Clé USB d'ouverture session à la place d'un mdp

Salut à tous,

J’ai regardé un peu partout mais je pense ne pas avoir utilisé les bons termes de recherche puisque je n’ai pas trouvé.
Voilà : j’aimerais pouvoir démarrer une session si et seulement si une clé USB (que j’aurais toujours sur moi) est branché sur le PC. Idéalement cette clé serait utilisée sur un autre PC sur debian également.
Le but c’est d’ajouter une sécurité au démarrage et surtout de simplifier l’authentification en supprimant le mot de passe (ou du moins en le rentrant sur une clé usb).
Vu mon faible niveau, je pense que je risque d’avoir des réponses très techniques, mais pas grave, je tente ! On sait jamais, si y’a un moyen simple de le faire…

Bonjour,

Conformément à la FAQ, merci de veiller à poster dans le forum adéquat. Déplacé dans “support”.

---

Alors, concernant votre questionnement - jamais vu sous Debian ; par contre, sous OpenBSD, oui.

Donc, je me dis dans l’idéal que cela doit être possible, ce qui sous-tend que vos partitions seront chiffrées, et que la clé USB sera la clé chiffrée de démarrage - attention, elle n’est pas le chargeur de démarrage, juste l’équivalent chiffré de la passphrase nécessaire dans le contexte de partition chiffrée.

Faisable, peut-être… mais je n’ai jamais vu ça sous Debian. Simple : assurément non !

Après là, il va falloir chercher sur Internet s’il existe des tutos très spécifiques.
Peut-être regarder du côté du “Cahier de l’Admin Debian”.
(vous trouverez le lien ad hoc, dans ce sujet !)

Si je ne me trompe pas, c’est Luks qui gère le chiffrement de partition. (lui ou un autre n’est pas le point le plus important)

---

Édit : Bon alors, j’ai rapidement trouvé ces articles dont le premier pour Debian Lenny :

• https://www.oxygenimpaired.com/debian-lenny-luks-encrypted-root-hidden-usb-keyfile
• https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile
• https://binblog.info/2008/12/04/using-a-usb-key-for-the-luks-passphrase/

Donc à adapter absolument à vos nécessités !

J’ai trouvé ce tuto video n°5 sur 5 pour monter une machine complètement encryptée, et cette partie là parle de l’installation d’un “keyfile” de déverrouillage sur une clé usb:

Si la vidéo ne donne pas direct la réponse à ta question (je ne l’ai pas regardée), je pense que le mot clé à utiliser est “keyfile”.

Excusez-moi mais je ne vois pas le rapport entre l’ouverture de session par une clé USB et le chiffrement du disque. Le chiffrement du disque avec un keyfile stocké sur une clé USB ne dispensera pas de taper le mot de passe de l’utilisateur pour ouvrir une session, ce sont deux choses totalement indépendantes.

Quel dommage que pamusb ne semble plus être maintenu ! Le package n’est plus fourni pour les successeur de Jessie.

Pourtant, le logiciel a l’air d’être assez bien pensé.

–
AnonymousCoward

Salut,
effectivement j’avais pensé également chiffrer le disque puisque même sans mot de passe ( ou clé USB dans mon cas, idéalement), si on a accès physique au PC on peut quand même accéder aux fichiers.
Du coup cette idée de clé USB de démarrage (“keyfile” étant le mot-clé que je n’avais pas pour fair eune recherche efficace - merci mattotop) a moins de sens si le idsque n’est pas chiffré.
L’idée c’est d’avoir véritablement l’équivalent d’une clé, physique, pour accéder au PC.
Merci pour vos réponses en tout cas, ça me laisse de longues heures de recherche devant moi avant de revenir ici je pense !

@PascalHambourg : oh, combien tu as raison !!!
Je t’ai lu hier ; je ne comprenais pas ta réaction/réponse , j’ai préféré me taire. Je la relis aujourd’hui, relis le post initial et j’ai compris. Et, en effet, j’ai dû lire de travers - c’est différent !
(ce qui m’a induit en erreur, c’est le titre “Clé de démarrage” alors que dans le sujet, il parle de “démarrer une session”)

@MartoN : comme le dit @PascalHambourg, c’est différent.
Donc, je rectifies mon propos : pour l’ouverture d’une session, renseignes toi sur des clés USB dite U2F, supportant la norme Fido, telle une Yubikey, une HyperSecu, (même Google en a créé une, la Titan), etc…, qui permet entres autres, en faisant quelques modifications systèmes d’ouvrir une session. (ou alors, je me trompe encore ; mais il me semble que c’est bien ça).

Voici, par exemple, des articles (en anglais ; dsl pas trouvé en FR) :

• https://wiki.debian.org/Security/U2F
• https://blog.liw.fi/posts/u2f-pam/

Le besoin de protection des fichiers contre un accès physique n’était pas précisé dans le message initial et peut justifier le chiffrement. Il me semble que le besoin devrait être clairement redéfini avec toutes ses contraintes.

Le besoin, c’est surtout, comme précisé initialement, de se servir d’une clé USB comme d’une clé physique pour démarrer une session.
Le chiffrement n’est pas le coeur de la question.
Merci pour les pistes de réflexion.

Je relance le sujet.

un fournisseur français : https://www.neowave.fr/FR/index.html

Sympa les gars : ils m’envoient une clé pour test !

Bonjour,
Je me suis pas sûr d’avoir bien compris ta question. Une solution comme ci-dessous te conviendrait-elle ?
https://doc.ubuntu-fr.org/tutoriel/authentification_usb

Cela a déjà été évoqué dans ce message , sans soulever le moindre enthousiasme.

–
AnonymousCoward

je mets mon grain de sel

je propose le lecteur d’empreinte digitale

https://fr.injes.com/livescan-fingerprint-reader-for-linux-windows-android-os_p46.html

je sais bien que dans les films on coupe les doigts mais bon…

On peut surtout fabriquer de fausses empreintes digitales si on les a en données numériques biométriques.

Donc si votre identité biométrique d’empreintes est compromise sur le site des passeports par exemple, la seule chose à faire pour éviter l’usurpation de votre identité validée par empreinte c’est:
changez vos empreintes digitales.

(ce message est destiné aux abrutis de parlementaires et autres gouvernants qui veulent utiliser le biométrique pour l’identification. Notons que les autres parlementaires sont aussi des abrutis, hein , mais pas pour cette raison)

La biométrie c’est très bien pour l’identification, mais pas pour l’authentification. Ce sont deux choses bien distinctes.

Certes, mais il veulent l’utiliser pour les deux:
on a bien ton identité (l’empreinte) dans notre base (identification) et elle est (forcément) correcte comme password (authentification), donc vas y on t’ouvre.
Bon, mais tu as raison, j’aurais du dire auth.