@amaelle_g forgot to link to https://github.com/mjg59/tpmtotp

@oliof What I don't get is: what can be tampered with when HD is fully encrypted & /boot is on an external USB stick?

@amaelle_g it would still be possible to intercept the passphrase by man-in-the-middling the bootup phase/putting something between your usb stick and the disk to unlock (for example by modifying the firmware on your mainboard). The TPM measuring method protects against that.

@22Decembre Jamais testé la Yubikey, en fait, je connais pas les fonctionnalités du truc, c pour ça que je demande

@amaelle_g Alors en fait, la yubikey, c'est un outil (token) d'authentification.

Tu as un login + passwd + token (qui te fournis en fait un passwd à usage unique) - au lieu de login + pass. Et tu peux t'en servir pour t'auth sur : FB, GG, Dropbox, Windows... (non limitatif).

@22Decembre certains modèles sécurisent aussi l'accès à un ordi, d'où ma question, pcq là je sais pas comment ça marche ni ce que ça fait

@amaelle_g Bah moi la mienne pourrais securiser l'accès à mon pc. Il suffirait que j'active l'option.

@22Decembre En fait ce que je savais pas c'est à quel niveau ça intervient et qu'est-ce que ça sécurise. Mais si c'est juste de l'authentification pour le déchiffrement du DD, effectivement ça change rien. cc @NuitsDeChine

@Beurt Ah ben ni l'un li l'autre n'empêchent une modif de la partition de boot

@amaelle_g Comment la maid peut modifier la partition de boot si elle ne peut pas booter la machine (mot de passe BIOS qui l'en empêche, pas d'accès physique pour la maid à la puce du BIOS, ni au disque lui-même pour le cuisiner dans une autre machine) 🤔

@Beurt Ah oui là bonne question, j'avoue que je connais pas de cas documenté là-dessus

@amaelle_g Comme ça m'intrigue, je viens de procrastiner un peu sur la question. Il s'avère qu'on doit pouvoir faire un reset sur les BIOS passwords sur certaines machines (cf. https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html#c396955 et http://www.cgsecurity.org/wiki/CmosPwd). Par exemple, moi j'ai un Toshiba, et y'a peut-être des trucs possibles : https://superuser.com/questions/243413/bypass-bios-password-set-by-faulty-toshiba-firmware-on-satellite-a55-s1065-lapto

@amaelle_g m'enfin la maid elle a intérêt à être bien renseignée (machine/modèle/version du BIOS).

@amaelle_g Une petite synthèse pour les Toshiba : http://www.tech-faq.com/reset-toshiba-bios-password.html
Mais bon... visiblement, sur une machine récente, sans accès physique simple, avec un BIOS password qui empêche de booter, c'est pas avec ces outils là que la maid va pouvoir compter.
#opsecpourlesnuls
#horssujet
#desoledepourrirtonthread
#jeretournebosser

@roddhjav Oh! Je savais pas qu'on pouvait la chiffrer avec Grub. Merci pour les détails :)

@amaelle_g Pour plus d'info sur grub et comment l'utiliser dans ce cas c'est ici:
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Encrypted_boot_partition_.28GRUB.29

La doc de arch sur chiffrement du disque est énorme, mais elle donne un aperçus complet de ce qui est possible de faire.