Sécurité ZeroBin, un pastebin sécurisé

Posté par (page perso) . Édité par B16F4RV4RD1N et Benoît Sibaud. Modéré par Pierre Jarillon. Licence CC by-sa
45
13
avr.
2012
Sécurité

Pastebin.com est un service qui permet à n'importe qui de partager des informations sous forme de texte. Jusqu'à peu, on pouvait partager tout et n'importe quoi, mais cela va changer ! Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait embaucher des employés pour modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour).

Partant de là, Seb Sauvage a commencé à développer un outil qui permettrait d'empêcher ce type d'auto-censure, dans un service similaire à pastebin. Le résultat est ZeroBin.

L'idée est simple : les données sont chiffrées et le serveur n'a pas accès à la clef de déchiffrement. Ainsi, le serveur stocke des données illisibles et est incapable de censurer quoi que ce soit. Tout le processus de chiffrement et déchiffrement se fait dans le navigateur.

Les deux images suivantes résument le fonctionnement :

chiffrement

déchiffrement

Le projet étant très récent, le code n'est pas encore disponible. Il est cependant prévu qu'il soit au final distribué sous une licence libre.

NdM : les sources sont disponibles, sous licence zlib/libpng

  • # Excellent P.O.C.

    Posté par . Évalué à  4 .

    Encore un excellent P.O.C. (Proof Of Concept). Génial pour les utilisateurs comme le webmaster.
    En plus, ça aidera les faibles humains que nous sommes parfois poussés par de vils motifs (ou curiosité malsaine, etc) à ne même pas pouvoir y penser !

  • # Sources

    Posté par . Évalué à  10 .

    Les sources sont disponibles depuis le 12 avril
    http://sebsauvage.net/wiki/doku.php?id=php:zerobin#source

  • # Shortly, pastebin sans serveur

    Posté par (page perso) . Évalué à  1 .

    Dans le même style il y a Shortly qui n'a pas besoin de serveur, l'information est encodée puis placée dans l'ancre de l'URL (la partie après le #). C'est donc l'URL qui porte toute l'information :)
    Des exemples (issus de la doc) : 1 , 2 .

    • [^] # Shortly, pastebin avec serveur

      Posté par . Évalué à  10 . Dernière modification : le 14/04/12 à 12:35

      Sauf que si l'url est aussi longue que le texte pasté, ça n'apporte strictement rien du tout par rapport à coller le texte directement (à part que c'est complètement obfusqué/illisible (et c'est pas un avantage)).
      Pire, les gens vont passer cette url dans un tinyurl, ce qui tue la non-dépendance à un quelconque serveur (et au revoir vie privée, et au revoir pérennité du contenu)
      Ça part d'une bonne intention, mais c'est un FAIL complet à mon avis.

  • # La clé est communiquée au serveur ?

    Posté par . Évalué à  4 .

    Je ne suis pas allé voir le code, mais il me semble que le schéma indique que la clé est communiquée au serveur.
    Donc, si j'ai tout bien compris, ce qui n'est pas assuré, le serveur peut lire le contenu du message en clair.
    Dans ce cas, où est l'intérêt ?

    • [^] # Re: La clé est communiquée au serveur ?

      Posté par (page perso) . Évalué à  10 .

      La partie de l'URL après le #, le fragment, n'est pas transmise au serveur par le navigateur, elle reste en local côté navigateur.

      • [^] # Re: La clé est communiquée au serveur ?

        Posté par (page perso) . Évalué à  3 .

        Certes, mais les "ayants droit" qui vont demander le retrait du contenu vont le faire en donnant l'adresse complète, incluant la clé de déchiffrage (qui devra de toutes facons être publiée pour que le message soit lisible). Tout comme les DRMs, ca m'a tout l'air d'être sérieusement defective by design.

        • [^] # Re: La clé est communiquée au serveur ?

          Posté par . Évalué à  2 .

          "Certes, mais les "ayants droit" qui vont demander le retrait du contenu vont le faire en donnant l'adresse complète, incluant la clé de déchiffrage (qui devra de toutes facons être publiée pour que le message soit lisible). Tout comme les DRMs, ca m'a tout l'air d'être sérieusement defective by design."

