HTTPS, Tor, VPN : de quoi est‐ce que ça protège exactement ?

54
6
nov.
2019
Internet

La dépêche « Protéger sa vie privée sur le Web, exemple avec Firefox » (février 2018) a ouvert des questions sur la protection par HTTPS, Tor et VPN. Ces techniques protègent, mais contre quoi et dans quelles limites ? Cet article essaie de l’expliquer plus en détails. N’ayez pas l’illusion d’être totalement protégés en utilisant l’une d’elles : soit, elle ne permet pas vraiment ce que vous croyez, soit il faut l’utiliser d’une certaine façon ou la compléter d’autres précautions pour avoir le résultat attendu.

En effet, pour bien dissimuler votre navigation il faut tenir compte des limites techniques. C’est comparable au chiffrement de vos courriels (même de bout en bout) qui peut être insuffisant pour dissimuler entièrement votre message à un espion. Par exemple, si vous chiffrez votre courriel, mais que celui-ci a pour objet « j’ai des morpions » ou que vous l’adressez à sos-morpions@sante.gouv.fr, le contenu et les pièces jointes de votre message ont beau être chiffrés, un espion peut quand même en avoir une relativement bonne idée, car les métadonnées et l’objet ne sont pas chiffrés.

Sommaire

I feel like a secret detective, par binkle_28, sous CC BY-SA 2.0I feel like a secret detective, par binkle_28, sous CC BY-SA 2.0

HTTPS

HTTPS n’a pas été conçu pour dissimuler l’identité (techniquement, le hostname, ou nom d’hôte) du site accédé.

Explications techniques

Fonctionnement et limites du procédé

HTTPS consiste à chiffrer les échanges HTTP avec TLS (originellement, du SSL). Toute la requête HTTPS est donc chiffrée, le chemin mais aussi le nom d’hôte (contenu dans l’en‑tête Host). Cependant, le nom d’hôte (l’adresse du site Internet) peut fuiter d’autres manières. Par exemple, parce que la requête DNS du nom est faite juste avant la requête HTTP. Mais ce qui le donne le plus souvent est l’extension SNI, qui donne justement le nom en clair à l’initiation de la connexion TLS.

SNI n’a pas comme objectif principal de détruire la vie privée mais simplifie le fonctionnement quand la communication est chiffrée. Il permet à un serveur Web qui possède plusieurs certificats de présenter celui que le client attend. Il permet aussi à un répartiteur de charge d’envoyer la requête sur le bon serveur sans devoir déchiffrer le TLS (et peut donc gérer plus de connexions). Une nouvelle version, Encrypted SNI, permet justement de cacher ce nom de domaine. Elle est en cours de déploiement par les navigateurs et les serveurs Web.

Le HTTPS ne cache pas non plus l’adresse IP de destination.

Attaque de l’homme du milieu

Il est relativement aisé de procéder à une attaque MITM et ainsi d’accéder au contenu de la communication en clair : votre employeur qui a installé le certificat de son autorité de certification interne sur votre poste (vous chiffrez alors sans le savoir avec la clé de votre employeur…), votre FAI ou une agence gouvernementale qui a accès aux certificats d’une autorité supposée de confiance, etc. Le système de « sécurité » de votre employeur peut aussi être obsolète, on a pu voir des boîtes noires communiquer en SSL et non plus en TLS vers Internet, ce qui peut entraîner des fuites de données en plus de celle extraite du serveur mandataire (proxy) menteur.

Exemples

Mettons de côté l’attaque par déchiffrement décrite ci‑dessus, et supposons qu’un espion qui ne peut pas déchiffrer ma communication souhaite en savoir plus sur mes activités en ligne, voici des exemples de ce qu’il pourra observer.

Lorsque je navigue en HTTPS sur Wikipédia, cet espion qui intercepterait ma requête saurait que j’accède à l’encyclopédie et pourrait en déduire que je la consulte. L’espion ne pourrait cependant pas pouvoir savoir quelle page de Wikipédia je consulte. Par conséquent, il ne pourrait pas savoir sur quel sujet je me renseigne étant donné que Wikipédia est un site généraliste.

En revanche, dans le cas où je me connecte, toujours en HTTPS, à un site spécialisé, le sujet qui m’occupe pourrait être déduit de la thématique du site car l’identité du site est elle‑même connue. Par exemple, le sujet qui m’intéresse pourrait être inféré à partir de l’identité du site si je consulte www.j-ai-des-morpions.org.

