Journal CloudFlare au milieu

Posté par (page perso) . Licence CC by-sa
57
6
oct.
2015

Sommaire

Cela faisait quelque temps que je voulais écrire à propos de CloudFlare, une boîte américaine qui est de plus en plus omniprésente sur Internet. Deux événements récents m'ont finalement fait m'atteler à la tâche :

  1. La consultation publique du gouvernement sur la loi sur le numérique, https://republique-numerique.fr qui pour je ne sais quelle raison, a décidé de passer par CloudFlare
  2. Le fait que Google, Microsoft, Qualcomm et Baidu aient investit $110 millions

CloudFlare, c'est quoi ?

CloudFlare, c'est une boîte américaine qui fournit, pour des sites web, un service légitime de protection contre les attaques par déni de service distribué et qui peut aussi être utile pour éviter des espions/escrocs en « fin de parcours » (du côté de l'internaute, par exemple sur un hotspot wifi) via TLS, dans le cas où il n'est pas possible de le faire directement chez l'hébergeur.

CloudFlare prétend aussi « accélérer », augmenter la disponibilité des sites web clients, et diminuer leurs besoins en bande passante, via la mise en cache du contenu visité.

Toutes ces bonnes choses ont un coût, et avec l'utilisation de plus en plus massive de CloudFlare, j'ai l'impression que peu nombreux parmi ceux qui l'utilisent se posent vraiment la question.

Qu'est-ce qui ne va pas avec CloudFlare ?

Tout d'abord, un petit avertissement : CloudFlare n'est pas le seul Content Delivery Network problématique, et n'est probablement pas le plus mauvais, mais j'ai choisi de m'y intéresser pour trois raisons :

  1. C'est eux qui ont le vent en poupe ces derniers temps
  2. Leur infrastructure est parfaite pour facilement espionner ou modifier le trafic de leurs clients
  3. Une grosse partie de leur marketing consiste à dire qu'ils rendent le web « plus sûr », en particulier contre la NSA (rappelons qu'ils sont basés aux US)

En effet, l'intégralité du trafic concernant un site servi à travers CloudFlare passe évidemment par CloudFlare, qui est capable de loguer, bloquer, ou altérer ce dernier en temps réel (et ils le font parfois, pour des raisons légitimes).

De plus, quand TLS est activé, ils en sont le point terminal, ce qui implique qu'ils ont tout le trafic en clair (et que vous ne pouvez pas savoir si la communication entre eux et le serveur hébergeant vraiment le site est chiffrée ou pas).

En clair, CloudFlare est le parfait “Homme du milieu”.

Tout cela peut ne pas paraître très intéressant, mais cela devient plus inquiétant quand on considère que CloudFlare est utilisé par un nombre croissant de sites plus ou moins gros, dont voici une liste très loin d'être exhaustive :

  • Prestataire de paiement : HiPay (et ce n'est pas que la vitrine, les codes de carte bleu, etc. passent bien par CloudFlare !)
  • Liberté de la presse: freedom.press dont Snowden en personne est directeur
  • La plupart des sites de campagne pour les présidentielles États-Uniennes
  • Plein de communautés variées : 4chan, reddit, hackernews, …
  • Les sites de torrent les plus populaires que je connaisse : t411, The Pirate Bay
  • Certains partis politiques au travers du monde : chez nous, on peut citer les Républicains, ou des trucs plus ésotériques chers à une minorité postant parfois des journaux ici ; chez les britanniques et les américains, il y en a quelques unes
  • Des sites d'information plus ou moins spécialisés: The Register, NextInpact, Korben.info
  • Beaucoup de sites traitant de Bitcoin, d'Ethereum, et d'autres : blockchain.info, www.titanbtc.com, bitcoin.it, etherapps.info, etherchain.org, ethereumpyramid.com, … Voir à ce sujet cet article ironiquement hébergé derrière CloudFlare
  • Plein de sites pornos
  • Le site des forces de police de plusieurs comtés du Royaume-Uni : Cleveland, Gwent, Leicester, Midlands de l'Ouest
  • Sites de projets logiciels: cyanogenmod, discourse, jquery, moodle
  • Divers : is.gd, puu.sh, pastebin.com, stackexchange, mywot
  • Des trucs qui ont fait la une : Ashley Madison, HackingTeam, …

J'insiste sur le fait que CloudFlare a accès à l'ensemble du trafic de ces sites, ce qui peut inclure les mot de passes, les codes de sécurité, les numéros de carte bancaire, etc.
Il est aussi facile pour eux de croiser selon l'adresse IP d'un internaute, par exemple.

Si CloudFlare était Français, ce serait l'endroit parfait pour poser des boîtes noires.

Pourquoi CloudFlare présente une menace unique en son genre

À mon avis, les problèmes de sécurité soulevés par l'utilisation de CloudFlare sont assez différents de ceux des tiers de confiance habituel que sont les Autorités de Certification et des hébergeurs, quoi qu'ils soient finalement assez proche de ces derniers.

CloudFlare VS Autorités de Certification

Tandis qu'une autorité de certification peu scrupuleuse peut signer des certificats qui apparaîtront valide sur les navigateurs leur faisant confiance, il existe des outils pour détecter ce genre de comportements (en comparant aux certificats connus pour un domaine).

CloudFlare, par contre, est le correspondant normal pour les internautes. Du coup, il n'a pas besoin de changer le certificat pour commencer à loguer ou modifier les requêtes, ce qui le rend bien moins détectable (dans le cas d'une modification) voire pas du tout (écoute passive).

CloudFlare VS Hébergeurs

Il est vrai que la plupart des sites « protégés » par CloudFlare sont de toutes façons hébergés chez de grands hébergeurs qui ont un accès techniquement complet aux serveurs (physiques ou virtuels) en question.

Cependant, j'aime à penser qu'il est tout de même plus compliqué d'espionner/interférer avec des serveurs dont la configuration est grandement variable, et, en théorie tout du moins, surveillés par un administrateur extérieur à l'hébergeur.

De son côté, CloudFlare a une infrastructure parfaitement adaptée pour loguer, modifier ou bloquer les pages à la volée.

Cette différence n'est peut-être pas fondamentale, mais j'estime que c'est tout de même une distinction d'ordre pratique assez importante.

Dans tous les cas, avoir un premier tiers de confiance (l'hébergeur) n'est pas une raison pour en ajouter un second (CloudFlare).

Donc, CloudFlare, c'est des méchants ?

Je tiens à préciser que je n'ai fait que souligner les possibilités techniques à la disposition de CloudFlare. Je ne les accuse pas d'avoir fait ce que j'ai décrit comme potentiellement réalisable.

