PrivateBin sécurise vos partages de texte en version 1.1

Posté par (page perso) . Édité par Davy Defaud, Florent Zara, palm123 et Yvan Munoz. Modéré par Yvan Munoz. Licence CC by-sa
22
27
déc.
2016
Sécurité

PrivateBin est un service libre de pastebin, qui permet d’héberger et de partager des données textuelles. Sont pris en charge le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d’en reparler, voyons un peu ce qu’est PrivateBin et quelles en sont les fonctionnalités clefs.

Logo PrivateBin

Un panier sécurisé pour vos partages de texte

Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l’accent sur la sécurité des données. L’hébergeur n’ayant pas accès à la clef pour déchiffrer le contenu, Privatebin est ce que l’on appelle communément — et par abus de langage — un service de type « Zero Knowledge ».

Lorsque l’on crée un document, le navigateur compresse puis chiffre les données avant de les transmettre au serveur et se garde bien de lui envoyer la clef. Le serveur renvoie alors au navigateur l’identificateur du document chiffré créé, ce qui permet à ce dernier en retour de générer une adresse URL de la forme https://SERVEUR/?DOCUMENT#CLEF.

Chiffrement avant téléversement

Pour retrouver et déchiffrer le document, il nous faut donc entrer l’adresse complète. Par exemple, https://paste.unixcorn.org/?84ae3a39a305d229#1aV00MLZfFe125TO05dJve6je6fIMy0JeBHpGTbaLnA=. Dans ce cas, le navigateur ne transmet au serveur que le début de l’adresse URL, omettant l’identificateur de fragment (la partie après le #) qui contient la clef de déchiffrement.

Déchiffrement dans le navigateur

Au‐delà de ça, PrivateBin offre la possibilité de protéger par mot de passe l’accès au contenu chiffré, ce qui offre une couche de protection supplémentaire dans le cas où l’adresse du document finit entre de mauvaises mains.

Alors est‐ce vraiment 100 % sécurisé ? Oui et non. Comme expliqué sur la page d'’accueil du projet, PrivateBin ne protège pas d’abus de la part des administrateurs et administratrices gérant le service, qui pourraient — volontairement ou sous la menace — distribuer un bout de JavaScript exposant les clefs des documents auxquels vous accédez. Mais ce problème n’est pas lié spécifiquement à PrivateBin ; c’est là le fléau des applications Web et de l’exécution de code non signé.

Quoi de neuf dans la version 1.1 ?

La version 1.1 de PrivateBin apporte relativement peu de changements visibles… pour les francophones ! Deux nouvelles langues ont été ajoutées dans cette version : l’italien et le russe.

Sous le capot, une faille de sécurité XSS a été corrigée, et des nouveaux en‐têtes HTTP viennent en renfort de la politique de sécurité des contenus (ou CSP, en anglais). Cette dernière a été mise à jour pour éviter de divulguer l’adresse du document lorsque l’on clique sur un lien en son sein (via les en‐têtes « referer »).

Enfin, un Dockerfile a été ajouté pour permettre de déployer rapidement PrivateBin sur une infrastructure Docker.

Conclusion

PrivateBin est facile de prise en main et semble prendre la question de la sécurité des données au sérieux, même si le développement se passe sur la plate‐forme centralisée GitHub. C’est donc une alternative très sérieuse à Pastebin, GitHub Gist et autres services non libres et centralisés du même acabit.

Enfin, pour celles et ceux qui se demandent si l’on ne pourrait pas faire d’autres choses super intéressantes avec les technologies employées par PrivateBin, je vous conseille d’aller jeter un coup d’œil à Cryptpad, qui met en place — avec une chaîne de blocs au milieu — un service d’édition collaborative (pads) intégralement chiffré.

  • # Attaques au milieu

    Posté par . Évalué à 7.

    Alors est-ce vraiment 100% sécurisé ? Oui, et non. Comme expliqué sur la page d'accueil du projet, PrivateBin ne protège pas d'abus de la part des administrateur⋅ice⋅s gérant le service, qui pourraient − volontairement ou sous la menace − distribuer un bout de JavaScript exposant les clefs des documents auxquels vous accédez.

