Différences

Ci-dessous, les différences entre deux révisions de la page.

--- securite [Le 24/04/2014, 14:35]
88.219.149.133 [Isoler votre ordinateur via un réseau local ou une box ADSL]
+++ securite [Le 11/10/2023, 08:30] (Version actuelle)
krodelabestiole [Préserver son anonymat sur internet] mythe ? via tor-bowser je suis au moins aussi anonyme qu'en découpant - collant des lettres depuis un journal...
@@ Ligne 3: / Ligne 3: @@
 ----
-====== Sécurité ======
+====== Sécurité De votre système Ubuntu======
 {{http://wiki.ubuntuusers.de/_image?target=Startseite%2FSicherheit.png?70 }}
-Ubuntu est un système relativement sûr((notamment par rapport à Windows)), mais cela ne doit pas vous empêcher d'être vigilant et de suivre quelques recommandations. Voici comment protéger efficacement vos données personnelles.
+Ubuntu est un système relativement sûr((notamment par rapport à Windows)), mais cela ne doit pas vous empêcher d'être vigilant et de suivre quelques recommandations. \\
+Voici comment protéger efficacement vos données personnelles.
-===== Si vous êtes débutant =====
-FIXME partie plus à jour pour Ubuntu 12.04
-Si vous êtes [[débutant]] ou simple utilisateur, voici comment accéder au guide pour apprendre à utiliser Ubuntu en toute sécurité.
-Exécutez le lanceur d'application (raccourci clavier //ALT+F2//) et  copiez-collez-y ce qui suit :
-<code>gnome-help file:///usr/gnome/share/help/keeping-safe/fr/keeping-safe.xml</code> puis cliquez sur le bouton //Lancer//.
 ===== Pourquoi sécuriser votre système ? =====
-Parce que vos informations personnelles sont enregistrées à l'intérieur, sans sécurisation il est facile d'accéder à toutes vos données à distance et encore plus facilement physiquement.
+Parce que vos informations personnelles sont enregistrées à l'intérieur de votre système, et sans sécurisation il serait facile d'accéder à toutes vos données à distance et encore plus facilement physiquement.
+C'est pourquoi il est nécessaire de définir une méthode de sécurité fiable .
 ==== Pour les particuliers ====
- Pour le particulier, l'enjeu est plutôt la tranquillité et la stabilité du système. Cela signifie un pare-feu convenablement configuré (voir ci-dessous), afin d'éviter les intrusions malveillantes, et éventuellement un disque dur chiffré, afin d'éviter le vol d'informations et de protéger les données personnelles en cas de vol de la machine.
+Pour le particulier, l'enjeu est plutôt la tranquillité et la stabilité du système.
+Cela signifie un système régulièrement mis à jour et l'installation de logiciels uniquement à partir des dépôts officiels. Éventuellement un disque dur chiffré, afin d'éviter le vol d'informations et de protéger les données personnelles en cas de vol de la machine.
 ==== Pour les entreprises ====
-On ne le répétera jamais assez, surtout aux PME/PMI : la sécurité est un enjeu majeur d'une politique économique ! L'époque du capitalisme à la bonne franquette est révolue, nous sommes entrés dans l'ère d'un capitalisme sauvage, où tous les coups sont permis pour semer et/ou abattre la concurrence. Et, avec le développement des moyens de communication numériques dans l'entreprise, un nombre colossal d'informations, y compris vitales, deviennent accessibles par le réseau. Ainsi voit-on se développer les « Officines d'intelligence économique », //i.e.// des boîtes d'espionnage, pour parler sans euphémismes, tenues par des [[http://www.spyworld-actu.com/spip.php?article344|anciens de la DGSE ou de la PJ]], et avec elles les intrusions dans les réseaux, les vols de matériel... [[http://www.lepoint.fr/actualites-politique/2009-04-23/edf-le-pirate-et-les-officines/917/0/337339|Quand le cracker travaille pour EDF, ça la met mal !]]
+On ne le répétera jamais assez, surtout aux PME/PMI : la sécurité est un enjeu majeur d'une politique économique !
+Nous sommes entrés dans l'ère d'un capitalisme sauvage, où tous les coups sont permis pour semer et/ou abattre la concurrence. \\
+Avec le développement des moyens de communication numériques dans l'entreprise, un nombre colossal d'informations, y compris vitales, deviennent accessibles par le réseau.
+Ainsi voit-on se développer les « Officines d'intelligence économique », c.-à-d. des boîtes d'espionnage, pour parler sans euphémismes, tenues par des [[http://www.spyworld-actu.com/spip.php?article344|anciens de la DGSE ou de la PJ]] et avec elles les intrusions dans les réseaux, les vols de matériel... [[http://www.lepoint.fr/actualites-politique/2009-04-23/edf-le-pirate-et-les-officines/917/0/337339|« EDF, le pirate et les officines »]] ; site : Archives Le Point ; auteurs : Jean-Michel Décugis, Christope Labbé, Olivia Recasens ; date : 23 avril 2009.
-À ce propos, la DCRI organise régulièrement des [[http://www.spyworld-actu.com/spip.php?article6779|stages de sensibilisation à la sécurité informatique]], avec des difficultés certaines, étant donné l'ignorance totale des utilisateurs à l'égard de cette menace.
+À ce propos, la DCRI organise régulièrement des [[http://www.spyworld-actu.com/spip.php?article6779|stages de sensibilisation à la sécurité informatique]]((« Espionnage industriel : Un capitaine de la DST prévient les chefs d’entreprises » ; source : [Spyworld Actu] ; auteur : Reynald Clouet, Lavoixeco.com ; 29 janvier 2008.)), avec des difficultés certaines, étant donné l'ignorance totale des utilisateurs à l'égard de cette menace. - Lien mort ! Voir aussi : [[https://www.ssi.gouv.fr/administration/formations/|Formations de l'ANSSI sur la sécurité informatique]].\\
 La sécurité dans les entreprises passe donc :
@@ Ligne 31: / Ligne 37: @@
    * par la sécurisation physique du matériel (antivols, armoires fortes...) ;
    * par la sécurisation virtuelle du matériel, des données et informations (lecteurs biométriques, disques chiffrés...) ;
-   * par la sécurisation des réseaux et des communications (formats de transfert cryptés : SSH...) ;
+   * par la sécurisation des réseaux et des communications (formats de transfert chiffré : SSH...) ;
    * par la formation du personnel aux risques.
 Pour aller plus loin :
-   * [[http://www.zataz.com/interviews-securite/7043/dst-direction-de-la-surveillance-du-territoire.html|interview d'un responsable de la DST]]
    * [[wpfr>Sécurité_des_données|sécurisation des données]]
    * [[wpfr>Insécurité_du_système_d'information|sécurisation des systèmes d'informations]]
@@ Ligne 41: / Ligne 46: @@
    * [[http://www.ssi.gouv.fr/fr/bonnes-pratiques/|Les bonnes pratiques]] par [[http://www.ssi.gouv.fr/fr/anssi/presentation/|l'ANSSI]]
    * [[http://www.spyworld-actu.com/]]
-   * [[http://cerad.canalblog.com/archives/2008/09/23/10684469.html|blog spécialisé Défense et IE]]
+   * <del>[[http://cerad.canalblog.com/archives/2008/09/23/10684469.html|blog spécialisé Défense et IE]]</del> (Le Blog n'existe plus)
-   * et bien sûr, Google <del>reste votre ami</del> est un [[http://free.korben.info/index.php/Google|faux ami]].
+   * et bien sûr, Google <del>reste votre ami</del> est un [[http://free.korben.info/index.php/Google|faux ami]]. (ce lien n'est plus maintenu)
 ===== Notions avancées =====
@@ Ligne 50: / Ligne 55: @@
   * [[wpfr>Risques_en_sécurité_informatique|risques en sécurité informatique]].
