Journal : Le livre blanc du SNEP
Posté par Matthieu MARC () le 29 octobre 2007
D'après une dépêche de PCInpact, le SNEP aurait écrit un livre blanc de 146 pages sur le P2P.
Il y préconiserait la mise en place de filtrage.
Bon, rien de nouveau jusqu'ici. Par contre, la suite me semble curieuse :
A la question du filtrage (bien oui, il suffirait de filtrer ses communications pour ne pas se faire prendre), le réponse du SNEP est la suivante :
C'est moi ou c'est eux qui n'ont rien compris au chiffrement ?
Moi qui pensait qu'il suffirait de mettre en place une solution de chiffrement à clés asymétriques pour être tranquille...
Je n'ai maintenant plus confiance dans SSL :-), j'vais arrêter d'acheter sur Internet si tout le monde peut écouter mes transactions...
Il y préconiserait la mise en place de filtrage.
Bon, rien de nouveau jusqu'ici. Par contre, la suite me semble curieuse :
A la question du filtrage (bien oui, il suffirait de filtrer ses communications pour ne pas se faire prendre), le réponse du SNEP est la suivante :
« Une solution pour traverser les filtres sans être reconnu est de chiffrer les informations nécessaires à la détermination de la signature » note le livre blanc. « Cependant, pour cela, il faut au préalable ouvrir la connexion et mettre en accord les deux correspondants sur des clés de chiffrement communes. Cela laisse le temps de suivre la connexion qui se met en place et de l’identifier. Pour que le chiffrement puisse être réellement opérationnel, il faut que les deux correspondants se mettent d’accord au préalable sur les clefs de chiffrement à utiliser, ce qui limite de nouveau la taille du groupe pouvant utiliser cette solution de traversée des filtres sans être reconnu ».C'est moi ou c'est eux qui n'ont rien compris au chiffrement ?
Moi qui pensait qu'il suffirait de mettre en place une solution de chiffrement à clés asymétriques pour être tranquille...
Je n'ai maintenant plus confiance dans SSL :-), j'vais arrêter d'acheter sur Internet si tout le monde peut écouter mes transactions...
> Lire le journal (43 commentaires, moyenne: 3,2).
Vous avez demandé le commentaire #878123.
Run by 
Cette page a été générée par Templeet en 0.0663s (dont 0.007 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Allez!
N'importe quoi encore une fois...
A la niche!
http://ethtezahl.over-blog.com/
http://www.grattadom.com
[^]Re: Allez!
Je ne suis pas expert en sécurité mais je ne serais pas aussi catégorique. Ce qui est évoqué dans ce texte ressemble beaucoup à ceci:
http://fr.wikipedia.org/wiki/Attaque_de_l'homme_du_milieu
Je connais bien l'algèbre de Boole, et j'ai même vu tous ses flims.
[^]Re: Allez!
Je sais que mon ton est (très) catégorique, mais, j'en ai surtout assez de tout le temps entendre ces pleurnichards me menacer, alors que moi, bonne poire, j'ai des tas et des tas de CD originaux...
<troll mode="mechant">
Mais bon, pas achetés à la FNAC, je préfère avoir affaire à des vendeurs compétents.
Puis, même au niveau de la pop aujourd'hui, j'ai pas encore vu un groupe arriver à la cheville de Niagara...
</troll>
Et puis, il faut être honnête : en musique, il est fort probable que "tout" ait été déja fait, en le sens où quand j'entends un riff, quel qu'il soit, j'en retrouve rapidement l'influence, quand ce n'est pas le pillage...
http://ethtezahl.over-blog.com/
http://www.grattadom.com
[^]Re: Allez!
C'est parce que c'est la fnac ? Marrant, moi je les ai toujours trouve tres symas, et ils ont toujours pris le temps de bien repondre a mes questions. Meme pour trouver le CD autoproduit d'un groupe local, j'ai toujours eu la reponse tres rapidement (oui, on trouve des CD autoproduits a la fnac). Il ne faut pas confondre vendeur fnac et vendeur carrefour le type de recrutement n'est pas le meme, et le niveau (general) non plus...
Mais bon, la fnac, c'est gros et connu, donc c'est forcement de la merde...
Sinon , c'est le refrain qu'on entends tous les jours... C'est normale qu'il y ai des influences, l'evolution de la musique est rarement une revolution. Tous les groupes ont eu des influences, et il y a toujours eu qqn pour dire "boaf, ca ressemble a truc, c'est pas nouveau".
Moi je trouve qu'il y a encore pleins de trucs sympa, surtout sur la scene francaise d'ailleur. Sinon, le nouvel album (de reprises) de Shivaree est sorti (dispo un import ou alors il faut attendre le 5 novembre), et il est vachement bien.
[^]Re: Allez!
Hum... Ce terme "pillage" me gêne assez. On croirait entendre Microsoft parler des malfaisants du Libre, ou bien des majors parler des méchants "pirates" du P2P.
Je doute qu'on puisse vraiment comparer un artiste qui s'inspire d'autres musiques de pilleurs... et ce même si ce devait être l'artiste le moins original du monde, qui fait de la musique que tu détesterais et qui clairement "copie" le style d'un autre. Un pilleur, il fracasse une entrée (qui peut être une tombe, un magasin, une maison, une église, ou quoi que ce soit), tue éventuellement les pauvres gens sur son passage et vole tout ce qui a de la valeur.