          Qui parle d'"ayant droit" ? On peut très bien avoir envie que son paste ne soit pas stocké en clair sans qu'on soit en train d'enfreindre la loi.

          • [^] # Re: La clé est communiquée au serveur ?

            Posté par (page perso) . Évalué à  7 . Dernière modification : le 14/04/12 à 13:06

            Je cite la news:

            Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait […] modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour). Partant de là, Seb Sauvage a commencé à développer un outil […]

            Zerobin semble avoir été développé pour pouvoir contrer techniquement les réclamations. De plus, il est précisé dans la news qu'encrypter avant chiffrage rend le serveur "incapable de censurer quoi que ce soit", ce qui: 1) n'est pas complètement vrai, 2) est interdit dans certains pays puisque l'hébergeur/éditeur/whatever doit pouvoir censurer sur demande "légitime".

            Et sur le fait que le texte ne soit pas stocké en clair, cela n'a plus aucun intérêt si la clé de décryptage est publiée (!)

            • [^] # Re: La clé est communiquée au serveur ?

              Posté par . Évalué à  4 .

              La clé n'a pas besoin d'être "publiée" mais simplement transmise aux destinataires souhaités: c'est au dépositaire du document d'être prudent dans la manière dont il assure cette transmission.

              Mais dans ce cas, à titre personnel, je ne voit pas l'intérêt de passer par une service de type pastemachinchose ou machinchosebin: autant envoyer l'info directement à ses destinataires par un moyen plus sécurisé

        • [^] # Re: La clé est communiquée au serveur ?

          Posté par (page perso) . Évalué à  10 .

          Hello. Je suis l'auteur du logiciel.

          Les ayants-droit vont demander le retrait, l'admin s'exécutera… mais vous voyez le bouton "Clone" ? En 2 clic on en fait une copie.

          Et de la manière dont c'est conçu, l'admin n'a aucun moyen de savoir si l'info a été re-postée ou non. Pire: Il ne peut pas empêcher le futur re-postage de ces infos en filtrant par des mots clés.

          :-)

          • [^] # Re: La clé est communiquée au serveur ?

            Posté par . Évalué à  0 .

            C'est donc un outil dont l'objectif assumé est de passer outre les droits des ayant-droits, et non d'assurer la sécurisation d'informations personnelles.
            C'est triste…

            • [^] # Re: La clé est communiquée au serveur ?

              Posté par (page perso) . Évalué à  10 . Dernière modification : le 14/04/12 à 16:27

              Il n'y a que les ayants-droits qui essaient de censurer ?
              Moi il me semble que justement, a lutte anti-censure est bigrement importante par les temps qui courrent (Wikileaks ? Reflets/Amesys ?…).

              ZeroBin est un outils partiellement anti-censure, il n'a en aucun cas été conçu spécialement pour emmerder les ayants-droit.

              • [^] # Re: La clé est communiquée au serveur ?

                Posté par (page perso) . Évalué à  3 .

                Question très sérieuse :
                Si il suffit pour un hébergeur de :
                1. ne pas être au courant du contenu hébergé pour le compte des utilisateurs
                2. enlever le contenu dès réclamation des ayants droits
                3. stocker les informations permettant de retracer l'envoi du contenu
                4. croire que le déni plausible est défendable en justice

                Je ne vois pas ce qui pose problème de faire un logiciel P2P ou chacun est l'hébergeur du contenu des autres.
                L'utilisateur A chiffre le contenu qu'il veut partager et le stocke chez ses amis (groupe B).
                L'utilisateur A diffuse poste sur un moteur de recherche distribué (DHT?) une relation "hash du fichier suite de hash de mots clés salés avec un mot prédéterminé + clé de déchiffrement" De telle façon qu'à partir de mots clés on peut chercher un fichier mais avec le hash des mots clés, on ne peut pas retrouver les mots clés ou le titre du fichier sans vaoir une table de hash (ca doit permettre de justifier que les hébergeurs de la DHT ne connaissnent le contenu des liens qu'ils donnent)
                L'utilisateur C qui cherche un ficher va donc chercher à l'aide de ses mot clés dans la DHT un fichier qui l'intéresse et récupérer une liste de peers qui l'hébergent sans en connaître réellement le contenu.
                Reste à répartir le contenu selon la demande étant donner qu'il ne faut pas redistribuer soit même les fichiers dont on connait le contenu.
                D'autre part, selon la règle n°3, la LCEN va imposer de se déclarer (nom, adresse, tout ça) et de livrer les IPs des gens qui hébergent le contenu chez nous.