-Ces articles sont assez complets et permettent d'entrevoir les problématiques liées à la sécurité informatique.
+Ces articles sont assez complets et permettent d'entrevoir les problématiques liées à la sécurité informatique. \\
 Entre autres notions de base expliquées dans les liens ci-dessus, voici les points les plus importants :
   * la sécurité comporte un aspect psychologique et un aspect objectif ;
-  * l'approche objective de la sécurité s'intéresse aux causes (anglais : security) et aux effets (anglais : safety) ;
+  * l'approche objective de la sécurité s'intéresse aux causes (anglais : causes) et aux effets (anglais : effects) ;
   * la notion de sécurité met en relation les milieux technique et humain : elle touche directement la formation des personnes ;
   * la sécurité augmente avec la connaissance et diminue avec l'ignorance : tout ce que je ne sais pas mais que les autres savent est un danger potentiel (paranoïa) ;
@@ Ligne 61: / Ligne 66: @@
 ===== Se protéger des attaques distantes =====
-Si votre ordinateur est connecté à Internet ou à un réseau :
+Quelques points si votre ordinateur est connecté à Internet ou à un réseau.
 ====Mettre à jour ses routeurs====
-<note important>**[[antivirus|Les virus]] sont aussi sur vos routeurs et BOX ADSL :**
+<note important>**[[:antivirus|Les virus]] sont aussi sur vos routeurs et BOX ADSL :**
-  * [[http://www.generation-nt.com/psyb0t-botnet-routeurs-linux-mipsel-dronebl-actualite-252981.html|Un ver se constitue un botnet de routeurs équipés Linux]] (psyb0t)
+  * [[https://www.generation-nt.com/psyb0t-botnet-routeurs-linux-mipsel-dronebl-actualite-252981.html|Un ver se constitue un botnet de routeurs équipés Linux]] (psyb0t)
   * [[http://www.pcworld.com/businesscenter/article/189868/chuck_norris_botnet_karatechops_routers_hard.html?tk=nl_bdx_h_crawl|Chuck Norris Botnet Karate-chops Routers Hard]] (chuck norris)
@@ Ligne 84: / Ligne 89: @@
 Voici une liste non exhaustive des principaux outils pour filtrer les connexions réseaux :
   * [[:ufw]] : est un utilitaire pour régler facilement le firewall
-     * [[:gufw]] : est l'application graphique de ufw
+     * [[:gufw]] : est l'application graphique de [[:ufw]] sous [[Gnome]];
-  * [[:iptables]] - Iptables, le firewall en ligne de commande pour Linux.
+     * [[https://projects.kde.org/projects/playground/sysadmin/ufw-kde|ufw-kde]] est l'application graphique de [[:ufw]] sous [[kde|KDE]];
-  * [[:tuxguardian]] : un firewall applicatif
+  * [[:iptables]] - Iptables, le firewall en ligne de commande pour Linux;
-  * [[:bastille]] : script offrant un pas-à-pas guidé pour configurer iptables facilement et d'autres options très intéressantes
+  * [[:lpfw|Leopard Flower]] : un firewall applicatif;
-  * [[:shorewall]] : un outil pour configurer plus facilement Netfilter.
+  * [[:shorewall]] : un outil pour configurer plus facilement Netfilter;
-  * [[:fail2ban]] : bloque les tentatives de connexions
+  * [[:fail2ban]] : bloque les tentatives de connexions;
-  * [[:snort]] : détection d'intrusions par règles
+  * [[:snort]] : détection d'intrusions par règles;
-  * [[Hosts]] : Blocage d'adresse dangereuse.
+  * [[Hosts]] : Blocage d'adresse dangereuse;
-  * [[Moblock]] : Blocage d'adresse dangereuse - chargement des listes peerguardian sur internet automatiquement.
+  * [[Moblock|PGLD]] : Blocage d'adresse dangereuse - chargement des listes peerguardian sur internet automatiquement;
-  * [[:denyhosts]] : bloque aussi les tentatives de connexions
+  * [[:denyhosts]] : bloque aussi les tentatives de connexions;
-  * [[Lire]] - Analyseur des fichiers log
+  * [[picviz|picviz]] - Analyseur des fichiers log sous forme de graphique.
-  * [[picviz|picviz]] - Analyseur des fichiers log sous forme de graphique
-==== Navigateur Firefox ====
+==== Navigateurs Web ====
+La plupart des navigateurs Web intègrent un gestionnaire de mots de passe. Si vous ne le protégez pas avec un mot de passe maître (ou principal), les mots de passe enregistrés seront accessibles en clair, à certains programmes et à toute personne ayant accès à votre navigateur.
-  * [[https://addons.mozilla.org/fr/firefox/addon/722|Noscript]] : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque). Détecte et empêche le [[wpfr>Cross-site_scripting|crossitescripting]], et améliore la sécurité des greffons flash, java (attention ce sont des greffons propriétaires)...
+Pour Firefox, vous pouvez ajouter les modules:
+[[https://addons.mozilla.org/fr/firefox/addon/ublock-origin/|UblockOrigin]] qui permet de bloquer notamment les publicités et certains cookies intrusifs.
+[[https://addons.mozilla.org/fr/firefox/addon/noscript/|NoScript Security Suite]], moins facile d'usage, ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque). \\
+Détecte et empêche le [[wpfr>Cross-site_scripting|crossitescripting]], et améliore la sécurité des greffons , java (attention ce sont des greffons propriétaires)...
 ==== Éviter la session super-utilisateur en mode graphique ====
-Un programme n'est pas à l'abri de failles de sécurité. Si une faille est présente, et que le programme est lancé en tant qu'utilisateur normal, dans le pire des cas, ce seront vos données personnelles qui seront endommagées. Par contre, si le programme est lancé en tant que super-utilisateur, une faille pourrait éventuellement permettre d'effectuer toutes les actions permises aux super-utilisateur (suppressions de fichiers systèmes, installation de programmes...).
+Un programme n'est pas à l'abri de failles de sécurité. \\
+Si une faille est présente et que le programme est lancé en tant qu'utilisateur normal, dans le pire des cas, ce seront vos données personnelles qui seront endommagées. \\
+Par contre, si le programme est lancé en tant que [[:sudo|super-utilisateur]], une faille pourrait éventuellement permettre d'effectuer toutes les actions permises aux super-utilisateurs (suppressions de fichiers systèmes, installation de programmes...).
-Un autre risque est celui d'une erreur humaine. Par exemple, si vous lancez [[Nautilus]] en [[sudo|super-utilisateur]], vous pouvez supprimer des fichiers systèmes, modifier n'importe quel fichier...
+Un autre risque est celui d'une erreur humaine. Par exemple, si vous lancez [[:Nautilus]] en [[:sudo|super-utilisateur]], vous pouvez supprimer des fichiers systèmes, modifier n'importe quel fichier...
-Ainsi, il est recommandé d'éviter de lancer les programmes graphiques en tant que super-utilisateur, quand cela peut être évité. À plus large échelle, il est fortement recommandé de ne jamais démarrer un [[:environnements|environnement de bureau]] ([[:gnome]], [[:kde]]...) en tant que super-utilisateur.
+Ainsi, il est recommandé d'éviter de lancer les programmes graphiques en tant que super-utilisateur, quand cela peut être évité. À plus large échelle, il est fortement recommandé de ne jamais démarrer un [[:environnements|environnement de bureau]] ([[:Gnome Shell]], [[:KDE]]...) en tant que super-utilisateur.
 ==== Désactiver le "Bureau à distance" ====
-Le "Bureau à distance" est une fonctionnalité permettant de contrôler graphiquement votre ordinateur de l'extérieur. Avoir cette fonctionnalité activée peut être dangereux, surtout si le mot de passe utilisé n'est pas suffisamment efficace. Un utilisateur malicieux pourrait alors prendre le contrôle de votre ordinateur (avec les droits d'utilisateur normal), et accéder à vos fichiers...