Conseil technique

L’extension multi‐navigateur HTTPS Everywhere, développée (sous licence libre GPL version 2+) collaborativement par l’Electronic Frontier Foundation (page de don) et The Tor Project (page de don), permet de recourir, à chaque fois que cela est possible, à HTTPS.

Cela évite :

  • d’une part, que le contenu transféré puisse être lu par ceux qui les intercepteraient (exemple : vos identifiants et mot de passe de connexion) ;
  • d’autre part, que ce contenu puisse être modifié par ces mêmes personnes.

Mais, si vous souhaitez dissimuler l’identité du site accédé, cette technique doit être couplée à l’une de ces deux techniques : Tor ou VPN et qu’un serveur tiers puisse prendre facilement la place du serveur que vous voulez visiter (dans le cas d’un DNS menteur, par exemple).

Tor

Tor, est un réseau décentralisé qui permet de faire passer sa connexion par un circuit composé de trois relais (serveurs) différents. Ainsi le premier sait uniquement d’où vient le trafic, l’intermédiaire ne sait rien, et le dernier sait uniquement où va le trafic. Par conséquent, nul ne peut connaître à la fois l’expéditeur et le destinataire.

Tor n’est pas limité au Web uniquement, mais permet l’utilisation de tout protocole réseau basé sur TCP/IP.

Explications techniques

Le recours à Tor peut recouvrir deux hypothèses :

  1. l’accès à un site Web « classique » (c’est-à-dire extérieur à Tor) en passant par le réseau Tor pour bénéficier d’un anonymat renforcé ;
  2. l’accès à une version du site proposée au sein même de Tor (un tel site est doté d’une adresse en .onion) pour bénéficier d’un anonymat encore accru et/ou contourner la censure de sites.

Exemple

Sans quitter Tor, vous pouvez vous rendre sur Facebook à l’adresse https://facebookcorewwwi.onion. C’est l’adresse d’un serveur qui appartient à Facebook et qui n’est accessible que depuis le réseau Tor. L’on sait que Facebook peut servir à mobiliser, à informer et à s’informer dans les pays répressifs : ce serveur peut permettre de contourner une éventuelle censure (plus ici).

Conseil technique

Il est facile de mal utiliser Tor. Par exemple, si les requêtes de DNS passent par le réseau « normal », on peut en déduire ce que vous tentez de joindre.

C’est pourquoi il est très fortement conseillé d’utiliser le Tor Browser, un navigateur libre, multi‐système et développé par le Tor Project. Il est basé sur Firefox ESR et développé grâce à la collaboration (notamment financière) de Mozilla. Il inclut par défaut des extensions comme HTTPS Everywhere (évoquée ci‑avant) ou NoScript, visant à protéger la vie privée et à supprimer les traces que vous pourriez laisser sur le Web.

Il faut aussi rappeler que les nœuds de sorties peuvent voir le trafic à destination des sites que vous visitez. Celui-ci peut intercepter votre trafic s’il est en clair (par exemple, si vous n’utilisez pas HTTPS).

Dons

Si vous souhaitez soutenir Tor, en France, vous pouvez faire un don à l’association Nos oignons, qui maintient un certain nombre de nœuds de sorties. Vous pouvez aussi donner directement au Tor Project.

VPN (Virtual Private Network)

Un VPN fait « sortir » votre connexion Internet (pas seulement le Web) à une autre adresse par un tunnel chiffré. Il est donc impossible d’intercepter des communications en clair à la sortie de votre machine.

Explications techniques

Votre machine établit un tunnel chiffré avec un serveur VPN et route tout le trafic par le tunnel, sauf le trafic chiffré lui-même (eh oui, sinon ça ne marcherait pas).

Le serveur VPN se charge alors d’acheminer votre trafic à bon port via sa connexion Internet. Tout le trafic sur votre interface réseau se résumera à une connexion UDP ou TCP, au choix, à un seul serveur (celui du service VPN).

Dans le cas d’OpenVPN, c’est le serveur qui décide des routes à configurer sur le client.

Même si l’on en parle souvent pour changer d’adresse IP, un réseau privé virtuel (Virtual Private Network) peut fournir un réseau local virtuel. Donc, vous pouvez par exemple installer un serveur chez vous, mettre un VPN dessus et, une fois connecté, accéder à votre réseau comme si vous étiez à la maison.

Attention au DNS Leak : si vous contactez les serveurs DNS de votre FAI, ça revient à leur donner les sites que vous visitez… autant rester en HTTPS !

Exemples

Si vous achetez un abonnement chez un fournisseur de VPN par crainte de voir vos données capturées par les méchants FAI, le VPN permettra effectivement de cacher votre trafic de votre FAI. Sur Internet, votre adresse IP publique aura changé. Cependant, c’est maintenant l’opérateur du service VPN qui peut regarder votre trafic !