D'un point de vue « moral », ils ont fait quelques trucs cool :

  • Ils travaillent principalement avec des logiciels libres, et contribuent pas mal en retour, notamment sur nginx
  • Pour certains clients, ils mitigent en partie certains problèmes de sécurité en déportant une partie de la poignée de main TLS à l'hébergeur véritable. Cela veut dire que pour ces clients, ils n'ont jamais la clé correspondant au certificat TLS (mais ils peuvent quand même espionner et modifier le trafic)
  • Ils semblent se battre pour une grande transparence sur les requêtes reçues de la part de la police ou du gouvernement : https://www.cloudflare.com/transparency
  • Ils fournissent leurs services gratuitement à des organisations à intérêt public : https://www.cloudflare.com/galileo

Mais comme toute boîte, ils pourraient être en train de mentir (coucou Volkswagen), être sujets à des brèches de sécurité, ou changer leur politique dans le futur.

Ils ont également fait quelques choix (à mon avis) douteux, tels que :

  • Imposer un cookie et un captcha aux internautes derrière Tor
  • Bloquer purement et simplement l'User-Agent par défaut de Python/urllib
  • # Qui est le prestataire?

    Posté par (page perso) . Évalué à 8.

    Bonsoir,

    La consultation publique du gouvernement sur la loi sur le numérique, https://republique-numerique.fr qui pour je ne sais quelle raison, a décidé de passer par CloudFlare.

    Peut être qu'il faudrait se demander qui est le prestataire qui à remporté le marché pour faire le site de la consultation publique.
    Peut être que ce prestataire trouve que CloudFlare est pratique, sans se poser plus de questions.

    • [^] # Re: Qui est le prestataire?

      Posté par (page perso) . Évalué à 2.

      Le prestataire est Cap Collectif, je ne sais pas comment il a été choisi, ni pourquoi il a choisi CloudFlare.

      • [^] # Re: Qui est le prestataire?

        Posté par (page perso) . Évalué à 3.

        ni pourquoi il a choisi CloudFlare.

        Par hasard : pour ce que propose CloudFlare?
        (ben oui, réponse idiote, mais tu as une question idiote aussi… Les gens choisissent CloudFlare quand ils imaginent que des gugus vont s'amuser à leur péter leur petite connexion qui leur suffise si ils n'ont pas les attaques)

  • # captcha

    Posté par (page perso) . Évalué à 10. Dernière modification le 07/10/15 à 01:31.

    Imposer un cookie et un captcha aux internautes derrière Tor.

    C’est un très gros problème, n’importe quel site douteux à gros trafic (torrent, porno…) peux « imiter » la page de captcha de cloudflare, et demander à ses utilisateurs de le résoudre. Il est impossible pour un utilisateur de savoir s’il a réellement affaire aux captcha de cloudlfare ou une imitation.

    Je rappelle la méthode la plus fiable pour casser des captcha : utiliser un site proxy et soumettre les captcha à des utilisateurs d’un autre service.

          ______________
         | monblog.info |
         |‾‾‾‾‾‾‾‾‾‾‾‾‾‾|
         | write your   |
         | comment: ... |
         | ............ |
         |              |
         |  prove you   |
         |  are human   |
         |              |
      .--| captcha: pic |
      |  | answer: .... |←--------------.
      |  |______________|               |
      |                                 |
      |                                 |
      |                                 |
      |                ______________   |
      |               | grosnéné.biz |  |
      |               |‾‾‾‾‾‾‾‾‾‾‾‾‾‾|  |
      |               | do you want  |  |
      |               | to see more  |  |
      |               | stuff?       |  |
      |               |              |  |
      |               |  prove you   |  |
      |               |  are human   |  |
      |               |              |  |
      '--------------→| captcha: pic |  |
                      | answer: .... |--'
                      |______________|
                         |        ↑
                         |        |
                       __↓________|__
                      |              |
                      |     user     |
                      |______________|
    
    

    Voilà, n’importe quel site peut montrer une fausse page cloudflare, et vous connaissez l’histoire du garçon qui crie au loup: quand les personnes sont habituées à remplir compulsivement des captchas cloudflare, ces personnes ne se méfieront pas si vous présentez un formulaire àla cloudflare et ils deviennent de parfaites machines à résoudre des captchas.

    Si vous allez sur des sites torrent/porno ou autres, ne remplissez pas les captchas, vous êtes très certainement en train de participer à une opération plus vaste qui a besoin de vous pour résoudre des captchas. Après on s’étonne que la cousine a perdu son compte mail parce qu’un « pirate » a réussi à passer toute la procédure d’appropriation de compte, captcha compris, ou que des spammeurs arrivent à écrire partout leur merde, en passant outre les captchas toujours plus compliqués.

    Remarquez que cloudflare tient exactement la place de grosnéné.biz sur mon schéma (et dans tous les cas, même quand monblog.info n’a pas de captcha à résoudre), donc non seulement il est possible de profiter de la popularité de cloudflare pour faire résoudre des captchas en montrant une fausse page cloudflare, mais cloudflare est en fait l’agent le mieux placé pour demander à des internautes de résoudre des captchas de sites tiers.

    Cloudflare c’est une énorme machine à résoudre des captchas.

    Hors, comme l’explique bien ThibG, cloudflare est un homme du milieu, la page de captcha cloudflare est servie sur la même adresse que le contenu désiré, il est impossible donc de savoir si la page cloudflare est bien de cloudflare. Ce serait différent si cloudflare redirigeait vers un domaine cloudflare pour résoudre le captcha puis ensuite redirigeait vers l’adresse désirée (un peu à la façon d’OpenID) après validation.

    En fait, à chaque fois que vous voyez un captcha àla cloudflare, passez votre chemin, ne le résolvez pas, vous ne savez pas ce que vous faites. Vous êtes peut-être complice de quelque chose de malhonnête (que ce soit une vrai captcha cloudflare ou un faux captcha cloudflare), il est impossible de vérifier.

    ______ 

    Petite note juste comme ça en passant, j’ai vu récemment chez une connaissance une entrée de désinstallation de malware dans l’interface de suppression de programme de windows qui exigeait de résoudre un captcha « pour prouver que l’utilisateur est bien un humain » avant de procéder à la désinstallation. Là c’est sûr, si vous résolvez le captcha, vous êtes complice d’une intrusion ou de spam quelque part. Après s’être enrichi sur les publicités intempestives qu’il affiche ou autres choses de ce type, l’auteur du malware s’enrichit une dernière fois lors de la désinstallation en servant de proxy captcha.

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: captcha

      Posté par (page perso) . Évalué à 3.

