Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Venez tester la Fedora 33 Beta

#1 24/12/2017 11:45:07

4848d8a019
Membre
Inscription : 05/12/2017
Messages : 56

Où son stockés le mots de passe ?

Bonjour,
Sous Debian, les mots de passes était stockés dans seahorse. Si bien que j'avais été obligé de le désactiver, car il suffisait de l'ouvrir pour avoir accès à la liste de tout mes comptes.
Sous Fedora, les mots de passes sont aussi stockés quelque part, puisque les services comme owncloud client ou les comptes en ligne se connectent automatiquement.
Du coup où, et surtout comment, sont-il stockés ?

Merci.

Hors ligne

#2 24/12/2017 11:48:19

Mister_G
Membre
Lieu : Rouen (76)
Inscription : 07/05/2007
Messages : 654

Re : Où son stockés le mots de passe ?


i7 870 - 16 Go - gtx 970 - ssd 500 Go - Win 10 +  ssd 250 Go - F27 64 Fluxbox - 28" hanns g
lenovo i5- 4 Go - ssd 128 Go - debian sid 32 Fluxbox  - 15.6"

Hors ligne

#3 24/12/2017 12:19:59

4848d8a019
Membre
Inscription : 05/12/2017
Messages : 56

Re : Où son stockés le mots de passe ?

Aucun résultat dans la liste des applications.

Il semble qu'il y ait effectivement une commande gnome-keyring disponible…
D'après le lien que tu donnes, il faut utiliser secret-tool pour récupérer un mot de passe. Mais il faut lui filer un attribut et une valeur (¿Késako?).

Hors ligne

#4 24/12/2017 14:01:13

Heldwin
En non-quarantaine :)
Inscription : 07/10/2008
Messages : 4 258

Re : Où son stockés le mots de passe ?

Bonjour,

Je ne suis pas sûr qu'il y ait une seule réponse à donner pour les mots de passe.
Les mots de passe de quoi exactement ?

Pour les comptes fedora, c'est stocké dans: /etc/shadow (en sha-512)
Pour les applications, c'est dans le profile utilisateur (.config, ou .local, ou .xxxx)

owncloud-client semble les stocker dans: .local/share/data/ownCloud/owncloud.cfg d'après la doc (mais fedora installe qt5keychain avec owncloud-client)
(Description  : The qt5keychain library allows you to store passwords easy and secure.)

Cela dépend de l'application, et des processus développés pour la gestion des mots de passe utilisés par cette même application,
et de comment on accède à distance à l'application.

Mais bon, techniquement, si quelqu'un a accès à un profile utilisateur non-verrouillé, que ce soit sur linux/windows/mac, il ne faut pas grand chose pour récupérer la liste de tous les mots de passe
utilisés par ce profil (s'ils ne sont pas protégés par un master password, ou pas stockés avec un chiffrage non-réversible, ce qui nécessiterait le bruteforce).
Un script assez simple pourrait le faire rapidement. Suffit de gérer les applications voulues et boum.

(ça me rappelle la tête de quelqu'un que je connais, à qui j'avais montré un programme sur windows qui récupérait les mots de passe stockés emails/dossiers partagés), car en moins de 10 secondes, je les avais tous listés ^^)

Dernière modification par Heldwin (24/12/2017 14:33:23)


"The only way to achieve the impossible is to believe it’s possible"

Hors ligne

#5 24/12/2017 17:49:33

4848d8a019
Membre
Inscription : 05/12/2017
Messages : 56

Re : Où son stockés le mots de passe ?

Merci de ta réponse.

owncloud-client semble les stocker dans: .local/share/data/ownCloud/owncloud.cfg d'après la doc

Adresse et nom d'utilisateur, mais pas de mot de passe. Il y a un fichier « cookies0.db » à côté. Ptet que ça a un rapport.

Pour thunderbird, il sont pour le moment stockés dans le gestionnaire de mdp de thunderbird, mais que se passe t'il si je rajoute l'extension gnome-intégration ? Sous Debian, c'était direct dans Gnome-Keyring. Mais là…

Mais bon, techniquement, si quelqu'un a accès à un profile utilisateur non-verrouillé, que ce soit sur linux/windows/mac, il ne faut pas grand chose pour récupérer la liste de tous les mots de passe

C'est tout l'objet de ma question. Sous Debian j'avais eu le plaisir de découvrir qu'il y avait un gestionnaire de mot de passe superbement intégré à gnome. Sauf qu'une fois le compte déverouillé… ben tout est lisible en un clic. Il faut systématiquement le reverrouiller manuellement après usage. Pour le moment j'utilise keepass2. Mais pas super bien intégré à Gnome, fonctionnalités manquantes, inutilisable les logiciels autres que firefox…
Bref, pas encore trouvé mon bonheur dans ce domaine.

Pour les comptes fedora, c'est stocké dans: /etc/shadow (en sha-512)

Tu parles du compte utilisateur ? Il faut le retaper à chaque fois de toute manière celui-là, donc ça aurait été vraiment stupide de le stocker en clair. On est pas sur un site de rencontre adultère quand même. Je parle plutôt des application qui s'auto-log. Genre quand on ajoute un compte en ligne. Ceux-là sont forcément stockés en clair, puisque Fedora peux se connecter automatiquement.