Il est donc crucial de bien se renseigner sur la politique de protection des données du fournisseur VPN que vous choisirez. Certains fournisseurs de service VPN (souvent gratuits) procèdent en effet au même type de récolte/revente des données que les FAI : passer par leur service revient donc à ne rien utiliser du tout !

Si l’idée vous prenait d’utiliser un réseau Wi‑Fi public qui n’est pas chiffré, comme on en trouve dans certains bars, cafés, restaurants, gares et aéroports, alors les communications en clair (sans crypto) peuvent être interceptées et analysées. La meilleure solution, c’est, soit d’éviter ces connexions, soit d’utiliser des protocoles de communications chiffrés avec vérification de la clé (par exemple, HTTPS signé ou SSH). Dans la plupart des cas, les conditions d’utilisation de ces points d’accès devraient vous refroidir. Mais si vous devez absolument utiliser des connexions non chiffrées, alors un VPN est le bienvenu pour protéger vos communications.

Conseil technique

Utilisation conjointe de Tor et de HTTPS

Pour voir l’effet de l’utilisation conjointe de Tor et de HTTPS, consultez  ce site. Ci‑dessous, la traduction des instructions que vous trouverez en anglais sur le site.

Les données potentiellement visibles comprennent : le site que vous visitez (site.com), votre nom d’utilisateur et mot de passe (user/pw), les données que vous transmettez (data), votre adresse IP (location) et si vous utilisez ou non Tor (tor) :

  • cliquez sur le bouton « Tor » pour voir les données visibles par les espions lorsque vous utilisez Tor ; le bouton devient vert pour indiquer que Tor est allumé ;
  • cliquez sur le bouton « HTTPS » pour voir les données visibles par les espions lorsque vous utilisez HTTPS ; le bouton devient vert pour indiquer que HTTPS est activé ;
  • lorsque les deux boutons sont verts, vous voyez les données visibles par les espions lorsque vous utilisez les deux outils ;
  • lorsque les deux boutons sont gris, vous voyez les données visibles par les espions lorsque vous n’utilisez aucun des deux outils.

Annexe : I2P, l’Invisible Internet Project

I2P est une autre solution pour surfer de manière anonyme. Quand l’objectif de Tor est d’abord d’accéder à l’Internet « normal » de manière anonyme et ensuite de pouvoir se connecter à des sites accessibles seulement au réseau Tor (Tor hidden services), I2P permet, quant à lui, en premier lieu, d’accéder aux sites .i2p (ainsi que d’en publier) et, dans une moindre mesure, (il existe moins de portes de sorties) d’accéder à tout l’Internet. Quelques applications sont également accessibles : forum, tchat, partage de documents, téléchargement de torrents ou courriel interne au réseau.

Vu de loin, I2P fonctionne sur les mêmes principes que Tor, par couches de chiffrement successives. Basé sur un fonctionnement pair à pair, I2P est plus décentralisé. Ainsi, sa recherche initiale de pairs ne repose pas sur une liste connue à l’avance, et est adéquate pour un téléchargement de torrents.

Tor est beaucoup plus utilisé, la question se pose de savoir si I2P pourrait passer à l’échelle. Tor a fait l’objet de plus de recherche et son chef de projet est connu. À l’inverse, les développeurs d’I2P sont uniquement connus par leurs pseudonymes et ils considèrent ne pas avoir eu assez de revues de code par la communauté scientifique pour valider le système et passer officiellement à la fameuse version 1.

C’est en évaluant les différences et le niveau de sécurité désiré que l’on opte pour l’une ou l’autre solution.

Le client officiel est en Java et il existe le client i2pd, écrit en C++ pour une meilleure consommation des ressources.

Annexe : Internet ne s’arrête pas au navigateur !

Si vous utilisez Debian et le gestionnaire de paquets APT, vous utilisez peut‐être le protocole HTTP pour contacter un dépôt et ainsi récupérer les mises à jour et les paquets à installer. Cependant, cette utilisation est potentiellement risquée (attaque par rejeu, cf. 1 et 2 ou attaque de l’homme du milieu, cf. le récent CVE-2019-3462). Le paquet apt-transport-https (intégré au paquet apt depuis Debian Buster/Ubuntu Bionic) permet de chiffrer la partie HTTP de ce trafic Internet. Si vos miroirs habituels sont compatibles, ouvrez votre fichier /etc/apt/sources.list et remplacez http par https :

deb https://foo distro main

Les paquets apt-transport-tor et onionbalance vous permettent de faire passer les mises à jour et les paquets par le réseau Tor. Ainsi, pour Stretch, votre fichier /etc/apt/sources.list devrait simplement contenir :

deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch            main
deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch-updates    main
deb  tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates    main