+Le "Bureau à distance" est une fonctionnalité permettant de contrôler graphiquement votre ordinateur de l'extérieur. \\
-Ainsi, il est conseillé de le désactiver lorsqu'il ne vous est pas utile.
+Avoir cette fonctionnalité activée peut être dangereux, surtout si le mot de passe utilisé n'est pas suffisamment efficace. \\
+Un utilisateur malicieux pourrait alors prendre le contrôle de votre ordinateur (avec les droits d'utilisateur normaux) et accéder à vos fichiers... \\
+Ainsi, il est conseillé de le désactiver lorsqu'il ne vous est pas utile.
-//Voir la page [[Bureau à distance]].//
+Voir la page [[:bureau_a_distance|Bureau à distance]].
-Pour ubuntu - gnome dans un terminal (option par défaut après installation d'ailleurs) :
+Pour le désactiver, entrez la commande suivante dans un [[:terminal]] : <code>gsettings set org.gnome.Vino enabled false
-<code>
-gconftool-2 -s -t bool /desktop/gnome/remote_access/enabled false
-</code>
-Depuis la version 12.04, gconftool-2 ne fonctionne plus pour ce paramètre (et pour d'autres), il faut donc utiliser la commande suivante:
-<code>
-gsettings set org.gnome.Vino enabled false
 </code>
 Vous pouvez mettre cette commande dans les programmes au démarrage, afin d'automatiser la dévalidation à la connexion.
 ====Sécuriser sa connexion internet sans fil (wifi) ====
-//Voir la page [[wifi]].//
+//Voir la page [[wifi]]//.
 ===== Sécuriser son réseau d'ordinateurs =====
 ====Antivirus (pour éviter d'infecter des postes Windows)====
-  * Les antivirus sous Ubuntu, **consulter "[[:antivirus|la page antivirus]]"**.
+**Consulter "[[:antivirus|la page dédiée aux antivirus]]"**.
 ====Logiciels ====
-  * [[:SSH]] : SSH permet de connecter une console distante sécurisée sur une autre machine.
+  * [[:SSH]] : SSH permet de connecter une console distante sécurisée sur une autre machine;
-  * [[:Openvpn]] : Installation du client OpenVPN (tunneling sécurisé sur IP)
+  * [[:Openvpn]] : Installation du client OpenVPN (tunneling sécurisé sur IP), tutoriel complet sur les possibilités de OpenVPN;
-      * [[:openvpn|Installation d'Openvpn]] : Tutoriel complet sur les possibilités de OpenVPN.
+  * [[:vpnc]]- Installation du client VPNC (compatible Cisco System);
-  * [[:vpnc]]- Installation du client VPNC (compatible Cisco System)
+  * [[:vpn#Protocole PPTP]] :  Installation de pptp dans le NetworkManager;
-  * [[:PPTP]] :  Installation de pptp dans le NetworkManager
+  * [[:openvas]] : Logiciel pour scanner les réseaux et les failles des terminaux présents sur le réseaux, clone libre du scanner réseau Nessus;
-  * [[:nessus]] : Logiciel pour scanner les réseaux et les failles des terminaux présents sur le réseaux
+  * [[http://nixgeneration.com/~jaime/netdiscover/|netdiscover]] : Outil actif/passif de découverte d'adresses réseaux utilisant des requètes ARP. [[:tutoriel:comment_installer_un_paquet|Installez le paquet]]  **[[apt>netdiscover]]**.
-  * [[:openvas]] : Le clone libre du scanner réseau Nessus.
-  * [[http://nixgeneration.com/~jaime/netdiscover/|netdiscover]] : Outil actif/passif de découverte d'adresses réseaux utilisant des requètes ARP. Son [[pu>netdiscover|paquet]] est disponible dans les [[:dépots]].
-//Voir aussi la page [[Réseau]].//
+//Voir aussi la page [[:Réseau]].//
 ====Sécuriser son serveur====
-  * Ce logiciel [[nikto]] contient des scripts déjà écrits et prêts à l'emploi (ce qui fait gagner un temps précieux), ainsi vous pourrez tester les failles de sécurité de votre site web.
+  * Ce logiciel [[:nikto]] contient des scripts déjà écrits et prêts à l'emploi (ce qui fait gagner un temps précieux), ainsi vous pourrez tester les failles de sécurité de votre site web.
 //Voir le portail [[Serveur#securite|Serveur]].//
@@ Ligne 155: / Ligne 161: @@
 ==== Isoler votre ordinateur via un réseau local ou une box ADSL====
-**Explication**:
+**Explication :** \\
-Sans cette méthode, votre ordinateur a une adresse IP qui est directement accessible depuis internet ce qui facilite amplement les attaques et vous rend vulnérable à celles les plus élaborées (notamment sous linux).
+Dans cette méthode, votre ordinateur a une adresse IP qui est directement accessible depuis internet ce qui facilite amplement les attaques et vous rend vulnérable à celles les plus élaborées (notamment sous linux). \\
-Cette méthode est simple et consiste à créer un réseau privé qui isole en partie (via des ports) vos ordinateurs par rapport à internet et pour l'appliquer, il s'appuie sur les box ADSL. En effet ces dernières comportent un mode routeur qui sépare en quelque sorte internet de votre propre réseau en vous attribuant des IP privées (192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8). En bref, toutes les requêtes provenant d'internet sont interceptées par votre box ADSL qui agit comme un tampon entre internet et vos ordinateurs.
+Cette méthode est simple et consiste à créer un réseau privé qui isole en partie (via des ports) vos ordinateurs par rapport à internet et pour l'appliquer, il s'appuie sur les box ADSL. En effet ces dernières comportent un mode routeur qui sépare en quelque sorte internet de votre propre réseau en vous attribuant des IP privées (192.168.0.0/16, 172.16.0.0/12 ou 10.0.0.0/8). \\
-Il suffit ensuite d'autoriser la redirection (forward) de ports pour certains logiciels (p2p, bittorent, ...) tel que [[aMule]], [[bitTorrent]] ou [[Transmission]].
+Toutes les requêtes provenant d'internet sont interceptées par votre box ADSL qui agit comme un tampon entre internet et vos ordinateurs. \\
+Il suffit ensuite d'autoriser la redirection (forward) de ports pour certains logiciels (p2p, bittorent, ...) tel que [[aMule]], [[bitTorrent]] ou [[Transmission]]. \\
-  * **Freebox ADSL**
+  * **Freebox ADSL** \\
 Voir [[freebox]] pour savoir ouvrir des ports de connexions.
@@ Ligne 173: / Ligne 180: @@
   * [[:droits|Explication sur les droits sous les systèmes Linux]]
-**Définitions**:
+**Définitions :**\\
   * [[:wiki:glossaire#acces_permissions|Glossaire : Accès et permissions]]
   * [[:wiki:glossaire#propriétaire|Glossaire : Propriétaire]]
@@ Ligne 179: / Ligne 186: @@
   * [[:wiki:glossaire#octale|Glossaire : Octale]]
-** Quelques outils **:
+** Quelques outils :** \\
   * [[:Sudo]] : Qu'est-ce que ''sudo'' ? Comment avoir des privilèges sans être root ?
   * [[apparmor]] : un outil qui permet de verrouiller les applications en limitant strictement leur accès aux seules ressources auxquelles elles ont droit sans perturber leur fonctionnement. Installation facile sur ubuntu, et mis à jour par canonical.
-  * [[https://secure.wikimedia.org/wikipedia/fr/wiki/SELinux|selinux]] :qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système basé sur Linux.