      « Petite note juste comme ça en passant, j’ai vu récemment chez une connaissance une entrée de désinstallation de malware dans l’interface de suppression de programme de windows qui exigeait de résoudre un captcha « pour prouver que l’utilisateur est bien un humain » avant de procéder à la désinstallation. Là c’est sûr , si vous résolvez le captcha, vous êtes [elle est] complice d’une intrusion ou de spam quelque part. »

      Je sais --> []

  • # Ca fout en l'air ton texte

    Posté par (page perso) . Évalué à -7.

    En clair, CloudFlare est le parfait “Homme du milieu”.

    Un homme du milieu utilise des techniques pour intercepter.
    Ici, c'est juste un intermédiaire technique choisi par un des correspondant.

    dire que CloudFlare est un homme du milieu, c'est comme dire que ton FAI est un homme du milieu, que ton hébergeur est un homme du milieu, bref ça n'a pas de sens, car ce sont des personnes légitimes dans la transaction.

    Tout ce que tu peux dire, c'est que l'un des correspondant a choisi volontairement de filer toute sa confiance à un prestataire et que ça fait peut-être trop.

    En utilisant des expressions connues mais hors sujet, tu t'attires un certains public attiré par les mots clés (bref, du "pute à clic"), mais te fais mettre dans une case "pas sérieux, j'ai vu un endroit où il raconte n'importe quoi, j’imagine qu'il y en donc d'autres" par des gens intéressés par ce genre de problème (réel, le reste du journal me semble assez pertinent, mais j'ai un doute maintenant que tu ne m’aies pas encore mis de mots hors sujet).

    • [^] # Re: Ca fout en l'air ton texte

      Posté par . Évalué à 10.

      La position de Cloudfare ne peut pas du coup être mis au même niveau que ton FAI ou tout autre transitaire. Le premier va déchiffrer ta communication (si elle est protégée, bien entendu), le second non.

      Il est vrai que Cloudfare a obtenu l'autorisation du premier communicant pour cette position, il est moins certain que celui qui s'y connecte soit conscient du problème (surtout que l'alternative est de ne pas se connecter à une bonne partie d'Internet). Ils sont en position de lire tout le trafic TLS qui passe par chez eux, et ont donc bien la position parfaite pour passer du statut de « prestataire technique » à « homme du milieu » avec la connotation malveillante qui va avec.

    • [^] # Re: Ca fout en l'air ton texte

      Posté par (page perso) . Évalué à 7.

      En effet, le terme “Homme du milieu” est employé abusivement, c'est un tiers de confiance, mais pas toujours très visible de l'internaute (voire pas du tout, à moins de regarder qui annonce l'adresse IP de la machine à laquelle il se connecte).

      On peut pas vraiment comparer au FAI, qui, lui, n'a pas accès au trafic chiffré.

      CloudFlare est au milieu des deux correspondants, a tout en clair, et alors qu'on lui demande de faire suivre les requêtes sans modification (à part pour l'usage d'un cache et pour bloquer les attaques), est en position de surveiller et altérer le trafic, ce qui serait a priori indétectable des deux côtés.

      • [^] # Re: Ca fout en l'air ton texte

        Posté par (page perso) . Évalué à -1. Dernière modification le 07/10/15 à 11:44.

        le terme “Homme du milieu” est employé abusivement, c'est un tiers de confiance,

        Oui, la où je voulais en venir

        mais pas toujours très visible de l'internaute

        Pas moins que le nom de l'hébergeur de la machine hôte, du nom de l'admin etc…

        On peut pas vraiment comparer au FAI, qui, lui, n'a pas accès au trafic chiffré.

        Exact, mauvais exemple, je le retire et le remplace par l'admin (la personne) du serveur.

        ce qui serait a priori indétectable des deux côtés.

        tout comme si c'était l'admin qui faisait…


        Bref, je voulais seulement dire qu'il n'y a rien de nouveau (c'est un tiers de confiance d'un des correspondant) et que la désignation "homme du milieu est complètement fausse.
        (mais ça ne veut pas dire que ça ne pose pas de problème! Juste que comme les mauvais mots sont utilisés, difficile ensuite de croire que la personne qui écrit a une explication cohérente, après je conçois aussi que quand les gens ont décidé que quelque chose serait "mal", l'objectivité est laissée de côté et ce genre de "détail" ne leur est pas important, la seule chose importante étant la conclusion, qui peut être vraie pas de critique la dessus, quelque soit la manière d'y arriver, et c'est la ma critique : non, tous les moyens ne sont pas bons pour arriver à son but)

  • # Liens cassés

    Posté par . Évalué à 2.

    Juste un petit détail, dans les liens que tu donnes à propos de la transparence et de galileo, les url ne doivent pas contenir de slash à la fin (je ne connais pas le terme consacré en français)

    Si un modérateur pouvait corriger ça, ce serait super.

    • [^] # Re: Liens cassés

      Posté par (page perso) . Évalué à 2.

      Arf, zut ! Oui, ce serait bien de corriger ! Au passage, il y aurait une autre une petite chose à changer (quelle idée d'écrire si tard…) : « Une grosse partie de leur marketting considère » → « Une grosse partie de leur marketting consiste ».

    • [^] # Re: Liens cassés

      Posté par . Évalué à 2.

      slash (je ne connais pas le terme consacré en français)

      Barre oblique (et son pendant barre oblique inversée).
      Je l'utilise de temps à autre et mes interlocuteurs comprennent. Ce qui n'est pas le cas de toutes les « alternatives ».
      Après je concède que lorsqu'il y a long chemin à donner comme une URL, c'est moins efficace.

      • [^] # Re: Liens cassés

        Posté par . Évalué à 1.

        En fait, je pensais surtout à "trailing slash". Barre oblique à la fin ? Je trouve pas ça très heureux…

  • # Distinction

    Posté par . Évalué à 4.

    AMHA tu ne distingue pas différent service que propose CloudFlare (en fait tu ne les décris même pas).

    Utiliser un CDN pour stocker des libjs, si le CDN en question est suffisament répandu ça permet d'avoir un cache « multi-site » : le CDN t'envoie une fois la lib quand tu es sur le site A en t'indiquant qu'il est valide pendant un an et quand tu va sur le site B ton navigateur réutilise la version en cache de la lib.

    Que je sache c'est l'un des très gros usages de CDN et ça ne pose pas de gros problème (AMHA).

    Pour ce qui est d'avoir un microsite et de fournir du contenu énorme (des vidéos) pour économiser sa bande passante en utilisant un CDN (pour le coup même youtube peut être utilisé comme CDN. C'est déjà plus tendancieux puisque le CDN a accès à tout, mais c'est en effet un choix du créateur du site (il peut aussi utiliser S3 par exemple qui dans son fonctionnement sera un peu plus neutre).