N. D. A. : par sécurité, vous devriez vérifier les adresses en vous appuyant sur d’autres sources ! https://onion.debian.org/

Vous pouvez également utiliser l’extension expérimentale TorBirdy pour le client de messagerie Thunderbird. Ainsi, la connexion entre votre machine et votre serveur de messagerie transitera par le réseau Tor. Votre serveur de courriel n’aura donc pas connaissance de votre localisation.

Si le service Tor est actif, vous pouvez utiliser torsocks (vérifiez dans les dépôts de votre distribution) pour forcer un logiciel à faire passer son trafic par Tor, par exemple :

torsocks clawsmail [options de clawsmail]
  • # TOR et FAI ?

    Posté par  . Évalué à 1.

    Bonjour,

    Est-ce que le FAI peut savoir quels sites je visite si j'utilise seulement TOR, par exemple ?

    • [^] # Re: TOR et FAI ?

      Posté par  . Évalué à 4.

      Non.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: TOR et FAI ?

      Posté par  . Évalué à 2.

      Sans fuite dns non!
      D'où l'intérêt d'utiliser tor browser.
      Je pense que vpn + tor browser c’est deja pas mal.

      Sinon les morpions j'en ai eu une fois, c'est une vrai galère.
      Merci pour cette dépêche

      • [^] # Re: TOR et FAI ?

        Posté par  . Évalué à 2.

        Vpn + tor browser ??

        L'un ou l'autre, utiliser les deux en même temps n'a pas d'intérêt et est même contre-productif puisqu'ils n'ont pas le même but.

        A ma connaissance l'intérêt d'utiliser un vpn avec tor n'est utile que si on ne peut pas accéder à tor et que pour y accéder on a besoin d'un vpn. Je pense à des pays très censurés comme la Chine où tor est souvent inutilisable car pas joignable…

        arnauld

        • [^] # Re: TOR et FAI ?

          Posté par  . Évalué à 1.

          Le vpn c'est pour te masquer du premier noeud tor, et par défaut il ne faut pas trop y faire confiance!
          Au moins, tu es sûr que ta véritable ip n'apparait pas.

          Après je ne suis pas un expert…

        • [^] # Re: TOR et FAI ?

          Posté par  . Évalué à 2.

          A ma connaissance l'intérêt d'utiliser un vpn avec tor n'est utile que si on ne peut pas accéder à tor et que pour y accéder on a besoin d'un vpn. Je pense à des pays très censurés comme la Chine où tor est souvent inutilisable car pas joignable…

          Et même pour ça, tu as les bridges.

          Un VPN, c’est à peut prêt jamais utile.

          • [^] # Re: TOR et FAI ?

            Posté par  . Évalué à 1.

            C'est à peut près jamais utile… pour l'anonymat sur internet.

            Il y a quand même des cas où c'est très pratique.

  • # Merci !

    Posté par  . Évalué à 2. Dernière modification le 06 novembre 2019 à 18:13.

    Merci pour ce petit récapitulatif.
    A noter que plusieurs distributions utilisent de base https pour les dépots (arch, fedora, etc…)

  • # Concernant les pub pour les VPN commerciaux...

    Posté par  . Évalué à 7.

    Tom Scott à fait une vidéo (en anglais) la semaine dernière sur ce que permettait et ne permettait pas les VPN :
    https://www.youtube.com/watch?v=WVDQEoe6ZWY

    Il parle entre autre du problème des vidéos Youtube sponsorisées par NordVPN (il y en a beaucoup) où les youtubeur disent en général que si on est sur un wifi public sans VPN et bien tout le monde peut voler nos mots de passe (fear! fear!).

  • # i2p, freenet, zeronet

    Posté par  (site web personnel) . Évalué à 4.

    Quelle est l'apport de I2p par rapport à Freenet ou Zeronet ? J'ai l'impression que les trois font un peu la même chose… Mais il doit y avoir une bonne raison à ne pas simplement avoir contribué au plus ancien protocole de ce genre.

    • [^] # Re: i2p, freenet, zeronet

      Posté par  . Évalué à 5. Dernière modification le 06 novembre 2019 à 19:25.

      Ben freenet, c'est destiné au stockage de documents. Un peu comme si tu balances un torrent dans la nature. C'est un service distribué! Tu n'effaceras pas ce que tu as mis dessus. C'est pour la censure surtout.

