Accéder au contenu.
Menu Sympa

trad-gnu - Re: [Trad Gnu] Autodéfense courriel - Étape 2.A, Créez une paire de clefs

Objet : Liste de travail pour la traduction de la philosophie GNU (liste à inscription publique)

Archives de la liste

Re: [Trad Gnu] Autodéfense courriel - Étape 2.A, Créez une paire de clefs


Chronologique Discussions 
  • From: Thérèse Godefroy <godef.th AT free.fr>
  • To: ben_pey AT hotmail.com, trad-gnu AT april.org
  • Subject: Re: [Trad Gnu] Autodéfense courriel - Étape 2.A, Créez une paire de clefs
  • Date: Tue, 22 Nov 2016 20:07:47 +0100
Bonjour Benoît, bonjour tout le monde,

Le 22/11/2016 16:27, benpey a écrit :
> Bonjour,
>
> J'espère que c'est bien à vous que je dois m'adresser concernant une
> remarque de compréhension du guide de l'Autodéfense courriel.
> (https://emailselfdefense.fsf.org/fr/)
> Dans le cas contraire pouvez-vous m'indiquez à qui m'adresser ?

Nous ne sommes que des traducteurs, mais il y a peut-être des gens à
trad-gnu qui en savent plus que moi sur le chiffrement.

> Votre page m'a sensibilisé aux faiblesses de mes pratiques en matière de
> rédaction de mot de passe.
> À cette fins pourriez-vous m'apporter des compléments d'information qui
> me soit accessible et par la suite être en mesure de partager cette page ?
[...]
> Car la méthode Diceware m'est totalement inconnu, mon anglais ne me
> permets pas d'en comprendre finement la fiabilité. Est-ce la seul que
> vous recommandez ?
> La question des phrases secrètes est bien plus générales et interroge
> sur l'organisation personnel de ses trousseaux. Ce n'est pas la finalité
> de ces pages !

Je peux essayer de transmettre vos remarques à l'auteur, mais sans
garantie d'effet. La dernière fois que j'ai fait une remarque, il était
d'accord mais le texte n'a pas changé, peut-être parce qu'il n'est pas
seul à décider... ou qu'il n'a pas le temps.

La méthode Diceware est en fait très simple. Il y a des explications
claires sur un site où on peut générer des mots de passe en ligne. Je ne
donne pas le lien parce qu'il ne faut JAMAIS créer de mot de passe en ligne.

> A propos de la méthode Diceware :
>
> Créée en 1995, Diceware est une méthode permettant de créer des
> "phrases de passe", ou passphrase in english, en utilisant un dé
> comme générateur de nombres aléatoires. Au bout de 5 lancés de dé, le
> nombre de 5 chiffres créé, par exemple 56654, est rapproché d’une
> liste pour trouver le mot correspondant. Dans la liste utilisée ici
> 56654 correspond au mot "sioux". En répétant l’opération plusieurs
> fois, la passphrase - qui correspond à la suite de mots obtenus - est
> créée.
>
> Quid de la sécurité ?
>
> Dans sa FAQ, le créateur du Diceware, Arnold Reinhold, explique qu'une
> passphrase de 6 mots serait crackable par une organisation dotée d'un
> budget très important, comme une agence de sécurité d'un grand pays
> [vous pensez également à la NSA ?]. Une passphrase de 7 mots et plus
> est incrackable par toute technologie connue à ce jour, mais pourrait
> être à la portée de grandes organisations d'ici 2030. Une passphrase
> de 8 mots devrait totalement sécurisée jusqu'à l'horizon 2050.

Il existe au moins 2 listes de mots français, pour les nombres de 5 et
de 6 chiffres [2].

Ce qui me semble le plus difficile, c'est de me rappeler la phrase de
passe obtenue. Il y a un passage dans l'article [1] qui m'a bien fait rire :

« Not too bad for a passphrase like “bolt vat frisky fob land hazy
rigid,” which is entirely possible for most people to memorize. »
Traduction :
Pas mal pour une phrase de passe comme “bolt vat frisky fob land hazy
rigid,” qui est tout à fait mémorisable par la plupart des gens.


> Pouvez-vous cependant me conseiller :
> - Que pensez-vous des éléments proposé à Choisir de bons mots de passe
> <https://doc.ubuntu-fr.org/securite#choisir_de_bons_mots_de_passe> sur
> le wiki d'ubuntu ? Puis-je m'en servir comme base de méthode fiable ?
> - Que pensez-vous des conseils de la CNIL Comment construire un mot de
> passe sûr
> <https://www.cnil.fr/fr/construire-un-mot-de-passe-sur-et-gerer-la-liste-de-ses-codes-dacces>
> ? Où bien est-ce que vous y apporterez des mises en gardes particulières ?

Les conseils d'Ubuntu-fr sont sûrement valables pour des mots de passe
de forum, mais d'après l'article [1], il faut éviter les phrases
mnémotéchniques comme « Les sanglots longs des violons de l'automne. »
ou « Je me lève tous les matins à 8 heures ».
Même une phrase que vous inventez vous-même ne sera pas vraiment
aléatoire parce qu'elle a une structure. Je parie que 3 fois sur 4 elle
va commencer par un article ou un pronom.

Les conseils de la CNIL sont également très judicieux et probablement
valables pour la vie courante, mais sûrement pas suffisants si vous êtes
journaliste ou avocat.


> Je me permets enfin une suggestion, ne serait-il pas souhaitable, pour
> les utilisateurs, comme moi, non sensibilisés aux questions de sécurité
> de proposer un lien vers une page plus didactique et alors la faire
> suivre de la méthode que vous recommandez ?

Comme dit plus haut, nous ne sommes que des traducteurs. Si quelqu'un
sait où trouver un article en français sur Diceware (autre qu'un
générateur en ligne), on peut mettre le lien. Autrement, il va falloir
se prendre par la main et traduire l'article [1]. Des amateurs ?


Amicalement,
Thérèse

[1]
https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/
[2] https://github.com/chmduquesne/diceware-fr



Archives gérées par MHonArc 2.6.19+.

Haut de le page