    Après là où il y a un vrai énorme problème c'est ceux qui font passer tout leur site par le CDN et c'est ce que propose CloudFlare et qui est sensé rendre le web plus sûr, etc (grosso modo tu peu avoir ton site auto hébergé et utiliser cloudflare comme proxy, si tu éteint ta machine une version statique de ton site reste accessible).

    Ce sont des usages très différents !

    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

    • [^] # Re: Distinction

      Posté par (page perso) . Évalué à 3.

      En effet, il y a différentes utilisations possibles de CloudFlare. Tu peux l'utiliser purement comme un CDN pour des choses comme des libs JS, de façon « centralisée » ou « multi-site » comme tu dis, et cela pose moins de problème. Enfin, cela pose toujours problème, mais c'est facilement mitigé par quelque chose comme https://hacks.mozilla.org/2015/09/subresource-integrity-in-firefox-43/

      Mais l'usage principal de CloudFlare, et la manière dont ils t'encouragent à l'utiliser, c'est comme un truc magique qui va gérer l'intégralité de ton trafic, bloquer les attaques par déni de service, automatiquement mettre en cache les données statiques… c'est d'ailleurs la seule vrai façon d'éviter les attaques par déni de service : si tu as un bout qui dépasse, il peut être attaqué, si tu es derrière CloudFlare, ils peuvent absorber la charge.

    • [^] # Re: Distinction

      Posté par (page perso) . Évalué à 4.

      Que je sache c'est l'un des très gros usages de CDN et ça ne pose pas de gros problème (AMHA).

      Ca peut, un problème de sécurité en cas de faille XSS sur un site. Cf. ce journal.

      Pour résumer, utiliser un CDN permet, en cas de faille XSS, de charger toute une panoplie de scripts javascript (par exemple, AngularJS) et de fil en aiguille exploiter la faille.

  • # s/cloud/crime/

    Posté par . Évalué à 10. Dernière modification le 07/10/15 à 14:42.

    CloudFlare c'est surtout le vecteur de toutes les saloperies du net,
    et ils sont plus que complaisants dans l'histoire.
    http://www.crimeflare.com/

    Cloudflare ne communique pas l'identité du propriétaire,
    Cloudflare ne vérifie pas l'identité du propriétaire,
    Cloudflare ne bloque pas les sites, qqsoit le contenu,
    Cloudflare renvoie uniquement les plaintes au proprio de l'IP

    C'est pour cela qu'un domaine cloudflare, lié à whoisguard,
    c'est devenu la méthode préférée pour le phishing et autre scams.

    Plutôt que hacker des serveurs qui tomberont une fois signalés,
    le crime organisé préfère maintenant prendre un domaine avec une identité bidon,
    ajouter une couche whoisguard (évite la fermeture sur faux whois par intervention par le biais icann->registrar),
    l'héberger sur un serveur hacké, un hébergeur complaisant (ru, cn) ou loué avec une identité bidon chez un hébergeur régulier,
    et cacher le tout derrière cloudflare qui ne révèlera jamais l'identité du propriétaire.

    Encore plus vicieux, le contenu réel hébergé sur un AS controllé ou usurpé. (Aucune chance que les plaintes cloudflare n'aboutissent, elles arrivent au hacker !)

    Les IP Cloudflare sont par ailleurs déjà blacklistées par défaut sur nombre de RBL (intérêt limite, mais…).

    • [^] # Re: s/cloud/crime/

      Posté par . Évalué à 3.

      De plus, il peut-être assez facile de récupérer l'adresse du serveur dernière Cloudflare ou des adresses associés ( même AS, réseau ) pour qui veut bien s'en donner la peine. Par exemples :
      - Se faire envoyé un mail par le serveur ( suivi de conversation, création de compte, … )
      - Faire résoudre un nom d'hôte ou un reverse DNS par le serveur si on peut surveiller le serveur DNS qui doit y répondre.
      - Observer les autres enregistrements DNS de la zone.
      - Et beaucoup d'autres.

      Les petits pirates peuvent donc aller taper directement sur le serveur pour l'asservir ou envoyer directement un DDoS dessus ou sur une IP du réseau/AS. Cloudflare ne sert donc plus à rien dans ce cas.

      • [^] # Re: s/cloud/crime/

        Posté par . Évalué à 2.

        Est-ce qu'il existe un système de cache crypté ? Un des meilleurs moyens d'avoir un CDN neutre, est qu'il puisse stocker une grosse partie des fichiers de façon crypté et sans avoir la clef.

        Je ne sais pas si http2 permet ce genre de chose, mais cela serait très pratique.

        "La première sécurité est la liberté"

        • [^] # Re: s/cloud/crime/

          Posté par . Évalué à 2.

          Avec du JS, c'est possible. Mais l'intérêt est moyen car il suffit d'aller sur ton site pour avoir la clé ou il faudrait un sacré moyen de gestion de clé et là c'est l'intérêt d'utiliser un CDN qui devient moyen.

          Le problème ici, c'est pas vraiment le CDN ( qui normalement entrepose quelques fichiers et c'est tout ) qui n'est autre qu'un tiers dans la communication client-serveur. Le problème, c'est que cloudflare s'interpose entre le client et le serveur.

    • [^] # Re: s/cloud/crime/

      Posté par (page perso) . Évalué à 10. Dernière modification le 07/10/15 à 21:07.

      Il y a en effet plein de petits « dealers » sur la toile qui ont absolument besoin d’avoir une page html traditionelle, car il est très facile de monétiser une page web (publicité par exemple), et c’est là que cloudflare intervient.

      J’en profite donc pour partager une pensée personnelle à propos de bittorent que je vais employer comme exemple de « petit commerce ».

      En soit bittorrent est un outil neutre (je ne suis pas convaincu que tous les outils soient neutres, non, mais certains le sont, bittorrent est de ceux-là), mais par contre, le protocole bittorrent manque cruellement d’un mécanisme d’annonce de contenu.

      Et je pense que cet oubli (ou le fait que cette absence n’aie jamais été comblée) n’est pas anodin. En effet, même sans l’intégrer au protocole bittorrent, on aurait pu imaginer un réseau p2p faisant seulement office d’annuaire et voilà, un protocole à la façon du bon vieil emule, mais ne partageant que des « graines ». C’est techniquement très accessible. Mais voilà, ça n’existe pas ou cela semble très confidentiel.

      Tous les prédécesseurs de bittorrent (emule, kazaa, etc.) fournissaient un annuaire intégré, bittorrent ne le fait pas. J’ai comme l’impression que ce n’est pas une lacune involontaire : la « graine » d’un torrent est une information monnayable, et il y a une énorme industrie qui s’enrichit sur la fourniture d’annuaire de « graine » : publicité, proxy-captcha, etc.

