PrivateBin est un service libre de pastebin, qui permet d'héberger et de partager des données textuelles. Sont supportés le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d'en reparler, voyons un peu ce qu'est PrivateBin et quelles en sont les fonctionnalités-clefs.
Un panier sécurisé pour vos partages de texte
Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l'accent sur la sécurité des données. L'hébergeur n'ayant pas accès à la clef pour déchiffrer le contenu, Privatebin est ce que l'on appelle communément − et par abus de langage − un service de type « Zero Knowledge ».
Lorsqu'on crée un document, le navigateur compresse puis chiffre les données avant de les transmettre au serveur, et se garde bien de lui envoyer la clef. Le serveur renvoie alors au navigateur l'identifiant du document chiffré créé, ce qui permet à ce dernier en retour de générer une URL de la forme https://SERVEUR/?DOCUMENT#CLEF.
Pour retrouver et déchiffrer le document, il nous faut donc entrer l'adresse complète. Par exemple, https://paste.unixcorn.org/?84ae3a39a305d229#1aV00MLZfFe125TO05dJve6je6fIMy0JeBHpGTbaLnA=. Dans ce cas, le navigateur ne transmet au serveur que le début de l'URL, omettant l'identifieur de fragment (la partie après le #) qui contient la clef de déchiffrement.
Au-delà de ça, PrivateBin offre la possibilité de protéger par mot de passe l'accès au contenu chiffré, ce qui offre une couche de protection supplémentaire dans le cas où l'adresse du document finit entre de mauvaises mains.
Alors est-ce vraiment 100% sécurisé ? Oui, et non. Comme expliqué sur la page d'accueil du projet, PrivateBin ne protège pas d'abus de la part des administrateur⋅ice⋅s gérant le service, qui pourraient − volontairement ou sous la menace − distribuer un bout de Javascript exposant les clefs des documents auxquels vous accédez. Mais ce problème n'est pas lié spécifiquement à PrivateBin ; c'est là le fléau des applications web et de l'exécution de code non-signé.
Quoi de neuf dans la version 1.1 ?
La version 1.1 de PrivateBin apporte relativement peu de changements visibles… pour les francophones ! Deux nouvelles langues ont été ajoutées dans cette version : il s'agit de l'italien et du russe.
Sous le capot, une faille de sécurité XSS a été corrigée, et des nouveaux headers HTTP viennent au renfort de la politique de sécurité des contenus (ou CSP, en Anglais). Cette dernière a été mise à jour pour éviter de divulguer l'adresse du document lorsque l'on clique sur un lien en son sein (via les headers "referrer").
Enfin, un Dockerfile a été ajouté pour permettre de déployer rapidement PrivateBin sur une infrastructure Docker.
Conclusion
PrivateBin est facile de prise en main et semble prendre la question de la sécurité des données au sérieux, même si le développement se passe sur la plateforme centralisée Github. C'est donc une alternative très sérieuse à Pastebin, Github Gist, et autres services non-libres et centralisés du même acabit.
Enfin, pour celles et ceux qui se demandent si on ne pourrait pas faire d'autres choses super intéressantes avec les technologies employées par PrivateBin, je vous conseille d'aller jeter un coup d'œil à Cryptpad, qui met en place − avec des blockchains au milieu − un service d'édition collaborative (pads) intégralement chiffré.
Site officiel
Flux ATOM (en anglais)
Liste des instances publiques PrivateBin
Contribuer au code
# Coquille à corriger
Posté par woffer 🐧 . Évalué à 1.
Dernier paragraphe:
… je vous conseille d'aler…
Merci
[^] # Re: Coquille à corriger
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Corrigé, merci.
# Zerobin
Posté par Nico C. . Évalué à 0.
Qui a entendu parlé de Zerobin qui fait la meme chose ?
Vous en pensez quoi ?
[^] # Re: Zerobin
Posté par Jérôme FIX (site web personnel) . Évalué à 4.
Juste comme ça.
[^] # Re: Zerobin
Posté par Nico C. . Évalué à 1. Dernière modification le 27 décembre 2016 à 13:41.
Ah oui effectivement, j'avais pas vu ça.
Mais bon, passer d'un projet en PHP a un projet en Java, il a pas du reprendre beaucoup de cendres… qq concepts tout au plus…
[^] # Re: Zerobin
Posté par Pierre-Marie D . Évalué à 3.
C'est du NodeJS, absolument pas du Java.
Je suis surpris qu'il y ait encore des gens qui confondent Java et Javascript.
[^] # Re: Zerobin
Posté par Nico C. . Évalué à 2.
C'est pas du Node non plus :)
Et je confonds pas Java et Javascript… c'est juste que j'étais persuadé que c'était vraiment fait en Java. Je sais pas pourquoi…
[^] # Re: Zerobin
Posté par cmal (site web personnel) . Évalué à 3.
PrivateBin est toujours écrit en PHP. Seul le programme client qui chiffre/déchiffre les données est écrit en Javascript (ce qui est différent de Java), exactement comme dans Zerobin.
Le code source est hébergé sur Github.
[^] # Re: Zerobin
Posté par Nico C. . Évalué à 2.
Toutes mes confuses, je me suis fié à mes souvenirs qui semblent sérieusement mauvais concernant ce projet. J'étais persuadé qu'il était en Java suite à mes recherches sur le sujet il y a qq mois. J'ai du confondre avec autre chose…
Ca devient alors une magnifique solution de remplacement pour moi car j'utilise ZeroBin et je suis toujours inquiet quant à la qualité du code étant donné son abandon.
Je vais upgrader immédiatement. Merci beaucoup pour ce journal
[^] # Re: Zerobin
Posté par cmal (site web personnel) . Évalué à 0.
Il y a un article sur le blog de PrivateBin dédié aux mesures prises suite à un − bref et incomplet − audit de Zerobin en 2014.
Super nouvelle ! Si ton instance est publique, n'hésite pas à l'ajouter à la liste :-)
[^] # Re: Zerobin
Posté par Nico C. . Évalué à 2.
Non désolé, je la garde en mode privé exclusivement pour des échanges avec des clients…
[^] # Re: Zerobin
Posté par leviathan (site web personnel) . Évalué à 0.
Java ? Non, cela reste du PHP
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.