Je viens de retester seahorse. Mes identifiant owncloud était déjà dedans. Donc il semble que ces trucs là soient bien gérés par gnome-keyring comme dit plus haut, mais par défaut, sans interface graphique.

Un script assez simple pourrait le faire rapidement. Suffit de gérer les applications voulues et boum.

Ce n'est pas trop dans mes capacités. Mais il me semble que le plus simple pour obtenir l'effet voulu, serait un script qui verrouille automatiquement le trousseau dès que l'utilisateur n'envoie pas d'évènement pendant plus de quelques secondes. Là je pense que j'aurais un bon compromis ergonomie/sécurité tout en profitant de l'intégration de gnome-keyring dans gnome. Si t'as des pistes…

Dernière modification par 4848d8a019 (24/12/2017 17:50:10)

Hors ligne

#6 25/12/2017 17:31:45

Heldwin
En non-quarantaine :)
Inscription : 07/10/2008
Messages : 4 258

Re : Où son stockés le mots de passe ?

4848d8a019 a écrit :

Pour thunderbird, il sont pour le moment stockés dans le gestionnaire de mdp de thunderbird, mais que se passe t'il si je rajoute l'extension gnome-intégration ? Sous Debian, c'était direct dans Gnome-Keyring. Mais là…

les extensions gnome-keyring pour thunderbird ne semblent plus fonctionner, donc je sais pas plus. J'utilise un master password sur la gestion des mots de passe de thunderbird.
Ayant pas mal d'adresses email, les rentrer tous à la main à chaque fois me prend un peu la tête, donc ça me convient actuellement.

4848d8a019 a écrit :

Tu parles du compte utilisateur ? Il faut le retaper à chaque fois de toute manière celui-là, donc ça aurait été vraiment stupide de le stocker en clair. On est pas sur un site de rencontre adultère quand même. Je parle plutôt des application qui s'auto-log.

On peut s'auto-loguer sur un compte au démarrage, mais pourtant le mot de passe n'est pas stocké en clair :)
Cela dépend du mécanisme pour autoriser ça.

4848d8a019 a écrit :

Mais il me semble que le plus simple pour obtenir l'effet voulu, serait un script qui verrouille automatiquement le trousseau dès que l'utilisateur n'envoie pas d'évènement pendant plus de quelques secondes. Là je pense que j'aurais un bon compromis ergonomie/sécurité tout en profitant de l'intégration de gnome-keyring dans gnome. Si t'as des pistes…

Sur Mate, il y a aussi gnome-keyring, mais je n'ai jamais cherché à l'utiliser.

Comme tu le disais plus haut, le fait de connaitre/trouver le mot de passe de gnome-keying permet l'obtention de tous les mots de passe inscrits dedans, donc je ne suis pas trop fan de ça.

A ma connaissance, il n'y a pas vraiment de moyen vraiment sécurisé (et le problème est difficile à résoudre sur tous les systèmes), qui conviendrait à tout le monde, donc je suis de plus en plus pour ne stocker aucun mot de passe utilisé par une application, et les entrer manuellement à chaque fois :)

Quitte à utiliser des programmes comme KeePassX comme aide mémoire, avec des fichiers séparés qui ont des master password différents, pour ne pas tout centraliser au même endroit.

Concernant le problème de re-verrouillage, il y aurait un truc comme ça de possible:
https://superuser.com/questions/700826/ … me-keyring

Mais je ne vois pas pour l'instant de moyen de faire que ça se déclenche après une inactivité ou un certain temps.
Ca permettrait au moins de faire un raccourci qui peut appeler le script et verrouiller le trousseau au moment voulu.

EDIT:
Au faite, ce serait plutôt nextcloud-client, plutôt que owncloud-client, maintenant :)

Dernière modification par Heldwin (25/12/2017 18:11:11)


"The only way to achieve the impossible is to believe it’s possible"

Hors ligne

#7 26/12/2017 11:19:06

4848d8a019
Membre
Inscription : 05/12/2017
Messages : 56

Re : Où son stockés le mots de passe ?

On peut s'auto-loguer sur un compte au démarrage, mais pourtant le mot de passe n'est pas stocké en clair :)

Intéressant. Peux-tu m'expliquer ce mystère ? La problématique me fait penser à celle des DRM.

les extensions gnome-keyring pour thunderbird ne semblent plus fonctionner, donc je sais pas plus.

Effectivement, je viens de tester, même constat. J'ai l'impression que c'est un peu la panique au niveau des extensions Thunderbird en général en ce moment. Me trompé-je ?

Comme tu le disais plus haut, le fait de connaitre/trouver le mot de passe de gnome-keying permet l'obtention de tous les mots de passe inscrits dedans, donc je ne suis pas trop fan de ça.