        • [^] # Re: La clé est communiquée au serveur ?

          Posté par . Évalué à  8 .

          Pour ma part, l'intérêt de cet outil est de pouvoir déresponsabiliser l'hébergeur du contenu que ses utilisateurs pourraient poster. L'hébergeur met ainsi un outil à disposition des internautes, à eux de respecter la façon dont ils l'utilisent selon les lois de leur pays.

          En pratique, si une autorité judiciaire dont dépend l'hébergeur ordonne de retirer le contenu incriminé (en indiquant l'URL contenant la clé), l'hébergeur se doit de s'exécuter.

          En revanche, l'hébergeur n'a pas vocation à effectuer de l'auto-censure de son propre chef comme nous pouvons l'observer de plus en plus de nos jours sous la pression des grands de ce monde.

          • [^] # Re: La clé est communiquée au serveur ?

            Posté par (page perso) . Évalué à  1 .

            Pour ma part, l'intérêt de cet outil est de pouvoir déresponsabiliser l'hébergeur du contenu que ses utilisateurs pourraient poster.

            Pas besoin de cet outil : LCEN en France. Pareil aux US. L'hébergeur n'est pas responsable, sauf si on le met au courant et qu'il continue (et il faut que ce soit manifeste).
            Ici, il ne reste donc que des choses illégales à "protéger". Faut arrêter d'essayer de faire croire que c'est pour le bien, contre les senseurs, non c'est juste pour violer la loi.

            En revanche, l'hébergeur n'a pas vocation à effectuer de l'auto-censure de son propre chef comme nous pouvons l'observer de plus en plus de nos jours sous la pression des grands de ce monde.

            D'une, ça n'a rien à voir avec la loi, et de deux ce genre d'hébergeur réagira pareil (suppression du lien quand on lui en envoie un, et/ou suppression de tout contenu chiffré)

            Donc : ça apporte quoi? Désolé, mais j'ai quand même du mal à voir… Car comme l'ont dit d'autres, le lien contient l'identifiant, l'hébergeur pour lire le message déchiffré quand on lui envoie le lien à supprimer. Faux sentiment de sécurité (un peu comme les DRM où la serrure et la clé sont au même endroit)

            • [^] # Re: La clé est communiquée au serveur ?

              Posté par . Évalué à  1 . Dernière modification : le 14/04/12 à 22:01

              Nous ne devons pas suivre les mêmes actualités…
              La pression est de plus en plus forte auprès des différents prestataires offrant des services d'échange et on leur demande d'aller plus loin que ce qu'impose la loi, en étant pro-actif dans ce nettoyage.

              • [^] # Re: La clé est communiquée au serveur ?

                Posté par (page perso) . Évalué à  1 .

                Nous ne devons pas suivre les mêmes actualités…

                On suit la même. On n'a juste pas la même conclusion.

                leur demande d'aller plus loin que ce que demande la loi,

                Ce n'est alors plus du tout un problème de loi. Charge à toi de choisir un prestataire correct.

                • [^] # Re: La clé est communiquée au serveur ?

                  Posté par . Évalué à  3 . Dernière modification : le 15/04/12 à 14:03

                  Charge à toi de choisir un prestataire correct.

                  Choisir un prestataire qui propose ZeroBin t'assure qu'il est du genre correct (il a mis en place un moyen technique pour s'empêcher de policer les contenus préventivement).

                  • [^] # Re: La clé est communiquée au serveur ?

                    Posté par (page perso) . Évalué à  3 .