+  * [[https://fr.wikipedia.org/wiki/SELinux|SELinux]] : qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système basé sur Linux.
-==== Chiffrer (et non crypter !) ses données ====
+==== Chiffrer ses données ====
 Le chiffrement (la cryptographie) est une façon efficace de conserver et d'échanger des données sans que quiconque ne puisse les interpréter.
 === Chiffrer un disque ===
 Voir [[#chiffrer_un_disque_dur_ou_une_partition|ce chapitre]]
@@ Ligne 192: / Ligne 200: @@
 === Chiffrer des dossiers ===
-  * [[:encfs]] : Chiffrer des répertoires avec EncFS
+  * [[:encfs]] : Chiffrer des répertoires avec EncFS.
-  * Créer un dossier privé et chiffré dans le /home avec [[Ecryptfs]].
+  * Créer un dossier privé et chiffré dans le /home avec [[:Ecryptfs]].
+  * Créer une archive [[:Zip]] : sélectionner le dossier à chiffrer avec un clic-gauche, faire un clic-droit => Compresser, sélectionner le format .zip => cliquer sur la flèche à côté d'//Autres options//, écrire le mot de passe souhaité (à conserver précieusement ;-)) puis cliquer sur créer.
   * [[cryptsetup|Cryptsetup]].
-  * [[Truecrypt]]
+  * [[Veracrypt]] un outil de grande qualité, multi-plateforme, et qui a été développé sur base de Truecrypt et permet de créer un "conteneur" de fichiers chiffré très sûr et portable.
-=== Chiffrer des fichiers ===
+  * [[https://cryptomator.org/|Cryptomator]]((https://launchpad.net/~sebastian-stenzel/+archive/ubuntu/cryptomator)) logiciel libre multi-plateformes de chiffrement à la volée.
+=== Chiffrer des communications ===
   * [[:GnuPG]] : logiciel de chiffrement très utilisé pour les communications sécurisées
-  * [[:enigmail|Enigmail]] : logiciel de chiffrement et signature numérique de courriel pour Thunderbird
+  * [[:enigmail|Enigmail]] : logiciel de chiffrement et signature numérique de courriel pour Thunderbird (plus nécessaire ?)
+=== Chiffrement portable : chiffrer ses données n'importe où (compatibilité multi-os, sans privilèges administrateur) ===
+  * [[Peazip]] Ideal pour chiffrer ses dossiers professionel. Peazip est un outil de compression des données, mais qui permet de chiffrer les archives avec une clé AES-256 bit. Les versions portable (linux (i386, arm...), windows et Mac) sont téléchargeable sur le site officiel.
+  * Gpg4usb: logiciel de chiffrement basé sur [[GnuPG]]. Mais en version portable. Il est compatible avec Windows, Mac, et Linux, et ne pèse que quelque Mo. Un incontournable.
+  * [[Veracrypt]] Veracrypt est aussi disponible en mode portable pour windows et Linux/Mac (necessite possiblement les droit root à l'utilisation).
+  * Les applications Android : C'est du bricolage, mais les applications Android peuvent tourner dans [[:chromium-browser|Chromium]] ou google-chrome. L'astuce ici consiste à télécharger Chrome/Chromium en mode //portable// (sur Linux, le format portable est [[:appimage]]), ainsi que l'extension ARC-Welder (par exemple). Vous n'avez plus qu'à utiliser l'application de chiffrement Android de votre choix, n'importe où.
+ <note warning>Néanmoins, cette dernière méthode (celle utilisant une application Android) n'est pas recommandée car elle dépend de la sûreté de l'application Android sélectionné, et de la confidentialité de ARC-Welder. À utiliser à vos risques et périls.</note>
-==== Détruire définitivement un fichier====
+==== Effacer / Détruire définitivement un fichier ====
+^ Outil ^ Action ^ Dans la distribution ^
+| [[:shred]] | Détruire un **fichier** pour qu'il ne soit pas récupérable. | Oui , [[apt://coreutils|installer coreutils]] |
+| [[:wipe]] | Pour détruire un **dossier**, utiliser. | Oui, [[apt://wipe|installer wipe]] |
+| [[:nwipe]] | Pour effacer un **disque dur** sans qu'il ne soit récupérable. | Oui, [[apt://nwipe|installer nwipe]] |
+| [[:secure-delete]] | Contient plusieurs outils : \\ sdmem \\ sfill \\ srm \\ sswap | Oui, [[apt://secure-delete|installer secure-delete]] |
+| [[:dcfldd]] | Peut effacer un disque en utilisant un pattern | Oui, [[apt://dcfldd|installer dcfldd]] |
+| [[:bleachbit]] | Effacer des **fichiers** ,rendre l'**espace libre** irrécupérable. | Oui, [[apt://bleachbit|installer bleachbit]] |
+\\
+Il existe des extensions pour nautilus telle que apt://nautilus-wipe qui ajoute les entrées « Effacer en toute sécurité » et « Remplir l'espace vide de manière sécurisée » au menu accessible par le clic-droit.
+\\ \\
+[[https://korben.info/comment-faire-un-bon-menage-de-printemps-sur-son-disque-dur-sous-linux.html|tutoriel court et didactique sur la série d'outils Secure-Delete]], dont un des outils (sfill) permet notamment d'effacer réellement (en réécrivant par-dessus des données aléatoires en multiples passes) tout l'espace inutilisé du disque dur (c'est-à-dire notamment tous les fichiers et répertoires que l'utilisateur a déjà effacés "classiquement").
-  * [[:shred]] : Détruire un fichier pour qu'il ne soit pas récupérable. Pour détruire un dossier, utiliser [[:wipe]].
-Dans l'attente que les infos de cette section soient complétées par un autre contributeur, signalons un [[http://korben.info/comment-faire-un-bon-menage-de-printemps-sur-son-disque-dur-sous-linux.html|tutoriel court et didactique sur la série d'outils Secure-Delete]], dont un des outils (sfill) permet notamment d'effacer réellement (en réécrivant par-dessus des données aléatoires en multiples passes) tout l'espace inutilisé du disque dur (c'est-à-dire notamment tous les fichiers et répertoires que l'utilisateur a déjà effacés "classiquement").
 ===== Sauvegarder régulièrement ses fichiers =====
@@ Ligne 212: / Ligne 240: @@
 //Pour plus d'informations, consulter le portail [[sauvegarde]].//
 =====Bien gérer ses mots de passe=====
@@ Ligne 219: / Ligne 246: @@
   * [[:keepassx]] : génération, gestion et stockage sécurisé de mots de passe et autres données personnelles.
-  * [[http://keepass.info/|keepass2]] Un gestionnaire de mots de passe.
+  * [[:Seahorse]] est le logiciel de gestion de mots de passe par défaut d'Ubuntu.
+  * [[:keepassx#keepass2|keepass2]] Un gestionnaire de mots de passe qui tourne avec [[:mono]].
+  * [[:keepassx#keepassxc|KeepassXC]] Fork communautaire de keepassX
   * [[:pwgen]] : générer des mots de passe pour vos sessions
-  * [[revelation]] : Un gestionnaire de mots de passe.
+  * [[:revelation]] : Un gestionnaire de mots de passe.
+  * [[:pasaffe]] : Un gestionnaire de mots de passe.
+  * [[https://bitwarden.com/|Bitwarden]] : Un gestionnaire de mot de passe open source (peut également sauvegarder dans le cloud si vous préférez).