      I2p, c'est un réseau fermé sur lequel on identifie les utilisateurs sur des clefs crypto. Faut savoir ou l'on va. Les adresses se passe de la main à main en général.

      Zeronet, c'est du blockchain qui passe par tor.

      Pas grand monde utilise I2p ou freenet, mais ca peut être tres pratiques.
      J'ai tous mes mots de passes dessus(chifrés)

  • # Correction

    Posté par  (site web personnel) . Évalué à 5.

    HTTPS Everywhere (évoquée ci‑avant) uBlock Origin ou NoScripts,

    Dans la dernière version de Tor Browser pour ma Debian, uBlock Origin n'est pas inclus.
    Et il s'agit de NoScript (sans le s)

  • # HTTPS : Fonctionnement et limites du procédé

    Posté par  (site web personnel) . Évalué à 2.

    Lorsque je navigue en HTTPS sur Wikipédia, cet espion qui intercepterait ma requête saurait que j’accède à l’encyclopédie et pourrait en déduire que je la consulte

    Je crois que c'est ce dont DNS sur HTTPS protège ?
    https://linuxfr.org/news/firefox-69#toc-firefox-chiffrera-les-requ%C3%AAtes-de-noms-de-domaine-web-pard%C3%A9faut-protocole-dns-surhttps

    • [^] # Re: HTTPS : Fonctionnement et limites du procédé

      Posté par  . Évalué à 7.

      Même avec DNS over TLS ou DNS over HTTPS, le SNI est transmis en clair (en tout cas tant que la RFC pour Encrypted SNI sera au stade de brouillon).

    • [^] # Re: HTTPS : Fonctionnement et limites du procédé

      Posté par  . Évalué à 1.

      L'IP de destination est en clair, est-ce qu'on perd de l'information en n'ayant pas la requête de résolution DNS juste après ? C'est vrai aussi que la résolution inverse (IP -> nom d'hôte) ne permet pas forcément non plus de retrouver le nom d'hôte d'origine utilisé.

  • # Great firewall, cas de la Chine

    Posté par  (site web personnel) . Évalué à 8. Dernière modification le 07 novembre 2019 à 00:42.

    En Chine, le problème n'est pas tant de surfer anonyme en chiffrant la tranmission que de masquer la transmission elle-même. Par exemple shadowsocks qui fonctionnait il y a encore quelques mois ne fonctionne plus, car les serveurs shodowsocks sont maintenant très vite détectés et blacklistés.
    Les VPN qui fonctionnent en Chine se comptent désormais sur les doigts d'une main, en fait un seul fonctionne correctement (collusion avec le gouvernement ?) et quelques autres pour lesquels il faut bricoler pas mal.
    Bref, être anonyme ne suffit pas toujours.

    • [^] # Re: Great firewall, cas de la Chine

      Posté par  . Évalué à -1. Dernière modification le 07 novembre 2019 à 20:41.

      Je ne suis pas allé tester en chine, et on ne sait pas trop à qui ils appartiennent, mais sur vpngate dot net on doit pouvoir trouver son bonheur!

    • [^] # Re: Great firewall, cas de la Chine

      Posté par  . Évalué à 5.

      Et avec un OpenVPN sur un petit VPS perso à 5€/mois ? Si tu prends ça chez OVH par exemple, je vois pas trop ce qu'ils peuvent faire : https://www.ovh.com/fr/vps/vps-ssd.xml
      Sauf si il s'amusent aussi à bloquer les plages IP des hébergeurs étrangers mais du coup la connexion internet ne sert plus à grand chose.
      C'est une vraie question, je n'ai aucune idée ce qu'ils bloquent.

      • [^] # Re: Great firewall, cas de la Chine

        Posté par  . Évalué à 6.

        En fait, il me semble que la signature d'un trafic VPN est relativement facile à détecter, en particulier pour les protocoles les plus connus (OpenVPN, Cisco, etc). Ils bloquent tout ce qui ressemble à du VPN ; donc ton instance OVH perso, elle marchera pas. Ensuite, je ne sais pas quelle est la difficulté pour un chinois d'ouvrir un compte chez OVH et consort.

        Par contre, si toi tu vas ponctuellement en Chine, tu trouvera une solution pour faire passer ton trafic (il y a une dizaine d'années, je passais sans problème par mon ssh chez moi).

        Du coup, je me posais la question d'un VPN qui ajouterai une couche de stegano, mais faudrait le faire en temps réel et trouver un protocol anodin et bidirectionnel…

        • [^] # Re: Great firewall, cas de la Chine

          Posté par  . Évalué à 1.

