La sécurité! TOUS concernés

Je crois que certains utilisateurs ne se rendent pas vraiment compte de l’importance de la sécurité. Il se disent qu’un mot de passe suffit à protéger leur Ğ1. Et que s’il se font pirater ce n’est pas quelques junes de moins qui va changer leur vie.

La plupart ne savent pas, ou oublie que cet identifiant secret et mot de passe est aussi une clé pour accéder à Duniter, le cœur de la monnaie libre. Et que donc en ayant une sécurité faible ce n’est pas seulement leur compte qu’il mettent en danger, mais tout le système Duniter.

Quand on a compris cela, on comprends mieux, la « parano » des développeurs.
Je crois qu’on n’en parle pas assez quand on certifie des nouveaux membre.

12 J'aimes

C’est toujours bon de le rappeler, oui ! En discutant récemment, j’expliquais justement qu’il suffirait aujourd’hui à une entité mal intentionnée de récupérer une petite centaine d’identifiants de comptes membres pour s’emparer de la Ğ1. Sur 2300 comptes, c’est assez peu si chacun ne fait pas attention.

3 J'aimes

En plus, je suis sur qu’il y en a qui utilisent les même identifiant et mot de passe sur gchange ou gannonce que sur césium.
Là aussi il y a un risque!!! :warning:

3 J'aimes

Une règle d’or, c’est :

UTILISEZ UNIQUEMENT UN CESIUM LOCAL SUR VOTRE ORDI/ SMARTPHONE SINON LE BOOGIE MAN VIENDRA ET FERA DISPARAITRE VOTRE MONNAIE.

En vrai vous pouvez aussi utiliser Sakia ou Silkaj.

Posez les questions que vous voulez sur ce sujet ici.

2 J'aimes

Reste la question de la sécurité des systèmes (android, Windows) et des comptes mails … Un bon début pourrait être de parler de phase de passe et non de mot de passe.

1 J'aime

On peut proposer des outils via l’api haveibeenpowned par exemple.

Je pense savoir de quoi vous parlez, mais ceci peut sembler obscur pour bien des gens.

Pouvez-vous pointer des ressources documentaires/tutos concernant la sécurité des OS, la robustesse desphrases de passe et leur stockage ?

Et expliciter en quoi c’est critique pour la monnaie libre Ğ1 ?

Une suggestion peut-être naïve (je ne suis pas informaticien et c’est sûrement plus facile à dire qu’à faire…:wink:), mais si cette question de sécurité est si importante, pourquoi ne pas ajouter, sur la page de la création de l’identifiant secret et du mot de passe, un indicateur de « niveau de sécurité » (je ne sais plus où, mais j’ai déjà vu ça), une barre qui passe du rouge, à l’orange et qui vire au vert quand le niveau de sécurité est suffisant… ou bien même qui empêcherait la création du compte si le niveau de sécurité requis n’est pas atteint ?
Pour ce qui est d’utiliser une version locale de Cesium (ce que je fais…), je crois comprendre aussi le pourquoi, mais toujours pareil, si le risque est si important en consultant Cesium en ligne, bien que que le site soit sécurisé, pourquoi alors existe-il ces versions en ligne ?
Merci de vos lumières !

3 J'aimes

Le problème pointé ici n’est pas tellement la difficulté des mots de passe (même si c’est un problème important), c’est que certaines pages invitent l’utilisateur à taper ses mots de passe alors qu’il n’est pas sûr de la fiabilité de ces pages (qui pourraient les lui voler, peu importe leur sécurité).

Les versions en ligne existent parce que c’est plus pratique, et ça permet de montrer aux gens comment on fait, et ce n’est pas dangereux si on fait confiance au propriétaire du serveur et si la connexion est sécurisée. Cependant ce n’est pas une bonne habitude à prendre.

1 J'aime

Pour faire simple: des services informatiques (Par exemple le site https://haveibeenpwned.com/) proposent de rechercher tous les mots de passes associés à un email qui ont étés hacké (ou leaké) On pourrait proposer ce service à toutes les personnes de la wot et ainsi rernforcer la WOT.