 ==== Choisir de bons mots de passe ====
-<note tip>Ce tutoriel est valable pour tous les mots de passe que vous pouvez avoir: au démarrage d'Ubuntu mais aussi votre messagerie mail, certains logiciels et certains sites internet.</note>
+<note tip>Ce tutoriel est valable pour tous les mots de passe que vous pouvez avoir : au démarrage d'Ubuntu mais aussi votre messagerie mail, certains logiciels et certains sites internet.</note>
-  * Un bon mot de passe contient au moins 8 caractères alphanumériques. Il est le plus aléatoire possible, c'est-à-dire qu'il contient des majuscules, des minuscules, des symboles, des chiffres et des caractères spéciaux. Le mot de passe ne doit pas pouvoir être trouvé dans un dictionnaire.
+=== Ressources ===
--> Déconseillé : Alice (nom) - Voiture (mot) - 12345 (combinaison "basique") - 12091990 (date de naissance)
+Méthode de choix de mots de passe plus particulièrement appliqué à la connexion de site internet.
+   * [[https://www.cnil.fr/fr/construire-un-mot-de-passe-sur-et-gerer-la-liste-de-ses-codes-dacces | Comment construire un mot de passe sûr]] : proposé par le site de la [[https://www.cnil.fr | CNIL]]
+   * [[https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/ | Calculer la « force » d’un mot de passe]] : sur le site de l'[[https://www.ssi.gouv.fr/ | ANSSI]]
--> Déjà mieux : gHnvKKpm (variation majuscules/minuscules, mais il manque les chiffres et les symboles)
+<note tip>Ci-dessous des éléments de méthodes de choix et d'organisation de ses mots de passe en prenant en compte les lieux de connexion en ligne et les matériels.</note>
--> Conseillé : ?ce5ght67! (variation lettres/chiffres/symboles)
+=== Principe ===
+  * Un bon mot de passe contient au moins 8 caractères alphanumériques. Il est le plus aléatoire possible, c'est-à-dire qu'il contient des majuscules, des minuscules, des symboles, des chiffres et des caractères spéciaux. Le mot de passe ne doit pas pouvoir être trouvé dans un dictionnaire.
+    *  -> Déconseillé : Alice (nom) - Voiture (mot) - 12345 (combinaison "basique") - 12091990 (date de naissance)
+    * -> Déjà mieux : gHnvKKpm (variation majuscules/minuscules, mais il manque les chiffres et les symboles)
+    * -> Conseillé : ?acE5Ght67! (variation majuscules/minuscules/lettres/chiffres/symboles)
   * Il est recommandé de changer de mot de passe régulièrement.
-  * De ne pas l'écrire autre part que dans son cerveau.
+  * <del>De ne pas l'écrire autre part que dans son cerveau.</del>
   * De ne pas utiliser le même mot de passe pour s'authentifier en des lieux différents.
-== Astuce ==
+=== Astuce ===
   * Pour se souvenir d'un mot de passe complexe on peut utiliser les premières lettres de chaque mot d'une poésie, d'un texte...
+    * -> « Lsldvdl'a. » : « Les sanglots longs des violons de l'automne. »
--> « Lsldvdl'a. » : « Les sanglots longs des violons de l'automne. »
+    * -> « L,jmscdbh. » : « Longtemps, je me suis couché de bonne heure. »
+    * -> « Tlm,jmlà8h. » : « Tous les matins, je me lève à 8 heures. »
--> « L,jmscdbh. » : « Longtemps, je me suis couché de bonne heure. »
--> « Tlm,jmlà8h. » : « Tous les matins, je me lève à 8 heures. »
   * Pour créer un mot de passe complexe facilement ( Pour le forum Ubuntu par exemple )
- - Prenez votre prénom : Frédéric\\
+  - Liste numérotéePrenez votre prénom : Frédéric\\
- - Supprimer les e : Frdric\\
+  - Supprimer les e : Frdric\\
- - Ajouter des chiffres ( "c" est la 3ème lettre dans l'alphabet, puis 4 pour suivre ) : Frdri34\\
+  - Ajouter des chiffres ( "c" est la 3ème lettre dans l'alphabet, puis 4 pour suivre ) : Frdri34\\
- - Ajouter un caractère spécial ( le fµ pour **f**orum **U**buntu )  : Frdri34fµ\\
+  - Ajouter un caractère spécial ( le fµ pour **f**orum **U**buntu )  : Frdri34fµ\\
  Résultat : quelques années pour craquer ce mot de passe facile à mémoriser.
-== Le truc des « bases » ==
+=== L'astuce dite de la méthode des « bases » ===
-Pour mieux diversifier ses mots de passe et s'en souvenir facilement, on peut avoir recours à la technique des « bases ». Par principe, chacune de ces bases sera utilisée selon le contexte d'identification : une pour votre OS, une pour verrouiller le matériel (BIOS), une autre pour le web et comptes messageries instantanées ou non, un dernier pour allonger le tout ou l'utiliser en dépannage.
-Le but et l'avantage étant de pouvoir ensuite cumuler les bases pour obtenir une super passe-phrase, donc plus de sécurité si nécessaire. La mémorisation de petites sections est d'autant plus facile qu'on les utilise indépendamment et couramment.
+Pour mieux diversifier ses mots de passe et s'en souvenir facilement, on peut avoir recours à la technique des « bases ». \\
+Par principe, chacune de ces bases sera utilisée selon le contexte d'identification : \\
+  - Liste numérotée une pour votre OS \\
+  - Une pour verrouiller le matériel (BIOS) \\
+  - Une autre pour le web et comptes messageries instantanées ou non \\
+  - Un dernier pour allonger le tout ou l'utiliser en dépannage. \\
-Pour être encore plus sûr, tout en étant facilement mémorisable, on ajoute des //variables// et des //séparateurs// : un séparateur sera inséré entre chaque //base// et sa //variable// s'il y en a. Ainsi vous avez des repères logiques et des //contextes// où appliquer ces mots de passe, fluctuants, mais bien structurés pour vous.
+L'objectif et l'avantage est de pouvoir ensuite cumuler les bases pour obtenir une super passe-phrase, donc plus de sécurité si nécessaire. \\
+La mémorisation de petites sections est d'autant plus facile qu'on les utilise indépendamment et couramment.
-Par exemple :
+Pour être encore plus sûr, tout en étant facilement mémorisable, on ajoute des //variables// et des //séparateurs// : un séparateur sera inséré entre chaque //base// et sa //variable// s'il y en a. \\
+Ainsi vous avez des repères logiques et des //contextes// où appliquer ces mots de passe, fluctuants, mais bien structurés pour vous.
-**Base 1 [moi]** : 8-12 caractères. C'est votre mot de passe courant par exemple une citation ou un acronyme comme expliqué plus haut.
+Par exemple : \\
+**Base 1 [moi] :** 8-12 caractères. C'est votre mot de passe courant pour votre OS. Par exemple une citation ou un acronyme comme expliqué plus haut.
 + séparateur(s) (dièse, arobase, astérisque, virgule, parenthèse, point d'interrogation, etc.)
-**Base 2 [mon matos]** : 4-6 caractères. C'est le mot de passe bref pour, par exemple, votre BIOS. Choisissez-le bien : on y va rarement tous les jours, à moins de verrouiller le poste. Dans ce cas, ce ne doit pas être le même...
+**Base 2 [mon matos] :** 4-6 caractères. C'est le mot de passe bref pour, par exemple, votre BIOS. \\
+Choisissez-le bien : on y va rarement tous les jours, à moins de verrouiller le poste. \\
+Dans ce cas, ce ne doit pas être le même...
 + séparateur
-**Base 3 [les tiers]** : 6-8 caractères. Votre mot de passe web (plus variantes : voir plus bas).
+**Base 3 [les tiers] :** 6-8 caractères. \\
+Votre mot de passe web (plus variantes : voir plus bas).
 + séparateur
-**Base 4 [pré carré]** : 6-10 caractères ou plus. Un mot de passe numérique, facile à retenir, mais avec l'insertion de séparateurs (exemple : date de naissance « 13:06:1924:8h », date historique « Marignan:1515 »). Cette base est uniquement destinée à allonger les trois autres en passe-phrases, mais ne doit jamais être utilisée seule sans //variables//.