          Du coup, je me posais la question d'un VPN qui ajouterai une couche de stegano, mais faudrait le faire en temps réel et trouver un protocol anodin et bidirectionnel…

          Pas suffisants s'ils checkent l'IP du VPN comme suit :

          root@ServerName:/# cat /var/log/openvpn.log | grep "TLS Error"
          Nov 11 10:23:51 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]202.107.226.3:31791
          Nov 11 10:59:51 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.36:39681
          Nov 11 22:28:15 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]122.228.19.80:56971
          Nov 11 23:14:32 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.66:53042
          Nov 12 11:01:31 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.56:52420
          Nov 12 13:30:41 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]146.88.240.4:58943
          Nov 12 22:19:35 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.68:52158
          Nov 13 10:59:22 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.67:41351
          
      • [^] # Re: Great firewall, cas de la Chine

        Posté par  (site web personnel) . Évalué à 7. Dernière modification le 08 novembre 2019 à 14:57.

        Ca va fonctionner, quelques jours, ou quelques semaines si tu as de la chance, puis l'IP sera blacklistée, tu ne pourras plus accéder à ton vps. Ils détectent de plus en plus vite les vpn.

        SSH fonctionne, donc utiliser un tunnel SSH est possible, mais terriblement lent. Ils ne sont pas cons, ils laissent la possibilité d'administrer un serveur en SSH, mais ils brisent les connexions SSH à quelques ko/s (et non pas quelques dizaines de ko/s, c'est vraiment super lent, tu as le temps de taper tes commandes et attendre quelques secondes pour qu'elles s'affichent, ça lag à mort).

  • # apt-transport-https n'existe plus

    Posté par  . Évalué à 3.

    C'est désormais inclut dans le paquet apt

  • # Fuite IPv6 et VPN

    Posté par  . Évalué à 1.

    En utilisant un VPN, il faut aussi penser à vérifier qu'il supporte à la fois IPv4 et IPv6. Il existe certains VPN qui ne prennent en charge que l'IPv6. C'est par exemple le cas de ProtonVPN. Ce service VPN explique que le seul moyen de se prémunir d'une fuite de son adresse IPv6 est de désactiver l'IPv6. Je ne sais pas si c'est vrai mais si c'est le cas, c'est bon à savoir

    • [^] # Re: Fuite IPv6 et VPN

      Posté par  . Évalué à 3.

      Euh pas sur d'avoir tout compris ? Ils ne prennent en charge que l'IPv6 mais il faut désactiver l'IPv6 ???

      • [^] # Re: Fuite IPv6 et VPN

        Posté par  . Évalué à 2.

        Euh désolé, il faut lire IPv4 : « ProtonVPN ne prend en charge que l'IPv4 ».

  • # se protéger de quoi et de qui

    Posté par  . Évalué à -10.

    de mon point de vue, il y a une surenchère sur la sécurité qui ne correspond pas à la réalité du besoin.

    aujourd'hui tous les sites sont en https, marmiton et le site sur le PSG sont en https, franchement je ne vois pas l’intérêt.
    Le chiffrement et le déchiffrement de ces millions de pages génèrent beaucoup de CPU pour pas grand chose. A l'heure ou on nous rappelle a longueur de journée qu'il faut économiser l'énergie de la planète, ca pourrait etre une piste non négligeable d'économie.
    Une grosse majorité des données chiffrées ont peu ou pas d'interet a etre chiffrées

    pour moi le https est utile lorsque je dois m'identifier sur un site (je n'ai pas forcement envie que mon mot de passe transite par une dizaine de routeur en clair) ou quand je met mon numéro de carte bleu. pour le reste, sincèrement c'est très superflue.

    je ne dis pas quand on est un homme politique ou PDG d'une grosse boite ou on peut avoir un intérêt a cacher certaine chose, mais pour la personne lambda, il y en a déja beaucoup trop

    concernant les VPN/Tor, a moins de vivre dans un pays ou internet est censuré (ce qui n'est pas le cas dans la plupart des pays de l'occident), l'interet est assez peu limité surtout si on reste dans un cadre légal

    je sais qu'on va me parler de violation de la vie privée, mais en ce qui me concerne je me fiche que la NSA ou la DGSE ou mon provider internet sache que j'aime faire des flan à la courgette ou que je regarde en boucle les buts du PSG contre le real madrid.
    En plus je crois qu'ils s'en contrefichent.