                    Tel que je le comprend, ZeroBin permet à l'hébergeur d'être "neutre" (ne pas connaitre le contenu à priori, impossibilité de regarder par curiosité). Et ça, ça ne me pose aucun problème. D'autres le font (hébergement en "cloud" avec la clé qui reste chez le client, Amazon S3 avec lequel on peut chiffrer). Rien de neuf. C'est le "pourquoi" qui me fait sourire.

                    Sinon, de ce que je comprend, PasteBin ou ZeroBin, pour le prestataire technique, c'est exactement pareil. Sur demande des "ayant-droits", avec l'URL (contenant donc la clé dans le cas de ZeroBin), l'hébergeur regarde le contenu (qu'il peut décoder car il a la clé avecl 'URL de la plainte) et le supprime si il est manifestement illicite.

                    Si vous pouviez m'expliquer ce que ça change pour l'hébergeur qui reçoit une demande de retrait avec l'URL qui va bien… En attendant, que le prestataire propose pastebin ou zerobin, ben pareil sur le "correct", c'est sur sa gestion des plaintes qu'on va le mesurer.

                    Si l'idée est de se prémunir de la curiosité de l'hébergeur, gagne
                    Si l'idée est de se prémunir des ayant-droit (ou du méchant Etat), ben… Raté. Par design.

                    • [^] # Re: La clé est communiquée au serveur ?

                      Posté par (page perso) . Évalué à  10 .

                      Le cas du « notice and stay down » ? L'hébergeur est notifié que le contenu présent à telle URL doit être retiré, on lui demande de le retirer ET de virer toutes les occurrences du contenu présentes chez lui ET empêcher que ce contenu ne réapparaisse sur son site à n'importe quel moment.

                      Avec ZeroBin, l'hébergeur supprimerait le contenu signalé à l'URL cité. Il ignorerait si ce même contenu est présent plusieurs fois chez lui et ne pourrait empêcher la réapparition du contenu chez lui.

                      Conséquence : il deviendrait plus difficile de faire disparaître par injonction judiciaire ou volonté de censure la vidéo de Wikileaks sur le raid aérien du 12 juillet 2007 à Bagdad, l'enregistrement audio du majordome de Liliane B., une copie illégale de Rocky XVI, une photo d'Estelle H., un document fuité d'une entreprise sur une magouille, etc. bref un contenu, qu'il soit légal ou non. Mais si l'URL était diffusée publiquement / connue, elle finirait par être supprimable.

                • [^] # Re: La clé est communiquée au serveur ?

                  Posté par . Évalué à  -1 .

                  J'ai du mal à suivre ton argumentaire, Zenitram. Tu attaques dans tous les sens, en répondant à côté de ce que j'ai écrit plus haut. Relis mon premier commentaire, il me semble assez clair et non contradictoire avec ce que tu dis plus loin.

                  Je le synthétise une dernière fois : les lois protègent aujourd'hui l'hébergeur. EN REVANCHE, l'actualité montrent que certains gouvernements ou certains ayants-droits veulent aller plus loin et font pression sur la sphère internet (FAI, hébergeurs, prestataires de service…) pour qu'ils fassent le ménage eux-mêmes de façon pro-active, sans qu'ils aient à les avertir (moins coûteux).

                  Notre seul désaccord serait donc sur la véracité ou non de cette actualité.

                  Ou alors c'est la cryptographie qui te dérange et t'as mise sur tes gardes, mais chacun sait que tout ce qui est crypté ne sert qu'aux pirates ; les honnêtes citoyens, eux, n'ont rien à cacher.

            • [^] # Re: La clé est communiquée au serveur ?

              Posté par (page perso) . Évalué à  8 .

              Faut arrêter d'essayer de faire croire que c'est pour le bien, contre les senseurs, non c'est juste pour violer la loi.

              Va dire ça aux blogueur iraniens condamnés à mort, ou aux blogueurs marocains emprisonnés pour avoir critiqué le Roi. Bien fait pour eux, ils n'avaient qu'à pas violer la loi ?