      L’utilisateur de bittorrent est toujours obligé de passer par des portails qui sont tout sauf peer to peer, traditionnellement de bonnes vieilles pages html…

      Ainsi Bittorrent est une énorme régression, car il permet toute une industrie mafieuse que ne permet pas un réseau totalement décentralisé où les pairs annoncent aux pairs leurs fichiers : il n’y a plus seulement des individus qui s’échangent des fichiers, mais des « dealers » qui monétisent l’accès à l’échange de fichier.

      Avec bittorrent, puisqu’il faut passer par des annuaires centralisés pour récupérer les « graines », l’utilisateur qui télécharge illégalement un film (par exemple) n’est pas seulement hors la loi en téléchargeant le film, il est surtout complice d’une industrie.

      Et c’est là que cloudflare rentre en jeu. Je viens de faire un bref test que vous pouvez reproduire en toute légalité : installez et lancez tor browser, faites une recherche rapide sur le moteur de recherche par défaut avec le mot clé "torrent", vous devriez tomber sur une page référençant des annuaires de torrent, tentez d’accéder à autant d’annuaires que vous pouvez : vous n’aurez même pas besoin de rechercher un film ou n’importe quoi (jusqu’ici vous ne faites que naviguer et vous êtes toujours dans la légalité), et essayez de ne pas passer par cloudflare… essayez seulement…

      Et oui, la « personne » qui profite le plus de toutes ces activités illégales est probablement cloudflare.

      Bref, il y a des millions de sites qui essaient chacun de se faire de l’argent avec des pubs, en redistribuant des malwares, ou en faisant résoudre des captcha à leurs utilisateurs en les attirant avec des choses excitantes (films « piratés », etc.), et il y a une « personne » qui se sucre sur ces millions de petit business douteux : cloudflare.

      cloudflare a réussi à se placer comme fournisseur d’accès à tous ces petits dealers, c’est une forme de blanchiment au bénéfice de cloudflare seul (les petits dealers qui se nourrissent avec de l’argent sale paient leur accès à cloudflare, mais dans les mains de cloudflare, cet argent est propre).

      J’ai développé l’exemple du commerce de « graîne » bittorrent, mais on peut imaginer des tas d’autres scénarios du même type.

      ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: s/cloud/crime/

        Posté par (page perso) . Évalué à 1.

        Édifiant et terrifiant.

        C’est techniquement très accessible. Mais voilà, ça n’existe pas ou cela semble très confidentiel.

        Il existe des projets faisant ça ? Ou des gens motivés pour le faire et ayant les connaissances à contacter ? Je serais ravie de soutenir un projet de ce genre.

    • [^] # Re: s/cloud/crime/

      Posté par (page perso) . Évalué à 2.

      Ouais enfin dans la même logique, Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: s/cloud/crime/

        Posté par (page perso) . Évalué à 2.

        Toi tu n’as pas lu mon commentaire.

        Je ne dis pas que « Bittorrent c’est le mal parce qu’on peut partager des fichiers sans se soucier du droit d’auteur » ou autre chose du même niveau que « Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement ».

        Je dis que Bittorrent est un protocole de transfert de fichier décentralisé avec un point d’entrée hyper spécialisé, ce qui permet le commerce de cette entrée, et donc permet des commerces douteux. Et jusque là ça va encore.

        Là où cela devient gênant, c’est quand, pour trouver un fichier qui t’intéresse, tu doive passer par un point d’entrée qui te rendre complice d’une économie que tu réprouves.

        En clair, il est possible que ta conscience morale ne réprouve pas le fait de télécharger le dernier avenger (la contrefaçon n’est pas du vol), mais que ta conscience morale réprouve d’aller télécharger la graine sur un annuaire rempli de publicité pour des trucs douteux et d’arnaques (avec des clics sponsorisés pour récupérer la graine).

        Perso j’évite les deux, j’ai suffisamment d’ami pour me prêter leurs films (et inversement je peux leur prêter les miens), ça permet de se retrouver pour échanger à ce sujet et tout. Mais je comprends parfaitement que quelqu’un ne veuille pas passer par ces portails.

        En fait c’est exactement comme utiliser sourceforge pour héberger son logiciel libre (légal) quand on réprouve la politique d’escroc de sourceforge, qui se nourrit des arnaques par l’intermédiaire du système de publicité (qui ne sert quasiment qu’à annoncer des arnaques).

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: s/cloud/crime/

          Posté par (page perso) . Évalué à 2.

          Toi tu n’as pas lu mon commentaire.

          Effectivement. D'ailleurs ça n'est pas à toi que je répondais. Je n'ai pas lu ce commentaire non plus au delà de la phrase que j'ai cité.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: s/cloud/crime/

            Posté par (page perso) . Évalué à 2.

            Ouuh, oui tiens c’est étrange, je suis arrivé sur ton commentaire en passant par "Mon tableau de bord" qui m’indiquait une réponse à mon propre commentaire… bizarre bizarre !

            Au temps pour moi toussa.

            ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: s/cloud/crime/

        Posté par . Évalué à 2.

        Ouais enfin dans la même logique, Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement.

        Logique bidon qu'on peut réduire en:

        Ouais enfin dans la même logique, Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement.

        et encore en:

        Ouais enfin dans la même logique, Tor c'est le mal parce que ça permet aux méchants de communiquer anonymement.

        Et non, tor ne "permet" rien, parce qu'il ne peut prendre de décisions et que le contenu n'est pas connu.

        A la différence de cloudflare qui est avertit de certains contenus illicites, ont l'identité des auteurs, et ne font rien.

        • [^] # Re: s/cloud/crime/

          Posté par (page perso) . Évalué à 2.

          Donc en tant qu'opérateur de noeud tor, il est de mon devoir de surveiller le trafic que je fais passer et de dénoncer tout ce qui me semble illégal/amoral/contraire à mes convictions religieuses/dangereux pour la pérennité du Logiciel Libre/… aux autorités compétentes ? Je note.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # faut arrêter de tout diaboliser

    Posté par . Évalué à -6.

    "Prestataire de paiement : HiPay (et ce n'est pas que la vitrine, les codes de carte bleu, etc. passent bien par CloudFlare !)"

    Tu es en train de proclamer haut et fort que CF se pose en MITM sur une infra de paiement que tu ne connais pas, pour une société que tu ne connais pas, et dans un contexte que tu ne connais pas.

    Premièrement, CF a été choisi pour faire office de frontal contre les attaques volumétriques et autres script kiddies, tu m'excuseras mais on a pas tous 8x40gb d'uplink.