+**Base 4 [pré carré] :** 6-10 caractères ou plus. Un mot de passe numérique, facile à retenir, mais avec l'insertion de séparateurs (exemple : date de naissance « 13:06:1924:8h », date historique « Marignan:1515 »). \\
+Cette base est uniquement destinée à allonger les trois autres en passe-phrases, mais ne doit jamais être utilisée seule sans //variables//.
 **Cas de la base 3**
-Méfiez vous des sites web qui, à la souscription, vous confirment par mail l'ouverture de votre compte et y indique votre mot de passe en clair. Il vaut mieux éviter d'utiliser toujours le même... ou mieux, d'en donner un simple genre 12345678 puis de changer cela ensuite.
+Méfiez vous des sites web qui, à la souscription, vous confirment par mail l'ouverture de votre compte et y indique votre mot de passe en clair. \\
+Il vaut mieux éviter d'utiliser toujours le même... Ou mieux, d'en donner un simple genre 12345678 puis de changer cela ensuite.
-Il est recommandé d'ajouter une sécurité supplémentaire à cette base 3 : par exemple des caractères extraits du nom de domaine du site (invariant). Un mot de passe sur un compte du forum.ubuntu-fr.org peut devenir monpasseweb%FURO. Ainsi les mots de passe sont faciles à mémoriser et toujours différents...
+Il est recommandé d'ajouter une sécurité supplémentaire à cette base 3 : par exemple des caractères extraits du nom de domaine du site (invariant). \\
+Un mot de passe sur un compte du forum.ubuntu-fr.org peut devenir monpasseweb%FURO. Ainsi les mots de passe sont faciles à mémoriser et toujours différents...
 Pour le changement de mot de passe, on peut choisir de lire à l'envers monpasseweb%ORUF ou n'utiliser que les consonnes, etc.
-== En résumé ==
+=== En résumé ===
   * Vous pouvez utiliser couramment **base1**.
-  * Vous pouvez utiliser **base1 + séparateur + base2** comme super mot de passe (compte administrateur).
+  * Vous pouvez utiliser **base1 + séparateur+ base2** comme super mot de passe (compte administrateur).
   * Vous pouvez utiliser **Base3 et une variable** comme mot de passe avec les tiers.
   * Vous pouvez utiliser la **Base4 et une variable** comme mot de passe confié ponctuellement à une connaissance.
   * Vous pouvez utiliser l'ensemble des bases avec leur séparateur pour une passe-phrase de plus de 40 caractères.
-Évitez de changer plus d'une base à la fois ainsi que de modifier les séparateurs, ils sont structurants. Si vous avez un doute sur la confidentialité d'une base, ajoutez seulement le séparateur suivant et si vous voulez, la base suivante !
+Évitez de changer plus d'une base à la fois ainsi que de modifier les séparateurs, ils sont structurants. \\
+Si vous avez un doute sur la confidentialité d'une base, ajoutez seulement le séparateur suivant et si vous voulez, la base suivante !
-Bien entendu il faut personnaliser tout cela et que cela corresponde à votre logique. Gardez seulement le principe des bases, des séparateurs et des variantes. Le tout bien structuré et chaque partie mémorisée et contextualisée empêchera tout voyeur de faire comme dans les films : craquer votre login en vingt secondes avec le nom du chien.
+Bien entendu il faut personnaliser tout cela et que cela corresponde à votre logique. Gardez seulement le principe des bases, des séparateurs et des variantes. \\
+Le tout bien structuré et chaque partie mémorisée et contextualisée empêchera tout voyeur de faire comme dans les films : craquer votre **login** en vingt secondes avec le nom du chien.
 ==== Éviter les utilisateurs sans mot de passe ====
@@ Ligne 304: / Ligne 354: @@
 **Risque**: il est possible de supprimer tout mot de passe sur un compte utilisateur, en
   * cochant l'option "connexion automatique" dans le cas d'un utilisateur unique
-  * ou dans le cas d'utilisateurs multiples en éditant le fichier /etc/passwd et supprimer le deuxième champ dans les lignes pour les utilisateurs concernés, afin que les lignes commencent par l'identifiant, puis :: (sans rien entre les 2 deux points). Pour se connecter il suffira d'appuyer sur entrée à la demande du mot de passe (mot de passe vide). Ceci peut être pratique par exemple dans le cas d'un système multi-utilisateur lorsque ceux ci ne veulent pas se connecter avec un mot de passe.
+  * ou dans le cas d'utilisateurs multiples en éditant le fichier /etc/passwd et supprimer le deuxième champ dans les lignes pour les utilisateurs concernés, afin que les lignes commencent par l'identifiant, puis :: (sans rien entre les 2 deux points). \\
+Pour se connecter il suffira d'appuyer sur entrée à la demande du mot de passe (mot de passe vide). \\
+Ceci peut être pratique par exemple dans le cas d'un système multi-utilisateur lorsque ceux ci ne veulent pas se connecter avec un mot de passe.
-**Solution**: ne pas supprimer le mot de passe sur un compte utilisateur.
+**Solution :** ne pas supprimer le mot de passe sur un compte utilisateur. \\
-**Solution alternative**: si vous avez un compte utilisateur sans mot de passe, attention à supprimer tout accès à distance à la machine pour limiter les risques d'intrusions, et empêcher tout intrus d'avoir un accès physique à la machine.
+**Solution alternative :** si vous avez un compte utilisateur sans mot de passe, attention à supprimer tout accès à distance à la machine pour limiter les risques d'intrusions, et empêcher tout intrus d'avoir un accès physique à la machine.
 ===== Se protéger des attaques locales (physiques) =====
@@ Ligne 317: / Ligne 369: @@
 Pour empêcher un intrus de vider la mémoire du BIOS (et donc la protection par mot de passe) en ouvrant l'unité centrale, puis booter sur un live-CD ou live-USB (ce qui lui confère un équivalent des droits //root// sur la machine), il faut :
-  * Premièrement, rendre difficile l'accès physique à la machine (salle fermée et surveillée par exemple pour une entreprise)
+  * Premièrement, rendre difficile l'accès physique à la machine (salle fermée et surveillée par exemple pour une entreprise) \\
-  * Deuxièmement, rendre difficile à un intrus d'ouvrir la machine (cadenas sur l'unité centrale par exemple)
+  * Deuxièmement, rendre difficile à un intrus d'ouvrir la machine (cadenas sur l'unité centrale par exemple) \\
 ==== Sécuriser le démarrage de l'ordinateur (BIOS) ====
-Pour empêcher un intrus de changer l'ordre de boot pour démarrer sur un live-CD ou live-USB par exemple (ce qui lui confère un équivalent des droits //root// sur la machine), il suffit de mettre un mot de passe au BIOS.
+Pour empêcher un intrus de changer l'ordre de boot pour démarrer sur un live-CD ou live-USB par exemple (ce qui lui confère un équivalent des droits //root// sur la machine), il suffit de mettre un mot de passe au BIOS. \\
 Pour cela, il faut trouver "Administrator password" ou "password" dans le menu du BIOS (l'interface change suivant les cartes-mères) et définir un mot de passe.
-**Remarque :** Il faudra aussi empêcher les intrus d'ouvrir la machine car la majorité des cartes-mères sont équipées d'un petit cavalier, en général à coté de la pile du BIOS, qui permet de « remettre à zéro » tout ce qui a été paramétré au niveau du BIOS, y compris le mot de passe.
+**Remarque :** Il faudra aussi empêcher les intrus d'ouvrir la machine car la majorité des cartes-mères sont équipées d'un petit cavalier, en général à coté de la pile du BIOS, qui permet de « remettre à zéro » tout ce qui a été paramétré au niveau du BIOS, y compris le mot de passe. \\
 Parfois, le simple fait de retirer la pile du BIOS pendant plusieurs secondes aboutit au même résultat.