Alors si quelqu'un n'a pas vraiment d'idées originales, c'est une chose, mais de là à comparer ça à du pillage...
Un petit texte de Stallman sur les termes à connotation assez forte à éviter: http://www.fsf.org/licensing/essays/words-to-avoid.html
Je pense qu'on pourrait aisément y ajouter le pillage. En d'autres termes, utiliser ce genre de mot, c'est une forme de FUD.
En outre je ferais quand même remarquer que le mouvement du Libre repose énormément sur la copie et la reprise. Sauf que nous on appelle cela du partage car on trouve cela plus efficace et agréable de partager. Et ça n'empêche nullement de faire ensuite des programmes très originaux et géniaux... comme ça n'empêche pas un groupe qui aurait de fortes influences musicales de faire pourtant des oeuvres originales très bonnes.
En fait... je dirais même que la plupart (tous?) des très bons groupes ont des influences très affichées (beaucoup de sites de groupes ont une page "influences" avec la liste des groupes qu'ils aiment. Les interviews de musiciens ont souvent la question "influences", et aucun musicien à ma connaissance ne répond "personne". Et je parle même pas des groupes dont le nom même est un hommage à des influences majeures, comme les Pink Floyd, les Dandy Warhols...). Pour conclure, cette remarque est un peu grosse pour moi, en beaucoup trop de points de vue...
[^]Re: Allez!
L'attaque de l'homme du milieu est déjouée simplement par l'utilisation de tiers de confiances connu (on va citer Verisign), dont les signatures se trouvent dans tous les navigateurs connus... (ex : Édition / Préférences / Avancé / Afficher les certificats / Autorités et tu as la liste de tous les certificats inclus d'office).
Ton homme du milieu n'aura aucune chance d'obtenir un certificat valide qui correspondra à la signature de la part du tiers de confiance.
Pour les techno qui n'ont pas de tiers de confiance dans la boucle (SSH, par exemple), tu te dois de valider l'empreinte digitale qui t'es présentée à chaque connexion à une nouvelle machine. On peut envisager d'autres solutions mais il reste peu probable que de simples routeurs puissent trafiquer jusqu'à des pages web où l'on retrouverait en clair ces empreintes.
[^]Re: Allez!
Oui, et chaque utilisateur de p2p va se payer un certificat Verisign.
[ Répondre ] Ce commentaire est-il impertinent ou utile ?
[^]Re: Allez!
Je vois bien The Pirate Bay fournir des certificats :D
Comme je le disais dans mon précédent commentaire inutile, le man in the middle semble possible et même envisagé par la SNEP vu qu'ils mentionnent justement la faiblesse de l'établissement d'une session chiffrée dont on peut contrôler le réseau (s'ils arrivent à faire passer une loi en ce sens ils peuvent se brancher chez les FAI).
Je connais bien l'algèbre de Boole, et j'ai même vu tous ses flims.
[^]Re: Allez!
Un peu facile comme commentaire...
Aucun serveur SSH (pour reprendre précisément l'exemple que je cite plus haut) ne possède de certificat Verisign (pour la bonne raison que ce n'est pas du tout le fonctionnement de SSH), et pourtant, il y a tout un tas de mécanismes (notamment basés sur les "empreintes digitales") pour éviter ce genre d'attaque. Il est plus que probable que les futurs programmes de partage de fichiers utiliseront ce genre technique...
[^]Re: Allez!
Je ne serais pas aussi catégorique. La majorité des serveurs SSH utilisent des clés asymétriques pour l'authentification. Certes, la RFC 4253 (SSH Transport Layer Protocol) ne définit pas de public key algorithm basé sur X.509 mais rien ne l'interdit, au contraire.
Hurd will be out in a year (or two, or next month, who knows)
-- Linus Benedict Torvalds, 1991
[^]Re: Allez!
L'idée était en fait de dire que l'on peut se passer de VeriSign pour faire de la cryptographie asymétrique. Après, je ne connais pas la RFC SSH dans ses moindres détails, mais conceptuellement, cela ne me parait pas inenvisageable qu'elle laisse possible l'utilisation des certificats (ou autres émanations) émis par VeriSign.
[^]Re: Allez!
En utilisation p2p, n'est-il pas possible d'établir une connection sur en utilisant un système triangulaire ?
En gros, le noeud A a ses connections espionner avec du MiM mais il parle au noeud B et C. B et C pouvant communiquer entre eux.
Donc, si A veut établir une connection sur avec B, est-ce que C communiquant de façon sûr avec B peut devenir tier de confiance ?
[^]Re: Allez!
Pas besoin d'avoir recours à Verisign ou autre fournisseur de certificat racine: il suffit qu'un organisme "de confiance" puisse délivrer des certificats, et que les programmes tiers utilisent le certificat racine de cet organisme. Quelqu'un en dessous parlait de piratebay, mais à la limite ça pourrait le faire ;)
C'est un truc que tu peux tout à fait mettre en place chez toi (entreprise ou autre) d'ailleurs: tu génères un certificat racine autosigné, et avec ce certificat tu génères d'autres certificats pour du https par exemple. Il suffit que tes utilisateurs aient le certificat racine dans leur navigateur, et le tour est joué (certes, ça peut être lourd à mettre en place mais c'est faisable).