Ouep, mais à partir d'un certain nombre de mot de passe, ça devient compliqué de faire sans… Quand à la possibilité de connaitre/trouver le mot de passe maitre, la probabilité est quand même relativement faible pour un mot de passe long, unique et changé régulièrement. Une attaque sophistiquée sur une bdd d'un particulier, contenant uniquement des mdp de forum et de mail, j'y crois pas trop. Le risque est plutôt de tomber sur un trousseau déjà ouvert pour moi.

Quitte à utiliser des programmes comme KeePassX comme aide mémoire, avec des fichiers séparés qui ont des master password différents, pour ne pas tout centraliser au même endroit.

Tous les gestionnaire de mot de passes permettent d'avoir des trousseaux séparés. Donc il suffit effectivement de classer les mots de passe par sensibilité.

A ma connaissance, il n'y a pas vraiment de moyen vraiment sécurisé (et le problème est difficile à résoudre sur tous les systèmes), qui conviendrait à tout le monde, donc je suis de plus en plus pour ne stocker aucun mot de passe utilisé par une application, et les entrer manuellement à chaque fois :)

Ben je pense qu'il y a moyen d'obtenir un compromis correct entre sécurité et ergonomie. Par exemple, lorsque tu te logs (ça se conjugue comme ça ?), tu viens de taper ton mot de passe, donc de t'identifier avec une certaine fiabilité. Je ne vois pas d’inconvénient à ce que le trousseau laisse les différents clients se connecter à leur compte et se verrouille tout de suite après. Ensuite, master password au cas par cas.

Au faite, ce serait plutôt nextcloud-client, plutôt que owncloud-client, maintenant :)

Pour le moment, j'ai juste un compte basique chez la mère zaclys et ils ont pas encore fait la migration. Ça fait un moment que j'ai envie d'avoir mon serveur perso, mais j'ai pas le temps de m'en occuper.

Hors ligne

#8 26/12/2017 13:21:49

Heldwin
En non-quarantaine :)
Inscription : 07/10/2008
Messages : 4 258

Re : Où son stockés le mots de passe ?

4848d8a019 a écrit :

On peut s'auto-loguer sur un compte au démarrage, mais pourtant le mot de passe n'est pas stocké en clair :)

Intéressant. Peux-tu m'expliquer ce mystère ? La problématique me fait penser à celle des DRM.

C'est pas vraiment un mystère :)
c'est juste que ce mécanisme n'a pas besoin du mot de passe de l'utilisateur pour faire ça.

La personne a demandé au DM d'ouvrir automatiquement un utilisateur, et donc il le fait, qu'il y ait un mot de passe dessus ou non, car il a le droit de le faire (et normalement le DM est lancé par root)
Il faudrait regarder quel utilisateur lance gdm.

Mais bon, j'avais mis ça surtout pour indiquer qu'il y avait divers mécanismes/moyen d'authentifications, et que si ça s'autologue, le mot de passe n'est pas forcément en clair ou obfusqué, ni même lu/utilisé.
(mais bon, entre accès local et distant, c'est différent, donc c'était pas forcément un bon exemple :))

4848d8a019 a écrit :

les extensions gnome-keyring pour thunderbird ne semblent plus fonctionner, donc je sais pas plus.

Effectivement, je viens de tester, même constat. J'ai l'impression que c'est un peu la panique au niveau des extensions Thunderbird en général en ce moment. Me trompé-je ?

Je ne suis pas sûr si thunderbird passera aux webextensions, ou quand il le fera, comme l'a fait firefox. donc je sais pas trop.
J'ai pas vraiment trouvé d'infos sur les webextensions et thunderbird, à part que c'est assez flou même pour ses développeurs :)

Surtout qu'il y a des infos concernant la fin du support de XPCOM/XUL, donc je ne sais pas ce qu'ils ont prévu...

Dernière modification par Heldwin (26/12/2017 13:25:57)


"The only way to achieve the impossible is to believe it’s possible"

Hors ligne

#9 02/01/2018 14:17:35

4848d8a019
Membre
Inscription : 05/12/2017
Messages : 56

Re : Où son stockés le mots de passe ?

C'est pas vraiment un mystère :)
c'est juste que ce mécanisme n'a pas besoin du mot de passe de l'utilisateur pour faire ça.

La personne a demandé au DM d'ouvrir automatiquement un utilisateur, et donc il le fait, qu'il y ait un mot de passe dessus ou non, car il a le droit de le faire (et normalement le DM est lancé par root)
Il faudrait regarder quel utilisateur lance gdm.

Mais bon, j'avais mis ça surtout pour indiquer qu'il y avait divers mécanismes/moyen d'authentifications, et que si ça s'autologue, le mot de passe n'est pas forcément en clair ou obfusqué, ni même lu/utilisé.
(mais bon, entre accès local et distant, c'est différent, donc c'était pas forcément un bon exemple :))

J'y ai pensé après, mais oui, il suffit que je mot de passe ne soit pas nécessaire. Par contre, s'il l'est (login à un compte internet, donc c'est pas fedora qui décide si le mdp est nécessaire ou non), il faut bien que le logiciel ai accès au mot de passe à un moment ou à un autre non ?

Hors ligne

Pied de page des forums