 ==== Sécuriser le démarrage d'Ubuntu (GRUB) ====
 == 1ère méthode ==
-**Risque:**
+**Risque :**
-Par défaut, le logiciel chargeur de système [[:Grub]] inclut dans la liste des choix de système Ubuntu en //Recovery mode//.
+Par défaut, le logiciel chargeur de système [[:Grub]] inclut dans la liste des choix de système Ubuntu en //Recovery mode//. \\
-Sur un ordinateur isolé (= sur lequel la gestion d'accès est gérée localement et non pas par un serveur) il suffit de choisir cette option pour profiter des droits root sur la machine, sans avoir à montrer patte blanche (pas de nécessité de mot de passe pour accéder aux droits administrateurs) !
+Sur un ordinateur isolé (= sur lequel la gestion d'accès est gérée localement et non pas par un serveur) il suffit de choisir cette option pour profiter des droits root sur la machine, sans avoir à montrer patte blanche (pas de nécessité de mot de passe pour accéder aux droits administrateurs) ! \\
-**Solution:** empêcher un intrus de démarrer votre ordinateur en mode recovery.
+**Solution :** empêcher un intrus de démarrer votre ordinateur en mode recovery. \\
-Pour cela, [[:tutoriel:comment éditer un fichier|éditer le fichier]] « /boot/grub/menu.lst », au choix:
+Attention, la solution dépend de la version de grub ( ie **grub** vs **grub2** qui est maintenant déployé par défaut )
-Mettre un mot de passe à GRUB pour les opérations de modification d'une entrée:
+== Pour GRUB 1  ( <= 0.97 ) ==
+Pour cela, [[:tutoriel:comment éditer un fichier|éditer le fichier]] « /boot/grub/menu.lst », au choix : \\
+Mettre un mot de passe à GRUB pour les opérations de modification d'une entrée :
 <file>
@@ Ligne 355: / Ligne 410: @@
 <file>password "votre mot de passe"</file>
-pour obtenir le hash md5 d'un mot de passe utilisez la commande :
+Pour obtenir le hash md5 d'un mot de passe utilisez la commande :
 <code>grub-md5-crypt</code>
@@ Ligne 362: / Ligne 417: @@
 <file>
 ## altoption boot targets option
 ## multiple altoptions lines are allowed
 ## e.g. altoptions=(extra menu suffix) extra boot options
@@ Ligne 371: / Ligne 426: @@
 ou
-faire que ces entrées soient protégées par mot de passe.
+Faire que ces entrées soient protégées par mot de passe.
 <file>
 ## should update-grub lock alternative automagic boot options
@@ Ligne 379: / Ligne 434: @@
 </file>
-puis, mettre à jour GRUB :
+Puis, mettre à jour GRUB :
   sudo update-grub
+=== Pour Grub 2 ( version >= 1.98 ) ===
+L'idée est d'empêcher un utilisateur ayant la possibilité de redémarrer votre machine et d’accéder à grub puisse réinitialiser votre mot de passe et accéder à vos données sans même avoir à démonter le disque de votre machine, la procédure est tellement courante qu'elle fait l'objet d'un tutoriel : https://doc.ubuntu-fr.org/tutoriel/comment_changer_son_mot_de_passe_principal \\
+Grub2 ( version > 1.98 ) est vraiment plus configurable que Grub1 ( version <= 0.97 ) \\
+Mais cela va aussi avec deux niveaux de générations de scripts (bash, sh) utilisant le contenu de /etc/grub.d/ et /etc/default/grub pour générer un  /boot/grub/grub.cfg avec la commande sudo update-grub. \\
+Donc toutes les modifications faites à la main dans grub.cfg seront perdues à chaque mise à jour, c'est pourquoi il faut ajouter les modifications dans des sources utilisée pour la génération. \\
+Il est possible avec grub2 d'entrer en mode commande ou d"éditer les entrées, ainsi tout devient possible et il est très facile de devenir root, même sans utiliser le recovery-mode. \\
+Ce que je propose ici est de mettre un mot de passe pour l'utilisation des modes editions 'e' et commande 'c' de grub. \\
+L'idéal serait de disposer d'un script... ce que je vous propose plus bas. \\
+En attendant en se basant sur https://www.justegeek.fr/proteger-ledition-du-grub-avec-mot-de-passe/ en français ( et des commentaires de ce post ) on peut avancer. \\
+Personnellement j'ai décidé de créer un fichier /etc/grub.d/00_security_header \\
+Qui contient :
+<file>
+#! /bin/sh
+cat <<EOF
+# Password
+set superusers="ubuntufr"
+password_pbkdf2 ubuntuffr grub.pbkdf2.sha512.10000.92491FF0E518FFB426EEEFFD33A9506CE8F8F70DAFA4669EDB58C13DC8BEC65EB95BD306F62CD360E8C7B20D5EB0B61B1A45D60A5779168584D7A60134C29079.671C3CFA286229CAF7C561232EFC70549BFFE4F20B34E376830769CCB647569F9504CAA3948F11C96DBBA574EC47B8DA42972E41E7A6F1501188BFE84A45455E
+set menuentry_id_option="--unrestricted \$menuentry_id_option"
+EOF
+</file>
+Puis on donne les droits en exécution dessus :
+   sudo chmod +x /etc/grub.d/00_security_header
+Nous exécutons update-grub :
+   sudo update-grub
+Pour une raison non déterminée, les droits du fichier généré /boot/grub/grub.cfg ne sont pas bons. \\
+Il faut donc faire ceci :
+   chmod 444 /boot/grub/grub.cfg
+Le contenu grub.pbkdf2 correspond ici au mot de passe 'test' et a été généré à l'aide du programme grub-mkpasswd-pbkdf2
+Voici un script qui doit faire le boulot, j'en suis l'auteur donc vous pouvez en faire ce que bon vous semble mais sans garantie aucune autre que le fait que je l'ai utilisé sur ma machine et que cela a marché ( Ubuntu 16.04.1 LTS 64 bits avec grub 2.02~beta2-36ubuntu3.2 ).