    maintenant si vous avez des choses à cacher à la NSA, vous avez interet a ne pas utiliser de iphone, d'android, de PC sous fenetre ou ce genre de choses car vous avez beaucoup de chance de perdre la partie

    • [^] # Re: se protéger de quoi et de qui

      Posté par  . Évalué à 9. Dernière modification le 08 novembre 2019 à 07:38.

      de mon point de vue

      à part la partie sur le gaspillage énergétique, tu ressasses des lieux communs éculés depuis des lustres

      tous ces arguments ont été démontés depuis longtemps, cf les révélations snowden, cf les réflexions de LQDN sur l'autocensure ("on a tous quelque chose à cacher")

      on dirait un monologue de comptoir d'une personne qui découvre internet en 2005 et qui n'a pas fait évoluer son logiciel depuis

      • [^] # Re: se protéger de quoi et de qui

        Posté par  . Évalué à -1.

        il n'y a aucune réponse sur le fond,

        je dis que ces techno sont utilisé pour des raisons "marketing" mais que l'interet est assez peu limité

        bien entendu, le https sert a quelque chose mais il est utilisé a tord et a travers

        quand au VPN, on déplace le problème, pourquoi je ferais plus confiance au propriétaire du VPN plutôt qu'a mon provider internet.
        Au moins mon provider internet essaie de suivre la loi, ce qui est rarement le cas d'un VPN .

        quand a TOR, ca a l'air mieux ficelé, mais j'ai cru comprendre que les performances était assez catastrophique (jamais testé c'est ce que j'ai lu )

        donc oui ca a un interet mais dans des cas particulier, pas au quotidien tout le temps

        • [^] # Re: se protéger de quoi et de qui

          Posté par  . Évalué à 3. Dernière modification le 11 novembre 2019 à 21:14.

          on déplace le problème, pourquoi je ferais plus confiance au propriétaire du VPN plutôt qu'a mon provider internet.

          Très bonne question. Il n’y a pas de réponse universel, mais probablement que tu ne peux pas faire plus confiance à ton fournisseur de VPN qu’à ton fournisseur d’accès à Internet.

          quand a TOR, ca a l'air mieux ficelé

          Avec Tor tu « partages la confiance », ou plutôt, tu fais en sorte que personne ne puisse connaitre d’où tu viens et où tu vas s’il contrôle un des nœud de ton circuit. Il y a aussi tout un tas de mécanisme pour éviter que tu passes par des nœuds contrôlés par la même entité.

          mais j'ai cru comprendre que les performances était assez catastrophique (jamais testé c'est ce que j'ai lu )

          Tor est assez « saturé » (dans le sens ou l’utilisation du réseau comparé à sa capacité ferait peur à n’importe quel administrateur réseau), mais c’est pas si « catastrophique » que ça. Je navigue régulièrement avec Tor, et franchement, c’est utilisable.

          Il faudrait plus de relais, et plus de nœud de sortie et il en faudrait surtout chez des fournisseurs qui ne soient pas OVH, Online/Scaleway ou Hertzner.

          • [^] # Re: se protéger de quoi et de qui

            Posté par  . Évalué à -3.

            Tor est assez « saturé » (dans le sens ou l’utilisation du réseau comparé à sa capacité ferait peur à n’importe quel administrateur réseau), mais c’est pas si « catastrophique » que ça. Je navigue régulièrement avec Tor, et franchement, c’est utilisable.

            c'est bien la le problème, je suis un administrateur réseau
            juste pour savoir, quel sont les cas qui justifient ton utilisation régulière de TOR

            • [^] # Re: se protéger de quoi et de qui

              Posté par  . Évalué à 10.

              c'est bien la le problème, je suis un administrateur réseau

              Bah voilà, si les metrics t’intéresse, elles sont disponible publiquement.

              juste pour savoir, quel sont les cas qui justifient ton utilisation régulière de TOR

              Pourquoi il faudrait avoir une justification ?

              Quand tu vas aux toilettes, tout le monde sait ce que tu vas y faire, il te faut une justification pour fermer la porte ?

              • [^] # Re: se protéger de quoi et de qui

                Posté par  . Évalué à -4.

                Quand tu vas aux toilettes, tout le monde sait ce que tu vas y faire, il te faut une justification pour fermer la porte ?

                justement, dans ma maison, mes toilettes ne sont pas dans un pièce fermable a clef accessible depuis un couloir lui même fermé a clef pour que personne ne sache quand je vais aux toilettes

                car chez moi tout le monde se fiche de savoir qui et quand les gens vont aux toilettes

                et sinon je ferme la porte (a clef) pour que personne n'entre pendant que j'y suis, c'est ca ma justification. et toi alors ta justification de tor c'est quoi ?