    Deuxièmement, que le prestataire technique choisi soit CF, tartampion ou TamaireInc, les numéros de CB passent toujours sur les interwebs , via des AS hors de ton contrôle et des équipements hors de ton contrôle.
    Si a un moment donné tu as cru que le TLS apportait ne serait-ce qu'une once de sécurité, c'est peut être le moment de te re pencher sur le sujet.
    On n'a pas opté pour l'option de tirer des lignes X25 avec chaque client, on s'est dit que c'était peut être un peu overkill.

    Troisièmement, HiPay est certifié PCI-DSS depuis 2013 (CF est également certifié PCI-DSS d'ailleurs).
    Je t'invite à jeter un oeil rapide à la liste des requirements dressés par le Council pour avoir son attestation de compliance.

    Tu as sûrement une alternative viable techniquement et économiquement, envoie ton CV et on en parlera pendant ton entretien.
    Potasse bien le sujet hein ;)

    Sans rancune.

    • [^] # Re: faut arrêter de tout diaboliser

      Posté par . Évalué à 10. Dernière modification le 08/10/15 à 14:32.

      Tu es en train de proclamer haut et fort que CF se pose en MITM sur une infra de paiement que tu ne connais pas, pour une société que tu ne connais pas, et dans un contexte que tu ne connais pas.

      Peux-tu justifier que non les codes, ne sont pas accessible en clair par CloudFlare ?

      Deuxièmement, que le prestataire technique choisi soit CF, tartampion ou TamaireInc, les numéros de CB passent toujours sur les interwebs , via des AS hors de ton contrôle et des équipements hors de ton contrôle.

      La question est, passent-ils chiffrés ou en clair ? Qu'ils passent chiffrés sur des infrastructures non contrôlées est justement la justification de l'emploi du chiffrement.

      Si a un moment donné tu as cru que le TLS apportait ne serait-ce qu'une once de sécurité, c'est peut être le moment de te re pencher sur le sujet.

      Ton discours transpire la condescendance. Il serait apprécié par tous que tu développe ce point. Il y a eu quelques faiblesses dans TLS ça a fait un bruit monstre, il y a eu nombre de faiblesses dans les implémentations de TLS, ça a fait un bruit monstre. Il m'est d'avis que si TLS n'apportait rien en terme de sécurité qu'on se serait tut.

      Après non, je ne pense pas que le fait que CloudFlare en tant qu'intermédiaire pose un problème dans les opérations financières, le problème à mon avis est plus au niveau du secret des communications vis à vis des agences de renseignement américaines, et non une menace particulière sur les numéros de carte bancaire.

      Je suis d'accord avec toi, l'exemple d'HiPay est un mauvais exemple pour illustrer le propos de ce journal. Mais au lieu de l'argumenter, de répondre point par point, de manière civilisée et polie, tu réponds de manière agressive, la dernière phrase étant à mon sens une bonne illustration de la violence de ton propos, et à coté de la plaque au niveau technique et politique.

      Dans l'espoir de te voir répondre de manière précise correcte et civilisée, ou dans l'espoir de ne jamais te voir poster un second message avec ce compte créé pour l'occasion, je me permets de te souhaiter une bonne journée.

      • [^] # Re: faut arrêter de tout diaboliser

        Posté par . Évalué à 7.

        En ce qui concerne ta première question, oui je le peux, et je le fais :
        Cloudflare est certifié PCI-DSS.

        Si l'on ne croit plus en la certification PCI-DSS et à son adhérence par les entités qui ont obtenu leur AOC, délivrée par des assesseurs certifiés par Visa, Mastercard et compagnie, alors on remet tout le système en question.
        Ça revient au même que de remettre en question les root CA et l'utilisation de TLS.

        En ce qui concerne ton second point, la conformité à PCI-DSS interdit formellement :
        - le transit, en clair, de Primary Account Numbers, à savoir de numéros de carte
        - le stockage, en clair, d'un PAN
        - le stockage, sous quelque forme qu'il soit, du CVV

        Ainsi, non seulement les numéros de carte sont obligatoirement transmis de manière chiffrée, mais leur stockage est également soumis à régulation, à savoir un chiffrement double en utilisant 2 clés possédées par des personnes physiques différentes.

        J'ajouterais qu'il est interdit de logguer les numéros de carte, à défaut de faire subir à ces logs les mêmes contraintes de double chiffrement.

        Enfin et pour en finir sur la sécurité, la certification exige que soient menés chaque trimestre :
        - un scan externe des infras, par un ASV (ex, qualys)
        - un scan interne des infras, via un outil répondant aux exigences PCI (ex, Nessus)
        - une revue des règles firewall
        - une revue du fonctionnement des caméras
        - une revue des ports réseau et VLANs par lesquels transitent des PANs

        Pour rebondir sur "des infras non contrôlées", le problème reste entier, utilisation de Cloudflare ou non :
        - akamai ? même deal
        - hébergement chez online ? même deal, tu passes par leur AS et leur matos réseau
        - hébergement en propre ? même deal quand même, t'es pas un tier1 tu dois forcément passer par un transitaire quelconque, et mécaniquement, ses équipements réseau

        Pour ce qui est de ton dernier point, je te signale quand même que c'est OP qui sort un article avec des faits fondamentalement incorrects, et que ces derniers ne peuvent rester sans réponse.

        Aux dernières nouvelles on vend pas des ours en peluche, on traite des millions de transactions bancaires, l'impact en termes d'image n'est pas le même.

        Sous-entendre que CF espionne les clients HiPay est dommageable pour la réputation des deux entités, et basé sur de la pure spéculation.
        On n'est pas au JT à essayer de faire de l'audimat à tout prix là, on essaye de discuter posément de problématiques techniques.

        Oui, CF pourrait intercepter les numéros de carte, au même titre que Akamai, Amazon, ou n'importe qui d'autre dont les équipements servent à un moment ou un autre pour faire transiter les données.
        Non, CF ne le fait pas car ils subissent tout comme les autres entités certifiées PCI, un audit annuel au cours duquel leurs logs sont épluchés, leurs configurations vérifiées, leurs équipes auditées.

        C'est aussi simple que ça, quand on est pas sûr de ses infos, il ne faut pas propager de fausses rumeurs, ce qu'a fait OP sans chercher à approfondir sa réflexion, ou tout simplement à contacter les équipes techniques pour avoir des réponses à ses questions.

        C'est pourtant la base de toute entreprise vaguement journalistique (et pense bien qu'écrire un article à portée publique en est une), que de s'assurer de la véracité des informations que l'on poste.

        Nous tenons à la disposition de quiconque la demande l'Attestation Of Compliance PCI-DSS délivrée à HiPay.
        Cette seule certification, régie par les grands noms du secteur bancaire [1], suffit à elle seule à confirmer l'intégrité des données traitées par la plateforme.