+<file>
+#!/bin/bash
+usage()
+{
+    echo "Creating a grub password to protect grub menu from edition at boot"
+    echo "Basé sur https://www.justegeek.fr/proteger-ledition-du-grub-avec-mot-de-passe/ (french)"
+    echo "With help from https://help.ubuntu.com/community/Grub2/Passwords"
+}
+create_private_dir()
+{
+    if [[ -d ~/.grubedit ]]
+    then
+	echo "~/.grubedit already exists"
+    else
+	mkdir ~/.grubedit
+    fi
+}
+create_stamp_if_not_set()
+{
+    if [[ -z $stamp ]]
+    then
+	stamp=$(date +%d%m%Y%H%M%S)
+	# guess why
+	sleep 1
+    fi
+}
+private_grub_backup()
+{
+    cp /boot/grub/grub.cfg ~/.grubedit/grub.cfg.$stamp.backup
+    cp /etc/grub.d/00_security_header  ~/.grubedit/00_security_header.$stamp.backup
+}
+update_header_with_password()
+{
+    LANG=C grub-mkpasswd-pbkdf2 | {
+	echo "Entrez le mot de passe deux fois"
+    while read LINE
+    do
+	if [[ $LINE =~ (grub\.pbkdf2\..*) ]]
+	then
+	    PDKDF2=${BASH_REMATCH[1]}
+	    echo "see $OUTFILE"
+	    cat <<EOFE >$OUTFILE
+#! /bin/sh
+cat <<EOF
+# Password
+set superusers="$USER"
+password_pbkdf2 $USER $PDKDF2
+set menuentry_id_option="--unrestricted \\\$menuentry_id_option"
+EOF
+EOFE
+	fi
+    done
+    }
+    if [[ -f $OUTFILE ]]
+    then
+	sudo cp $OUTFILE $OUTSYSFILE
+	sudo chmod a+x $OUTSYSFILE
+	sudo update-grub
+	# looks weird, but when addding a script this had an impact on generated permissions
+	sudo chmod 444 /boot/grub/grub.cfg
+    else
+	echo "[ERROR] no security password grub file generated ( $OUTFILE does nor exists )" >&2
+    fi
+}
+remove_security_password()
+{
+    if [[ -n $OUTSYSFILE ]]
+    then
+	echo "Suppression de $OUTSYSFILE"
+	sudo rm $OUTSYSFILE
+    fi
+}
+create_private_dir
+create_stamp_if_not_set
+OUTFILE=~/.grubedit/00_security_header.$stamp.new
+OUTSYSFILE=/etc/grub.d/00_security_header
+while [[ $# > 0 ]]
+do
+    case $1 in
+	remove)
+	    remove=1
+	    break
+	    ;;
+	create)
+	    create=1
+	    break
+	    ;;
+	help)
+	    usage
+	    exit 0
+	    break
+	    ;;
+	*)
+	    echo "[ERROR] unrecognized option $0" >&2
+	    exit 1
+	    ;;
+    esac
+    shift
+done
+private_grub_backup
+if [[ $remove == 1 ]]
+then
+    remove_security_password
+    sudo update-grub
+else
+    update_header_with_password
+fi
+echo "Fait"
+</file>
+Sauvez-le dans un fichier createagrubpasswd.sh
+Pour le lancer il faut d'abord le rendre exécutable pour  tous :
+   chown u+x  ./createagrubpasswd.sh
+Puis nous exécutons le script :
+   ./createagrubpasswd.sh
+Entrez le mot de passe en validant avec entrée, et refaites le une seconde fois pour vous assurer de ne pas avoir fait une faute de frappe.\\
+Au prochain redémarrage, si vous désirez édtier le menu de grub ( 'e' ) ou entrer en ligne de commande ( 'c' ) l'utilisateur, votre utilisateur courant vous sera demandé et le mot de passe que vous avez choisi. \\
+Pour supprimer ce que vous venez de mettre en place relancez le script avec l'option remove
+    ./createagrubpasswd.sh remove
+Remarque pour protéger toutes les entrées toujours avec le même mot passe, il suffit de commenter la ligne contenant --unrestricted dans le script.
 == 2ème méthode ==
@@ Ligne 390: / Ligne 633: @@
   * [[:partition_chiffree|Créer une partition chiffrée]]
   * [[wp>cryptoloop|Partition chiffrée avec cryptoloop]].
-  * [[Truecrypt]]: logiciel libre de chiffrement à la volée, fonctionnant sur Windows, Mac OS X et Linux. Il permet de créer un disque virtuel chiffré contenu dans un fichier et de le monter comme un disque physique réel. Il peut aussi chiffrer une zone d'une partition ou une partition entière ou un périphérique, comme une disquette ou une clé USB.
   * un tutoriel pour [[:tutoriel/chiffrer_son_disque|chiffrer son disque]] en utilisant [[:cryptsetup|DM-crypt]] et [[:LVM]]
+  * Chiffrez aisément vos répertoires avec [[:EncFS]].
-==== Sécuriser GDM ====
-http://library.gnome.org/admin/gdm/stable/configuration.html.fr#securitysection
 ==== Sécuriser son Bluetooth====
-//Voir la page [[Bluetooth]].//
+//Voir la page [[:Bluetooth]].//
 ==== Logiciel antivol====
-Si vous utilisez la connexion automatique, et que vous craignez de vous faire voler votre ordinateur, il peut être intéressant d'utiliser le logiciel [[http://sebsauvage.net/pombo/index.fr.html|Pombo]] qui vous aidera à récupérer votre ordinateur en cas de vol.
+Si vous utilisez la connexion automatique et que vous craignez de vous faire voler votre ordinateur, il peut être intéressant d'utiliser le logiciel [[https://sebsauvage.net/pombo/index.fr.html|Pombo]] qui vous aidera à récupérer votre ordinateur en cas de vol.
-Voir aussi le logiciel [[http://preyproject.com/|Prey]] qui propose la même chose sans avoir a installer de serveur
+Voir aussi le logiciel [[https://preyproject.com/|Prey]] qui propose la même chose sans avoir a installer de serveur
 ====Vidéo-surveillance / détecteur de mouvements====
-  * [[Zoneminder]], [[http://cserv.sourceforge.net/|Camserv]] : solutions opensource de vidéo-surveillance
+  * [[:Zoneminder]], [[http://cserv.sourceforge.net/|Camserv]]; solutions opensource de vidéo-surveillance;
-  * [[Motion]] : détecteur de mouvements
+  * [[:Motion]] : détecteur de mouvements;
-  * [[Camorama]] : permet de prendre une photo toutes les x minutes
+  * Voir [[https://forum.ubuntu-fr.org/viewtopic.php?pid=3702914|cette discussion]].
-  * Voir [[http://forum.ubuntu-fr.org/viewtopic.php?pid=3702914|cette discussion]]
-Voir [[videosurveillance]]
+//Voir [[:videosurveillance|Vidéo-surveillance]].//
 ===== Restreindre les actions des utilisateurs de votre machine =====
@@ Ligne 422: / Ligne 660: @@
 ====Restreindre les horaires de connexion====
-  * [[tutoriel:restrictions_horaires|Les restrictions horaires sous Linux]]: empêcher des utilisateurs de se connecter à leur session à des horaires choisis.
+  * [[:tutoriel:restrictions_horaires|Les restrictions horaires sous Linux]]: empêcher des utilisateurs de se connecter à leur session à des horaires choisis.
 ===== Préserver son anonymat sur internet=====
-<note important>L'anonymat sur internet est un mythe. On peut seulement limiter les possibilités d'être identifié.</note>
-  * [[:Proxy]] : connexion anonyme à Internet par serveur mandataire
+Voir la page dédiée à l'[[:anonymat]].
-  * [[:TOR]] : connexion anonyme à Internet
 ===== Chiffrer et authentifier ses conversations sur messagerie instantanée=====
@@ Ligne 439: / Ligne 676: @@
 Pour cela vous pouvez utiliser ces outils :
    * Réseau :
-      * [[nessus]]
+      * [[:openvas]]
-      * [[openvas]]
+      * [[https://nmap.org/man/fr/|nmap]]
-      * [[http://nmap.org/man/fr/|nmap]]
+   * [[:kalilinux|Les outils de la distribution Kali-Linux, compatible avec Ubuntu]].
-   * [[backtrack|Les outils de la distribution backtrack 4, compatible avec ubuntu]].
 =====Liens=====
-  * Discussion sur le forum ubuntu-fr : "[[http://forum.ubuntu-fr.org/viewtopic.php?pid=2849108|Sécuriser mon PC]]"
+  * Discussion sur le forum ubuntu-fr : "[[https://forum.ubuntu-fr.org/viewtopic.php?pid=2849108|Sécuriser mon PC]]"
-  * Notifications de sécurités pour Ubuntu : "[[http://blogs.media-tips.com/bernard.opic/category/ubuntu-security-notices/|Les « Ubuntu Security Notices » en français]]"
+  * Notifications de sécurités pour Ubuntu : "[[https://usn.ubuntu.com/usn|Ubuntu Security Notice]]"
 ===== Liste des pages sur la sécurité =====
@@ Ligne 453: / Ligne 688: @@
 ----
-//Contributeurs : Reneca.//
+//Contributeurs : Reneca et [[utilisateurs:Judibet|Judibet]].//