1 J'aime

Pour ce qui est de la sécurité des systèmes il pourrait s’envisager de créer des distributions linux live (de type TAILSsur cd ou usb) avec tous les outils installés et paramétrés pour étre secure et user-friendly. pour les smartphone des outils comme ceux de cette page peuvent aider (à creuser) https://www.makeuseof.com/tag/linux-smartphone-operating-systems/. De manière générale les systèmes complexes à manipuler sont inefficients parce que non-utilisés ou mal. Des sytémes-live permettant d’accéder simplement et sans pré-requis informatiques à june , ses services et la toile de confiance simplifierait l’accés pour un grand nombre de personnes (et notamment « les moins favorisées ») ;tout en améliorant la sécurité générale de june.

1 J'aime

Je voulais ouvrir un sujet sur ça, pour avoir votre avis sur la suprématie quantique peut-on anticiper le truc, est-ce qu’on a moyen de profiter de cette technologie ? si certain on déjà creusé le sujet ça m’intéresse.

Mon idée en lançant ce sujet n’était pas de chercher des solutions informatiques. Il y en a surement mais nos chers développeurs sont déjà débordés. Mais plutôt d’insister sur la sensibilisations des membres utilisateurs.

Il faut bien comprendre qu’un compte membre permet de créer un nœud duniter. La plupart des membres n’en n’ont pas conscience.

Les informaticiens le savent : la faille de sécurité la plus importante se situe le plus souvent entre la chaise et le clavier. Autrement dit, c’est l’humain qui ouvre le plus souvent l’accès aux pirates.

C’est vrai que pour un utilisateur lambda, il n’y a pas vraiment de différence entre une application, et un site web. Donc c’est à ceux qui savent d’insister sur la différence.

En résumé parlez en! :speaking_head:
Une autre idée qui me traverse l’esprit c’est de tenter des piratages de comptes et de révoquer tout ceux que j’arriverai à pirater. :man_supervillain:
Ces membres imprudents se verraient dans l’obligation de créer un compte plus sécurisé. :male_detective:

6 J'aimes

Si tu as l’accord des personnes ce serait un trés bon moyen! Le probléme de sécu est entre la chaise et le clavier c’est pour cela qu’offrir des outils simples de prise en main est un atout de sécurité. Plus il y a de différents projets plus il y a de possibilité d’agréger de nouvelles énergies (dont des développeurs et développeuses!)

1 J'aime

C’est pour ça que probablement la première chose à faire pendant les apéros et les rencontres c’est de sensibiliser sur la licence, voir de l’imprimer et de la distribuer en premier lieu.

1 J'aime

En fait on pourrait automatiser cette tache lors de la création de compte en faisant appel à l’api haveibeenpowned pour verifier si l’adresse mail apparait dans la base des leaks (fuites de login/mot de passe rendus publiques suites à des attaques "malveillantes ) et si le mot de passe proposé apparait lié à ce mail. Dans ce cas la personnes est informée des informations récoltées et invitée à utiliser d’autres mail/phrasedepassequinestpasdéjaleackée… Les premiers piratages de compte ne devraient pas tarder… statistiquement. La motivation à sécuriser son compte sera alors renforcée…

1 J'aime

La sécurité! TOUS concernés

ou

La sécurité! TOU-TE-S concernées

?? pour que vraiment toutes les personnes se sentent impliquées et prises en compte.

1 J'aime

Personnellement j’ai du mal à faire confiance a quelqu’un qui me demande mon mail, pour savoir si celui à été piraté. J’aurai plutôt l’impression que c’est le meilleur moyen de me le faire pirater.
C’est une sensation toute personnelle, qui ne repose sur rien de concret. Mais j’aime pas cette sensation, et je n’aimerais pas que césium ou duniter communique mon adresse mail à quiconque.

De plus la sécurité sur Duniter n’a me semble-t-il rien a voir avec l’adresse mail.

J’en reviens à : il faut en parler aux utilisateurs.
Il y a un magnifique explicatif sur cesium.app, mais je suis pas sur que tout le monde prenne le temps de le lire.
DONC ceux qui savent, doivent sensibiliser les autres.

4 J'aimes

Qui a dit qu’il fallait utiliser une quelconque adresse mail lors de la création d’un compte Ğ1 ? C’est une faille de sécurité d’en utiliser une. À lire : https://forum.duniter.org/t/recommandations-de-securite-v3-a-lire-avant-de-creer-votre-compte-g1/1829

1 J'aime

C’est surement intéressant, mais dommage qu’il faille encore ouvrir un compte de plus sur un nouveau forum (pas de « passerelle » depuis ici…)
J’essaie me tenir informé et de participer, mais c’est très chronophage : j’ai aussi une vie « hors numérique » :wink: