un autre ordinateur ? Exemple, consulter ses mails rapidement sur le PC chez un ami ?

    J’ai toujours voulu me mettre à ce genre de services, mais cette question m’a toujours rebutté…

    • Disons que si tu n’as pas de smartphone pour consulter tes mots de passe c’est un peu compliqué… Tu peux toujours utiliser une phrase de pass comme le suggérait Jérôme (plus facile à retenir), mais meme chez des amis auxquels tu fais confiance, je ne recommanderais pas de checker les mails : on ne sait jamais qui a une saloperie qui traine sur le PC. Un smartphone bon marché (d’où tu peux checker tes mails) serait pour moi une meilleure alternative, mais si tu tiens à ne pas en avoir, c’est effectivement un cas où ca ne marche peut-être pas.

  19. Bonjour patrick encorme merci pour cet épisode au top, mon préféré après le spécial education. c’est cool d’avoir des rdv tech « hors serie » de temps en temps.

    Je me pose une question sur la sécurisation des mails, j’ai bien compris grace à l’analogie de la carte postale de l’envellope et du cadenas mais ça me sucite une question.
    Puisqu’il faut une clé publique et une clé privée, il faut donc que l’expéditeur et le destinataire soient d’accord pour utiliser ce systeme donc ma question est:
    mon opérateur téléphonique ,ma banque et mon medecin s’en fichent completement d’écrire sur des cartes postales alors le chifrement de mail c’est plutot réservé à une frange tres limitée d’utilisateur qu’on le veuille ou non??

  20. Tres bon podcast comme d’habitude.
    Dommage que vous n’avez pas abordé la question adware, spyware et comment s’en débarrasser.
    On a tous un voisin, parent, ami qui a son ordinateur pollué avec ces trucs et qui demande à l’aide.

    • Ah pour ça il faudrait faire trois émissions spéciales entières ! Ou alors la solution express : on jette le disque dur et on réinstalle tout… 🙂

  21. Bravo pour cette nouvelle emission…. si je peux me permettre, Juste pour préciser sur le point vaut il mieux une double authentification ou une mot de passe complexe. La réponse est pourtant simple et vous l’aviez dès le début de l’émission ^^

    En sécurité avancé, on parle même de d’authentification forte à 3 facteurs (ce que je suis, ce que je connais, ce que je possède)
    ex :
    ce que je suis : une empreinte digitale (comme sur l’iphone via le Touch ID)
    ce que je possède : une clé, un smartphone + OTP…
    ce que je connais : un mot de passe, une passephrase… etc

    Quand Patrick tu parles de double authentification tu le dis bien. Une meilleure sécurité en double authentification (ce que je possede, ce que je connais)

    Donc pour ma part un mot de passe simple (unique) plus une double authentification vaut 1000 fois mieux qu’un mot de passe très complexe (surtout s’il n’est pas unique) et dans ce cas l’exemple des Keylogger de Genma en est un bel exemple…

    Enfin pour terminer vous n’avez pas mentionné pour la double authentification l’excellent FreeOTP (opensource et gratuit su IOS, Android, Windows Phone). D’ailleurs je l’avais découvert grace à notre ami @korben ici
    http://korben.info/freeotp-application-mobile-dauthentification-en-2-etapes.html

    Salutations;
    Un non patreon pour l’heure mais qui le deviendra c’est promis ^^

  22. Bonjour!
    Même si j’aime bien le RDV Tech je dois avouer que cet épisode réponds vraiment a des attentes voir besoins que j’avais . je viens juste de l’écouter avec du retard , mais c’est vraiment le meilleur (a mon sens 😉 ) .Excellent article de Slate avec Aeris ! J’habite en campagne actuellement et c’est bien dommage puisque ça donne bien envie de se déplacer dans des clubs info ou autres pour en apprendre d’avantage !

  23. Bonjour à toi Patrick et tous,

    Patrick je t’écoute depuis azeroth, et sur toutes tes émissions en français.
    J’ai pas mal de tes conseils sur la sécurité internet (notamment lastpass), en écoutant cette émission je me suis que mettre en place un VPN serait une bonne idée le seul truc c’est que…. c pas si simple de choisir une solution fiable surtout quand tu es novice comme moi dans les VPN, donc voilà la question est simple quel VPN utilises tu ? Car tu ne le dis pas dans l’émission. Oublie ou choix de ta part ?
    Merci pour la réponse.
    Un auditeur comblé…

    • Salut Cédric ! Je t’avoue que je ne suis pas 100% certain d’avoir le bon conseil… Demandons donc à l’Internet, je vais tweeter et voir si quelqu’un a une bonne réponse ! Et très heureux que l’émission te plaise, surtout si tu es in ancien d’AFR. 😉

    • Tout dépend de ce que tu cherches et de ton niveau de méfiance en fait.

      Si tu cherches simplement un truc pour sécuriser ta connexion quand tu es sur un wifi public, je prendrais juste l’offre gratuite d’une boite connue comme ProXPN.com, dont on a souvent fait la promotion dans les podcasts de Tech américains .. Mais dis-toi bien qu’ils garderont un historique de tout ce que tu fais.

      Maintenant, si tu cherches un truc super sécurisé pour échapper à la surveillance de masse par le gouvernement français ou par la NSA, ça se complique. Il faut bien se dire que la société chez qui tu vas t’abonner, elle sera la seule à tout savoir sur toi. Une fois que tu utilises un VPN, même ton fournisseur d’accès internet ne sait plus dire où tu te connectes, ils ne sauront voir que tes connexions vers l’adresse IP de ton VPN.. Du coup c’est important de pouvoir faire confiance à la boîte en question. Par exemple, les sociétés présentes aux États-Unis n’ont, en théorie, pas le droit de garder leurs logs secrets et doivent (Automatiquement ? Seulement sur demande ? C’est là que ton niveau de méfiance va jouer) les partager avec les autorités. Donc idéalement, il faut un truc rapide, safe, pas aux États-Unis, qui autorise tous les protocoles et qui, de préférence, ne garde pas ton historique (certains prestataires préfèrent garder des logs pour se protéger légalement). Le top du top : ils acceptent le paiement anonyme par bitcoin et sont 100% open source.

      Est-ce que ça existe ? Je ne l’utilise pas personnellement mais « Private Internet Access » (PIA) revient souvent et est très bien coté. je te laisse lire les reviews !

    • Bonjour,
      Moi j utilise hide my ass (HMA) c’est très simple à installer, ça marche aussi pour iOS ( pratique à l étranger pour regarder Netflix avec le catalogue français).
      Par contre il faut creer un compte et c’est payant (10 dollars / mois il me semble..)

    • Merci à tous pour les conseils !
      Pour les archives, j’ai posté la question sur Twitter: https://twitter.com/NotPatrick/status/632851222026919936
      Et Dany nous conseille aussi VyprVPN: https://twitter.com/notdany/status/632882805651959809
      Et Philippe nous indique cet article qui recommande des VPN privés : https://twitter.com/pmarie75/status/632885545979498496

  24. Thierry Moreau dit:

    En ce moment, « Promo d’été » chez HMA.
    https://www.hidemyass.com/fr/
    Perso, et au risque de passer pour un noob, je suis abonné à Swiss VPN, depuis 7 ans…

Exprimez vous!

*