        [1] https://www.pcisecuritystandards.org

        • [^] # Re: faut arrêter de tout diaboliser

          Posté par . Évalué à 8.

          Merci pour ces précisions. Toutefois il reste encore quelques points.

          En ce qui concerne ton second point, la conformité à PCI-DSS interdit formellement :
          - le transit, en clair, de Primary Account Numbers, à savoir de numéros de carte
          […]

          Oui, mais au sein CloudFlare le flux peut être dechiffré avant d'être rechiffré, il n'est pas impossible que de l'espionage se situe entre ces deux étapes. La question n'est pas de savoir si c'est le cas, si c'était le cas la réponse serait la même que si ce n'était pas le cas, mais de savoir si c'est possible, et uniquement cela. Tu réponds à cette question par la suite, je t'en remercie.

          Pour ce qui est de ton dernier point, je te signale quand même que c'est OP qui sort un article avec des faits fondamentalement incorrects, et que ces derniers ne peuvent rester sans réponse.

          Non, il n'a pas imputé de faits, il a juste parlé de la position de CloudFlare et de la possiblilité technique de pratiquer un espionnage. Possiblilité technique que tu évoques ultérieurement. Oui la possiblilité technique peut être dommageable à la réputation, mais elle est là, et tu l'admets très bien.

          Là ou il y a une divergence entre toi est l'auteur de ce journal, c'est que l'auteur de ce journal s'interroge sur les possibilités qu'impliquent la position de CloudFlare, et je partage ses craintes et interrogations sur ce point.

          Pour ta part, tu imputes à l'auteur la propagation de fausses rumeurs et information, information que pourtant tu as confirmé dans ton message. Nous parlons de possiblilité technique, et uniquement cela. Après sur le risque induit, il me parait élevé dans le cadre de l'atteinte à la vie privée par les agences de renseignement mais il me parrait ridicule pour les transactions financières, la certification que tu présente allant dans ce sens. Mais il reste qu'au niveau technique c'est possible, et que si une agence américaine l'y contraint, il est totalement possible que le trafic soit espionné.

          Je suis mal à l'aise à la lecture de ton message. Tu es d'accord avec l'auteur du journal, qui ne parle que de technique, et tu l'attaque sur une éventuelle interprétation politique et dommageable à la réputation, interprétation qu'il ne fait ni sous-entend.

        • [^] # Re: faut arrêter de tout diaboliser

          Posté par (page perso) . Évalué à 2.

          En ce qui concerne ton second point, la conformité à PCI-DSS interdit formellement :
          - le transit, en clair, de Primary Account Numbers, à savoir de numéros de carte
          - le stockage, en clair, d'un PAN
          - le stockage, sous quelque forme qu'il soit, du CVV

          Ainsi, non seulement les numéros de carte sont obligatoirement transmis de manière chiffrée, mais leur stockage est également soumis à régulation, à savoir un chiffrement double en utilisant 2 clés possédées par des personnes physiques différentes.

          J'ajouterais qu'il est interdit de logguer les numéros de carte, à défaut de faire subir à ces logs les mêmes contraintes de double chiffrement.

          Enfin et pour en finir sur la sécurité, la certification exige que soient menés chaque trimestre :
          - un scan externe des infras, par un ASV (ex, qualys)
          - un scan interne des infras, via un outil répondant aux exigences PCI (ex, Nessus)
          - une revue des règles firewall
          - une revue du fonctionnement des caméras
          - une revue des ports réseau et VLANs par lesquels transitent des PANs

          Merci pour ces précisions (je lirai les documents de certification PCI-DSS plus tard).
          Une question que je me pose, par contre (n'y vois aucune attaque), c'est si les données de HiPay sont considérées par CloudFlare comme des informations sujettes à la certification PCI-DSS.

          Pour rebondir sur "des infras non contrôlées", le problème reste entier, utilisation de Cloudflare ou non :
          - akamai ? même deal
          - hébergement chez online ? même deal, tu passes par leur AS et leur matos réseau
          - hébergement en propre ? même deal quand même, t'es pas un tier1 tu dois forcément passer par un transitaire quelconque, et mécaniquement, ses équipements réseau

          Je ne vois pas pourquoi les équipements réseau du transitaire auraient tes données en clair, ce qui est le cas de CloudFlare.

          Pour ce qui est de ton dernier point, je te signale quand même que c'est OP qui sort un article avec des faits fondamentalement incorrects, et que ces derniers ne peuvent rester sans réponse.

          Lesquels ?

          Sous-entendre que CF espionne les clients HiPay est dommageable pour la réputation des deux entités, et basé sur de la pure spéculation.

          Je ne sous-entend pas que CloudFlare l'a fait, le fait, ou le fera, je parle de la possibilité technique qu'ils ont de le faire.

          Oui, CF pourrait intercepter les numéros de carte, au même titre que Akamai, Amazon, ou n'importe qui d'autre dont les équipements servent à un moment ou un autre pour faire transiter les données.

          Je vois qu'on est d'accord, en fait.

          Non, CF ne le fait pas car ils subissent tout comme les autres entités certifiées PCI, un audit annuel au cours duquel leurs logs sont épluchés, leurs configurations vérifiées, leurs équipes auditées.

          C'est aussi simple que ça, quand on est pas sûr de ses infos, il ne faut pas propager de fausses rumeurs, ce qu'a fait OP sans chercher à approfondir sa réflexion, ou tout simplement à contacter les équipes techniques pour avoir des réponses à ses questions.

          C'est pourtant la base de toute entreprise vaguement journalistique (et pense bien qu'écrire un article à portée publique en est une), que de s'assurer de la véracité des informations que l'on poste.

          Encore une fois, je ne dis pas que CloudFlare espionne, je dis juste qu'ils en ont la capacité, et que ça me paraît dommageable de donner autant de confiance à un même acteur. Désolé s'il semblait en être autrement.

          Nous tenons à la disposition de quiconque la demande l'Attestation Of Compliance PCI-DSS délivrée à HiPay.

          Merci pour l'information !

    • [^] # Re: faut arrêter de tout diaboliser

      Posté par (page perso) . Évalué à 2.

      Premièrement, CF a été choisi pour faire office de frontal contre les attaques volumétriques et autres script kiddies, tu m'excuseras mais on a pas tous 8x40gb d'uplink.

      Je n'ai jamais dit le contraire, et je suis tout à fait d'accord que se prémunir d'attaques par déni de service distribué n'est pas chose aisée. Mais cela pourrait se faire au niveau IP et ne pas nécessiter de déchiffrer le trafic TLS (après, difficile de faire la différence pour l'internaute…)

      Deuxièmement, que le prestataire technique choisi soit CF, tartampion ou TamaireInc, les numéros de CB passent toujours sur les interwebs , via des AS hors de ton contrôle et des équipements hors de ton contrôle.

