Questions sur la protection des données (hors VPN)

Ça fait un moment que je réfléchis et lis des trucs à propos de tout ce qui concerne la protection de mes données sur internet. Je dois reconnaître que jusqu'à maintenant, hormis faire attention aux sites sur lesquels je me connecte et auxquels je donne certaines données (ce qui constitue déjà un excellent premier moyen d'éviter les problèmes), je n'ai guère été très exemplaire dans cette étape pourtant importante.

Je viens de découvrir Mozilla Monitor (ils m'ont fait une suggestion sur le navigateur). Que pensez-vous de ce truc ? Après une petite recherche sur internet et la lecture de quelques articles, il semble que ce soit intéressant pour en apprendre davantage sur les moyens de protection et être prévenu des brèches de sécurité et des vols de données référencés par Mozilla et HIBP.

Après une brève utilisation du bousin, je m'aperçois qu'il n'y a en fait pas grand chose comme service. J'ai fait l'étape du rapport, et j'ai la joie de découvrir que je n'ai rien à craindre pour le moment. Savez-vous si ce rapport est complet et si le service Firefox Monitor est vraiment utile ?

D'autre part, vu qu'ils me conseillent certains trucs de sécurité que j'ai déjà lus ailleurs, je voulais savoir s'il était vraiment indispensable :
- d'avoir recours à l'identification à deux facteurs
            => ça me semble quand même très contraignant pour naviguer sur le web tranquillou, devoir à chaque fois valider un code de sécu envoyé par texto... meh...

- d'utiliser un gestionnaire de mdp
            => comment ça fonctionne exactement ?
            => J'ai bien compris qu'il stocke les mdp de manière sécurisée et qu'il peut permettre des connexions automatiques sur les sites habituels où on va, mais quelle différence avec le   
                  fait que j'ai des mdp déjà enregistrés dans Firefox ? Qu'est-ce qui est plus sécurisé et pourquoi ?
=> si c'est intéressant, lequel prendre ? Y en a-t-il de vraiment meilleurs que d'autres ? Pourquoi ?


Je dois bien admettre que pour le moment et pour éviter de me retrouver comme un con dès que je veux me connecter quelque part parce que j'ai oublié le mdp, j'ai peu de mots de passe différents (ce qui est clairement pas top, je sais).

Merci d'avance !

Hello, je réponds brièvement.

- Identification à deux facteurs permets de rendre plus difficile le vol de compte car si je suis en possession de ton ordi / mot de passe, je ne serais pas en possession de ton telephone mobile / second "mot de passe". Et inversement.

- Un gestionnaire de mdp permet de créer une base de données local cryptée par un mot de passe que tu aura choisi. Le problème avec Firefox c'est qu'il sauvegarde tout en claire. Si tu vas sur github tu peux DL des logiciels qui vont fouiner/trouver les mots de passes en claires des navigateurs c’est assez facile.

J'espère que c'est assez concis.

Pour ma part, j'utilise le navigateur Brave ( développé par la team Firefox sur le logiciel Chromium open source qui a pour but de limiter le partage de données ), par défaut il enlève les cookies tier et les fingerprints tier, tu peux même facilement utiliser Tor avec.
Pour le gestionnaire de mot de passe j'utilise KeepassXC au lieu de keepass, car il enregistre également les identification à deux facteurs ( que j'utilise uniquement pour les sites financier en générale).

Pour les sites un peu plus commun que j’utilise souvent et où je me soucie peu de ma protection, je créé un mot de passe “fix” avec une partie qui change en fonction du nom de domaine du site ce qui permet de changer un peu le mot de passe sans utiliser un gestionnaire de mot de passe.

Citation :
Yes, j'avais compris cela. Je voulais juste confirmation de la contrainte : en gros, à partir du moment où on choisit la méthode 2FA, on aura forcément besoin du code sms pour se connecter. Et je trouvais cela très très contraignant, notamment si je veux me connecter à Koreus. Bon tu confirmes quand même que tu ne l'utilises pas pour tout (juste pour les sites financiers) donc ça répond à mes doutes.

Citation :
Alors ça je ne savais pas pour les logiciels fouineurs de mdp ! Enfin, je ne savais pas que c'était aussi facile pour gauler un mdp enregistré en clair sur Firefox. Merci pour l'info (et de m'avoir fait découvrir github, je ne connaissais pas^^).

Petite question supplémentaire concernant le gestionnaire de mpd : est-ce qu'on peut dire que c'est un équivalent des coffre-forts numériques proposés notamment par certaines banques ?