              Ce qui est légal n'est pas forcément moral. Et oui, je ferai mon devoir de désobéissance si je trouve quelque chose immoral.
              (Tiens, au hasard, les pratiques scandaleuses de tuto4pc qui - magique ! - sont légales.)

              Un autre exemple ? Avec la loi sur le secret des affaires, un employé ne peut plus légalement dénoncer les magouilles de son patron. Il aura tort face à la loi, même si les magouilles de son patron sont totalement immorales.

              L'hébergeur n'est pas responsable, sauf si on le met au courant et qu'il continue (et il faut que ce soit manifeste).

              Bonne blague. Megaupload ?
              Ils supprimaient sur demande, ce qui ne les a pas empêché de se faire arrêter.

              Donc : ça apporte quoi? Désolé, mais j'ai quand même du mal à voir

              Rendre la censure plus difficile par la réplication massive des documents. Tous les outils qui vont dans ce sens sont à prendre.

              • [^] # Re: La clé est communiquée au serveur ?

                Posté par (page perso) . Évalué à  -1 .

                Bonne blague. Megaupload ?
                Ils supprimaient sur demande, ce qui ne les a pas empêché de se faire arrêter.

                Ah ouais, quand même, il y en a qui arrivent à sortir ça… Comme exemple d'hébergeur intègre, peut mieux faire.

                • [^] # Re: La clé est communiquée au serveur ?

                  Posté par (page perso) . Évalué à  5 .

                  Altern.org, ça te va ?
                  30000 sites fermés pour deux cons (Estelle Halliday et les Simpsons).

                  • [^] # Re: La clé est communiquée au serveur ?

                    Posté par (page perso) . Évalué à  0 . Dernière modification : le 15/04/12 à 08:26

                    Altern.org, ça te va ?

                    Altern.org et Estelle : 1998
                    LCEN, dédouanant les hébergeur pour sûr : 2004.
                    Oui, je connais l'histoire, et sa chronologie. Pour information, nous somme en 2012, Internet est présent partout maintenant et les choses ont changé, pas forcément dans le mauvais sens.
                    Et Lacambre a sans doute eu une très mauvaise défense quand même, ce n'est pas généralisable.
                    Par contre, jamais entendu parlé des simpsons.

                    Et tu n'as pas besoin d'insulter les personnes juste parce que tu n'es pas d'accord avec elles. Déjà que l’argumentation ne tient pas beaucoup, ça démontre un manque de réflexion et de calme pour analyser. Estelle Haliday n'est pas une conne, c'est une personne qui était en désaccord avec toi, qui a demandé au juge de trancher légalement et le juge a tranché.

                    30000 sites fermés pour deux cons (Estelle Halliday et les Simpsons).

                    Estelle n'a pas fermé Altern.org, c'est Valentin Lacambre qui l'a fermé. Estelle a "juste" fait condamner Altern.org pour un préjudice subit. Dire qu'elle a fait fermer Altern.org est juste faux. Pour les 28998 autres sites, prends-en toi à Lacambre qui a été lui seul le décisionnaire.


                    Altern.org est effectivement un petit loupé, mais c'était en 1999, depuis ça a sacrément changé comme réaction de la justice, qui dédouane systématiquement les hébergeurs si ils ne font pas du piratage leur coeur de métier.


                    OK, voila, je comprend mieux. "Contre ces salauds" et "contre la loi c'est le but". On voit maintenant bien l'idée derrière. C'est tout ce que je voulais savoir.

                    • [^] # Re: La clé est communiquée au serveur ?

                      Posté par (page perso) . Évalué à  10 .

                      Et tu n'as pas besoin d'insulter les personnes

                      Je maintiens mon "con": Estelle Halliday a attaqué l'hébergeur à la place du webmaster. C'est aussi con qu'attaquer les imprimeurs quand un auteur diffame une personnalité dans un de ses livres.
                      Le responsable, c'est l'auteur, pas le prestataire technique.

                      Dire qu'elle a fait fermer Altern.org est juste faux.