      J'ose espérer que tu n'es pas en train de dire que chez HiPay, ces données passent en clair sur les interwebs et par différents AS.

      Si a un moment donné tu as cru que le TLS apportait ne serait-ce qu'une once de sécurité, c'est peut être le moment de te re pencher sur le sujet.

      Euh… on laisse tout tomber alors ?

      Troisièmement, HiPay est certifié PCI-DSS depuis 2013 (CF est également certifié PCI-DSS d'ailleurs).
      Je t'invite à jeter un oeil rapide à la liste des requirements dressés par le Council pour avoir son attestation de compliance.

      Je lirai ça à l'occasion.

      Tu as sûrement une alternative viable techniquement et économiquement, envoie ton CV et on en parlera pendant ton entretien.

      Désolé, mais je ne suis pas actuellement à la recherche d'un emploi, mais merci pour la proposition.

      • [^] # Re: faut arrêter de tout diaboliser

        Posté par . Évalué à 2.

        Je n'ai jamais dit le contraire, et je suis tout à fait d'accord que se prémunir d'attaques par déni de service distribué n'est pas chose aisée. Mais cela pourrait se faire au niveau IP et ne pas nécessiter de déchiffrer le trafic TLS

        Il faut alors que tu puisses dissocier le trafic du DDOS du trafic légitime en regardant uniquement la fréquence des requêtes et les métadonnées. Ça ne me semble pas vraiment évident (enfin, ça dépend comment le DDOS est fait).

      • [^] # Re: faut arrêter de tout diaboliser

        Posté par . Évalué à 2.

        Partons sur des petits rappels historiques teintés de parano :
        - le GPS, utilisation civile, origine militaire
        - ARPAnet, utilisation civile, origine scientifique à portée militaire
        - cryptographie, origine militaire

        Les équipements disponibles dans le domaine militaire sont, constamment, en avance sur ce qui est utilisé dans le civil.

        On peut à ce sujet s'intéresser de plus près à la NSA et à ses pratiques [1].
        Pour rappel l'une de leurs techniques consiste à modifier les firmwares des disques [2] pour injecter des modules kernel dans différentes versions de Windows.
        Rien ne les empêche, si ça n'est déjà fait, de s'attaques aux kernels linux et faire la même.
        Ça me semble pas bien sorcier de surcharger la libc pour altérer un tout petit peu les calls à exec() et execve().

        Mais la machine end-user, c'est pour du ciblé hein, voyons plus large !
        Les routeurs, allez on va prendre Cisco ils en vendent plein [3].
        Tu t'en fous, t'as des Juniper t'es safe… ah bah non [4].

        Vous vous demandez où je veux en venir avec ça ?
        C'est très simple, pour quelqu'un de déterminé et avec des ressources suffisantes, TLS ne vous protègera pas plus qu'un parapluie en pleine tempête.

        Alors oui, c'est toujours mieux d'utiliser TLS parce que ça protège du gros des attaques, mais c'est pas non plus le miracle de sécurité auquel on voudrait nous faire croire.

        Même les petits kékés qui se croient safe derrière leur service payant de VPN IPSEC oublient ce fait fondamental, leur machine a déjà été infectée, au boot, et sans qu'une quelconque réinstallation ou solution antivirus ne règle le problème.

        Pour répondre à cette question de fond "est-ce que les numéros de carte passent en clair ?", la réponse est non.
        Déjà parce qu'en dépit des problèmes liés à SSL/TLS ça serait débile, et ensuite parce que de toutes façons si on veut garder notre certif bah on n'a pas le choix ;)

        On peut légitimement se demander "mais ça se trouve CF ils déchiffrent, et ensuite ils font transiter en clair dans leur infra".
        Et oui, c'est possible.
        C'est possible, mais si c'est fait, ça l'est avec l'accord de leur QSA pour la certif PCI-DSS.
        Et à partir de ce moment, il n'y a pas grand chose que l'on puisse faire.

        Au surplus, pour reverse proxy les requêtes vers notre propre infra, ils doivent re-chiffrer la connexion parce qu'on n'accepte pas l'HTTP cleartext.
        En ce sens, recevoir en chiffré, déchiffrer dans leur infra, puis re-chiffrer pour nous reverse proxy la requête, c'est gâcher de la CPU.
        Et à priori, quand tu veux faire des $$ (parce qu'après tout CF c'est pas non plus une asso à but caritatif hein), tu essayes de gâcher le moins possible.

        Lisez les exigences de la certif, c'est particulièrement intéressant.
        Vous le verrez, c'est tout autant contraignant…
        On doit isoler physiquement les bécanes, tout chiffrer, tout compartimenter, tout logguer, utiliser des postes de travail certifiés…

        Vous vous doutez que le choix d'utiliser CF a été fait en connaissance de cause.
        Oui, ils pourraient intercepter les PANs, tout comme oui, je pourrais également intercepter les PANs.
        Mais ils ont un business model à tenir, et moi j'ai un taf à garder.

        Enfin, Thib, en ce qui concerne les solutions anti-DDoS et le fait de se prémunir directement au niveau IP.
        D'une part, c'est fait, on a des solutions en place dans ce sens.
        D'autre part, la seule vraie solution pour être vraiment safe contre de la grosse DDoS, c'est de passer par des centres de scrubbing spécialisés.
        Et pour passer par ces centres, le prestataire technique doit annoncer tes préfixes à ta place.
        Et le jour où ils leak 200k routes à cause d'une erreur de config [5], bah les autres transitaires coupent la session avec eux, et comme c'était les seuls à t'annoncer tu t'es fait self DoS.

        Malheureusement rien n'est parfait, et on fait tous du mieux qu'on peut.
        Dites-vous bien que, aussi légitimes que soient vos questions, au final nous on a un seul objectif, c'est de sécuriser les PANs, pour contenter nos différents auditeurs, mais aussi les organismes légaux (genre la Banque de France).

        [1] http://www.theregister.co.uk/2015/03/12/nsas_on_drugs_infosec_bods_unveil_space_grade_malware/
        [2] http://www.theregister.co.uk/2015/02/17/kaspersky_labs_equation_group/
        [3] http://www.infoworld.com/article/2608141/internet-privacy/snowden--the-nsa-planted-backdoors-in-cisco-products.html
        [4] https://gigaom.com/2013/12/29/nsas-backdoor-catalog-exposed-targets-include-juniper-cisco-samsung-and-huawei/
        [5] http://www.bgpmon.net/massive-route-leak-cause-internet-slowdown/

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.