Ubuntu-fr

eme

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Quelqu'un peut me dire comment et où retrouver tous les mots de passe utilisés sous ubuntu et sous pidgin?
Merci

---

Avant de digiter un deb ou un sudo il faudrait lire attentivement 6 chapitres d'instruction deux fois de suite. (proverbe personnel) ... mais heureusement qu'il y a le forum !!
Sans Dieu le monde est une histoire racontée par un fou, pleine de sons et de bruits et sans aucun sens. Macbeth

®om

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Quelqu'un peut me dire comment et où retrouver tous les mots de passe utilisés sous ubuntu et sous pidgin?
Merci

Pour pidgin :

grep password ~/.purple/accounts.xml

---

®om's blog

Pacifick_FR42

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Tiens ? on déterre les cadravres... ? lol
Cela dit, ça permet de fair le point...!
Alors :
1) Mot de passe Pidgin en clair : /$HOME/.purple/accounts.xml
2) Tous les mot de Passe sauvgarder par Firefox dans signons2.txt et key3.db
3) L'applet "mail-notification" stock les MDP des comptes courriers en clair...
4) ... Je n'ai pas fais le toure des tous les soft (Navigateur, Client Mail, etc...)
Conclusion, on pourrait peut-etre approfondire le sujet avec Opera, Konqueror, d'autre Applet de Notification... etc...

En contre partie, un user ne fesant pas partie du groupe admin n'a pas accés à la commande sudo...
Mouais... en revanche n'importe qui, avec une clef usb ou un cd live peut démarrer n'importe quelle machine en bootant dessus... Sans laisser la moindre Trasse de sont passage !!
A moins de configurer le bios pour qu'il boot sur le HDD en esclusivité (pas tjrs possible) et de vérouiller la toure avec un cadenas !!!

Donc, niveau sécurité, pas dutout top (je n'ai pas le souvenir que des MDP sous w$ soient en clair...)

En conclusion : Utiliser que des Softs "sécurisés" un minimum, particulièrement pour les machines multiutlisateurs, car la commande sudo, n'est absolument pas un gage de sécurité pour quiconque à acces physiquement à une machine.
Deplus un utilisateur qui ne peut rien installer sur sa session, c'est pas top, pas plus qu'il est accés à tous si on lui donne l'accés à sudo, on pourrai aussi creuser ce sujet.
Est-ce que le crypatge de partition (dans ce cas le /home) serait un début de réponse ?
Perso, je n'ai pas testé, j'évite les manip que je ne maitrise pas sur les partitions....
Quelqu'un à une réponse ?

Legoboy

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Pour les applications KDE, c'est Kwallet qui gère les mots de passe.

C'est dommage qu'il n'y ai pas un système similaire sur Gnome...

®om

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Pour les applications KDE, c'est Kwallet qui gère les mots de passe.

C'est dommage qu'il n'y ai pas un système similaire sur Gnome...

Bah si, il y en a un (trousseau de clés seahorse), c'est juste que pidgin ne l'utilise pas.

---

®om's blog

eme

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Je travaille actuellement avec ubuntu 9.04 et je voudrais étudier kubuntu. Est-ce que je peux l'installer sur ma clé u3 smart 8 GB? Comment dois-je procéder?
Merci pour votre aide

---

Avant de digiter un deb ou un sudo il faudrait lire attentivement 6 chapitres d'instruction deux fois de suite. (proverbe personnel) ... mais heureusement qu'il y a le forum !!
Sans Dieu le monde est une histoire racontée par un fou, pleine de sons et de bruits et sans aucun sens. Macbeth

Pacifick_FR42

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Aucun rapport avec ce poste...

Swuaty

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Il suffit de mettre un mots de passe bios tout simplement et les problémes de sécurité seront réglé, si ce n'est
pas un pc multiuser.

pef

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Bonjour à tous !
Tout est dans le titre..
En effet, dans le répertoire /$HOME/.purple/accounts.xml, le mot de passe est afficher en clair !!
Pour AMSN, meme profile, mais là le mot de passe est crypter... hummm... est-ce que quelqu'un sait si c'est "facile" à décrypter ? ou bien est-ce assez sécurisé ?

Après avoir étudié le code source d'Amsn je peux affirmer que non, ce n'est pas sécurisé du tout, c'est presque aussi simple de retrouver le mot de passe que s'il était en clair.

Le chiffrement utilisé est DES.
Dans le fichier config.xml les 7 premiers caractères de l'élément 'login' sont utilisés comme clé sur le mot de passe msn.
Comme la clé est connue, il est très facile de déchiffrer le mot de passe contenu dans l'élement 'encpassword', j'ai testé et vérifié cela.

Bref, comme le mentionnent les développeurs de Pidgin
http://developer.pidgin.im/wiki/PlainTextPasswords

This is security by obscurity, and is a Very Bad ThingTM in that it gives users a false sense of security (...)

Si une autre personne a accès à ce fichier, elle aurai aussi accès au mot de passe. Aucun gain de sécurité par ce chiffrement inutile.

Compte supprimé

Re : Pidgin Mot de passe en clair dans /.purple/accounts.xml...

Bonjour,
je rouvre ce post pour remercier Pacifick_FR42 grâce à qui j'ai retrouvé mon mot de passe pour le transférer entre plusieurs machines sans passer par la redéfinition d'un mot de passe jabber nécessitant de mettre à jour toutes les machines.

Je ne sais pas si c'est un réel problème que le détenteur des droits sudo puisse lire le mot de passe en clair, car le détenteur des droits sudo pourra quand même lire le mot de passe chiffré, donc finir par le lire s'il s'acharne dessus, non ?

Puis il parait que plus l'armure est solide, plus puissant est l'obus...

Dernière modification par Compte supprimé (Le 13/10/2011, à 08:38)