                      C'est une conséquence directe du procès: http://altern.org/alternb/defense/faq.html#generalite-6

                      c'était en 1999, depuis ça a sacrément changé comme réaction de la justice

                      Oui, maintenant c'est pire: Les hébergeurs coupent à la moindre réclamation, même sans un examen détaillé ou jugement en bonne et due forme. Je ne trouve pas ça mieux: la censure est encore plus facile qu'avant.
                      Il est temps de faire pression dans l'autre sens.

                      On voit maintenant bien l'idée derrière.

                      Je ne vais pas avoir honte de défendre la liberté d'expression.

                      • [^] # Re: La clé est communiquée au serveur ?

                        Posté par . Évalué à  10 .

                        C'est aussi con qu'attaquer les imprimeurs quand un auteur diffame
                        Le responsable, c'est l'auteur, pas le prestataire technique.

                        Pour info, selon le principe de responsabilité en cascade (loi du 29 juillet 1881, article 42), l'imprimeur est responsable s'il n'est pas possible d'identifier ni l'éditeur ni l'auteur. Si l'imprimeur n'est pas non plus identifiable, le vendeur est responsable. Également, tout imprimé doit porter mention du nom et domicile de l'imprimeur à fins de son identification éventuelle (ibid., article 2).

                        • [^] # Re: La clé est communiquée au serveur ?

                          Posté par . Évalué à  3 .

                          Je n'y vois qu'une gymnastique législative kafkaienne qu'essayer à tout prix d'appliquer cette loi aujourd'hui alors qu'il n'y a plus forcement de responsable identifiable (principe de l'anonymat d'Internet). Autant accuser directement le lecteur d'avoir eu accès à l'information !
                          D'ailleurs, pour le meilleur et surtout pour le pire, c'est déjà en discussion dans certains milieux politiques (délit de consultation)….

            • [^] # Re: La clé est communiquée au serveur ?

              Posté par . Évalué à  3 .

              Pas besoin de cet outil : LCEN en France. Pareil aux US. L'hébergeur n'est pas responsable, sauf si on le met au courant et qu'il continue (et il faut que ce soit manifeste).

              Avec ACTA, l'hébergeur devra "collaborer" avec les ayant-droits pour vérifier que tout est bien conforme. On passe bien dans une procédure pro-active (et en dehors de la justice) plutot qu'une procédure réactive.

        • [^] # Re: La clé est communiquée au serveur ?

          Posté par . Évalué à  3 .

          ça tombe bien, ce n'est pas un système de DRM mais un système de communication confidentiel entre parties qui se font confiance.

  • # "Shorten url"

    Posté par . Évalué à  2 .

    L'url qu'on envoie à un tinyurl contient la clef de cryptage, ça me semble une mauvaise idée d'utiliser un raccourcisseur (et surtout de l'encourager avec un bouton).

  • # ZeroBin + Etherpad-lite

    Posté par (page perso) . Évalué à  2 .

    Intéressant, je verrai bien l'intégration du mécanisme de chiffrage de ZeroBin au projet Etherpad-lite. Des gens motivés pour contribuer ?

    • [^] # Re: ZeroBin + Etherpad-lite

      Posté par (page perso) . Évalué à  2 .

      Moi je trouve cette idée intéressante.
      Je ne comprend pas trop pourquoi tu te fais moinser. Mis à part pour le fait que tu proposes une idée sans en demandant à d’autres de coder à ta place…

  • # Nouvelle version: 0.12 alpha

    Posté par (page perso) . Évalué à  3 .

    Et hop… tout frais: Je viens de publier la version 0.12 avec les discussions !

    On peut maintenant activer les discussions sur chaque paste. Bien entendu, le contenu des commentaires postés et les pseudo sont également chiffrés.

    Couplé à l'expiration, cela permet de se faire des discussions ad-hoc, éphémères et qui disparaîtront proprement dans le néant après expiration.

    J'ai également couplé ça à mon autre bricolage Vizhash (hashs visuels) qui permettent de repérer visuelles les adresses IP sans pour autant les révéler (même image = même IP).

  • # Anonymous builds its own Pastebin-like site

    Posté par . Évalué à  1 .

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.