    Il n'y a pas que les administrateurs à qui il faut faire confiance. Une attaque peut venir de n'importe qui dans la chaîne de communication entre le client et le serveur. Si on utilise HTTPS on est mieux protégé des "attaques au milieu", mais seulement "mieux" : on est protégé d'un attaquant avec peu de moyens, mais pas d'un attaquant puissant, par exemple un état (hélas les gens ayant intérêt à détruire la sécurité sont parfois des états). Des certificats HTTPS trafiqués ont été utilisés pour monter des attaques dans la vraie vie (c'est le problème de notre chaîne de confiance actuelle qui est assez fragile). Le site web le dit aussi clairement—il ne parle pas que des attaques au niveau du serveur.

    Ça reste donc nettement moins sécurisé qu'une application dont le code client est bien stocké côté client—ou au moins authentifié côté client, mais donc dans tous les cas avec les mêmes problématiques de mise à jour intentionnelle, etc. que dans un logiciel client classique.

    • [^] # Re: Attaques au milieu

      Posté par (page perso) . Évalué à 1.

      Il n'y a pas que les administrateurs à qui il faut faire confiance. Une attaque peut venir de n'importe qui dans la chaîne de communication entre le client et le serveur.

      Très juste. Après, n'est-il pas plus simple et plus discret pour un adversaire sérieux de backdoorer (à distance ou directement en datacenter) ton serveur en exploitant des failles connues ?

      Ça reste donc nettement moins sécurisé qu'une application dont le code client est bien stocké côté client—ou au moins authentifié côté client, mais donc dans tous les cas avec les mêmes problématiques de mise à jour intentionnelle, etc. que dans un logiciel client classique.

      Effectivement.

      • [^] # Re: Attaques au milieu

        Posté par . Évalué à 0. Dernière modification le 28/12/16 à 14:15.

        Tout de même si un site déclare utiliser "Private Bin", il est relativement simple de vérifier que le code, correspond bien au code source de "Private Bin". Si on ne peux, bien sûr, pas le faire à chaque fois, plus le site est gros, plus il y a de chance que quelqu'un, voire un chercheur, l'ait vérifié. Bien entendu, le site peux toujours activer la back-door que sur une IP ou une plage horaire mais cela reste un moyen relativement sûr. Ensuite la sécurité est toujours une question relative, il faut l'adapter au degré de sensibilité des informations à transmettre. En fonction, de cela on sera prêt à avoir plus ou moins de contraintes…

        • [^] # Re: Attaques au milieu

          Posté par . Évalué à 4.

          plus le site est gros, plus il y a de chance que (…)

          Ou plus il y a des chances qu'il ait intéressé un attaquant puissant. Parce qu'il est gros. Compliqué de raisonner sur plus il est gros.

          Si t'as des vrais secrets (industriels, etc. pas forcément de l'espionnage ou des activités criminelles) faut pas les mettre sur internet quel que soit le moyen, faut faire confiance à personne.

          Si t'as juste une vie privée, ce truc a l'air vraiment mieux que pastebin.

        • [^] # Re: Attaques au milieu

          Posté par . Évalué à 3.

          Tout de même si un site déclare utiliser "Private Bin", il est relativement simple de vérifier que le code, correspond bien au code source de "Private Bin".

          Non. Ce n'est pas simple du tout et tu as montré dans ton message seulement quelques des raisons pour lesquelles c'est très difficile.

          Ensuite la sécurité est toujours une question relative,

          L'important c'est de donner toutes les informations nécessaires pour comprendre précisément quelle est la sécurité apportée par l'outil, de quoi il protège et de quoi il ne protège pas, pour que chacun puisse prendre une décision informée en fonction de son usage et ses besoins.

          Le site de PrivateBin le fait bien (je pense qu'un outil qui se dirait "sécurisé" mais saurait pas faire ce travail d'information ne serait sans doute pas digne de confiance), mais la dépêche introduit des approximations qui font passer de "simplifié mais juste" à "fausses garanties de sécurité", ce que je me permettais de signaler.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.