Citation :
Jamais entendu parler de ce navigateur ! Il m'a l'air intéressant. Par contre, après avoir lu cet article sur NextInpact (qui date quand même d'il y a quelques mois), il semble que ce ne soit pas encore la panacée à tous points de vue.

Tu pourrais me donner ton avis vu que tu l'utilises ? Le navigateur ne risque-t-il pas de se prendre un tsunami de recours en justice pour sa pratique vis-à-vis de la publicité ? D'ailleurs, dans l'article, il est souligné que cette pratique a potentiellement quelque chose de déloyal parce que c'est, pour les médias signataires de la pétition, une manière déguisée pour Brave de gagner plus de revenus.


Citation :
C'est une bonne idée ça ! Jamais pensé à faire pareil, je testerai quand je prendrai le temps de revoir tous mes mdp.^^ Mais quitte à avoir un gestionnaire de mdp, c'est pas plus pratique de l'utiliser aussi pour les sites plus communs ?

Alors il y a plusieurs façon d'utiliser/configurer le 2FA j'utilise tellement le TOTP que pour moi il y a plus que ça. En plus par SMS c'est pas tellement conseillé. Tu as pour ça Google Authentificator ou KeepassXC, ça fonctionne même en hors ligne.

Ravi de partager avec toi. Je ne connais pas trop les coffre-forts numériques, mais j'imagine que oui.

L'article date de la version Beta, pour l'avoir utilisé ça a bien changer. Les points négatifs tel que la lenteur et les extensions ben c'est corrigé car ils utilise chromium maintenant. Concernant les PUB le système expliqué dans l'article est pas trop mal: leurs but est de payer les hebergeurs avec de la crypto directement par l'utilisateur. J'ai jamais entendu qu'ils veulent mettre des PUB certifié Brave (les recours en justice seront justifié du coup), leurs but étant de supprimer toutes les PUB. Pour l'instant je l'utilise sans payer, mais je pense serieusement à le faire, je sais pas si leurs idéologie suivra mais j'aime bien leurs proposition alternative à un monde bourré de PUB. J'en suis très satisfait, je le recommande, ça te coûte rien de l'installer et de le tester.

Citation :
oui tu as raison la bonne pratique est d'utiliser tout le temps ton gestionnaire de mdp. Le problème pour moi c'est que j'ai parfois pas mon gestionnaire de mdp sous la main et que si je me connecte souvent ailleurs que sur mon PC ben j'aime bien connaitre de tête certain mot de passe utile pour pas me retrouvé bloqué.

@Avaruus Perso j'utilise KeePass, la version 1 parce la version 2 est moins sécure (typiquement on retrouve les mots de passe dans Ditto).

Le must c'est un mot de passe par site générer par Keepass, le gros soucis la derrière c'est que c'est la galère pour les retenirs donc si t'as pas/plus accès à Keepass ben t'es dans la merde.

Et si tu es vraiment parano (encore plus que moi, ce qui en sois est un exploit :D), tu peux config certain navigateur pour purger ton historique, les cookies et les temporaires à chaque sortie.

@Avaruus
Concernant la partie Gestionnaire de mot de passe, j'utilise BitWarden qui te permet de sync entre tous tes appareils et d'avoir qu'un seul mot de passe a retenir avec une double authentification.

L'avantage de BitWarden c'est que c'est un gestionnaire de mot de passe open source, tu peux si tu veux faire ton propre serveur BitWarden pour héberger tes ou des mot de passes.
Mais quand tu checks les sources, le cryptage est local, sur ton PC, et envoyer sur un serveur. Et le cryptage est ultra solide ^^

L'authentification à deux facteurs, je suis mitigé, cela est pratique, à condition que tout roule avec ton téléphone:

- l'avoir avec de la batterie
- certains ne fonctionnent pas lorsque tu ne captes pas
- quand tu te fais voler ton téléphone, ca devient le merdier

En gestionnaire de mdp, j'utilise Dashlane. La version gratuite est largement suffisante (tu peux stocker max 50 ou 70 passwords il me semble).
Puis on s'est mis à l'utiliser en entreprise donc je suis passé à la version payante;
Ca nous permet de générer facilement des mots de passe bien bourrins, et surtout de se les partager plutôt qu'un envoi par mail (lol), et quand le mot de passe est modifié, la mise à jour est auto sur tous nos comptes.
Après j'ai pas été explorer toutes les possibilités non plus.