                • [^] # Re: se protéger de quoi et de qui

                  Posté par  . Évalué à 7.

                  La même raison : l’intimité.

                • [^] # Re: se protéger de quoi et de qui

                  Posté par  . Évalué à 2.

                  et toi alors ta justification de tor c'est quoi ?

                  Jouer avec des bots D2 depuis chez mamy, grâce à VNC via SSH tunneling sans exposer ce dernier au WAN ni dépendre d'un nom de domaine ? 😁 (en photo)

                  • [^] # Re: se protéger de quoi et de qui

                    Posté par  . Évalué à 1.

                    Jouer avec des bots D2 depuis chez mamy, grâce à VNC via SSH tunneling sans exposer ce dernier au WAN ni dépendre d'un nom de domaine ? 😁 (en photo)

                    franchement j'ai pas tout compris
                    D2 j'ai déduit avec l'image que c'est diablo 2, VNC c'est du déport d'affichage que tu ferais passé dans un tunnel ssh car tu n'as pas envie d'exposer vnc sur internet (ok ca je comprends)

                    en quoi tor entre dedans ? tu mets ton IP en direct sans nom de domaine, tu pourrais le faire sans tor ?

                    • [^] # Re: se protéger de quoi et de qui

                      Posté par  . Évalué à 3.

                      en quoi tor entre dedans ? tu mets ton IP en direct sans nom de domaine, tu pourrais le faire sans tor ?

                      Voir le fonctionnement des Tor Hidden Service.

                      En très très gros résumé :

                      1. Sur ton serveur : Tor te permet de générer un nom de domaine aléatoire en .onion qui renvoie vers un ou plusieurs ports. Utilisant une connexion sortante, pas besoin de toucher au NAT.

                      2. Sur ton client, après avoir adapté /etc/ssh/ssh_config : dans ton shell tu entres le noms de domaine en .onion et tu te connectes comme d'habitude. La seule différence c'est la latence qui augmente et l'adresse IP cliente qui est 127.0.0.1.

                      • [^] # Re: se protéger de quoi et de qui

                        Posté par  . Évalué à 2.

                        si j'ai bien compris le principe de tor hidden service, c'est d'exposer un service sans que les utilisateurs ne connaissent la vrai adresse de ton serveur

                        si le but est qu'il ne sache pas que tu as des bots sur diablo 2, le simple tunnel ssh suffit, la surcouche tor est du coup inutile

                        dans ton cas précis, quel est le but recherché et en quoi tor répond a ton besoin

                        • [^] # Re: se protéger de quoi et de qui

                          Posté par  . Évalué à 3.

                          dans ton cas précis, quel est le but recherché et en quoi tor répond a ton besoin

                          Dans ce cas précis, c'est simplement de pouvoir joindre le serveur :

                          1. sans dépendre d'un nom de domaine tiers y compris en IP Dynamique
                          2. sans avoir besoin d'accéder au routeur (pas toujours accessible, dèche oblige) et donc sans avoir besoin d'ouvrir une redirection NAT (qui deviendrait une cible pour les pirates)

                          Typiquement, si tu as un logiciel avec une WEBUI, Tor Hidden Service te permet d'y accéder facilement sans avoir besoin de tiers autre que le réseau Tor en lui même.

                          • [^] # Re: se protéger de quoi et de qui

                            Posté par  . Évalué à 1.

                            donc sans avoir besoin d'ouvrir une redirection NAT (qui deviendrait une cible pour les pirates)

                            tu es sûr de ton coup ? ca ne se scanne pas les services tor?
                            concernant l'ip dynamique tu as le dyndns qui peut résoudre ce probleme.

                            Sur le principe je vois ce que tu veux dire, mais tu as un service qui a pour but de masquer les ip source et destination et tu l'as détourné pour exposer un service plus ou moins facilement, pourquoi pas mais c'est pas fait pour et le but premier de tor ne t'est pas utile.

                            • [^] # Re: se protéger de quoi et de qui

                              Posté par  . Évalué à 5.

                              tu es sûr de ton coup ? ca ne se scanne pas les services tor?

                              Si mais c'est plus difficile (là où mes logs pour les services exposé au WAN sont bourré de requêtes de boulets pas capable de changer l'User-Agent par défaut, les logs des services Tor sont d'un calme plat).
                              Par exemple voici un exemple en web avec des bots dont les crawls de l'un mettaient à genoux un de mes raspberry pi.

                              Les noms de domaines Tor étant aléatoire, avec une taille de 56 caractères avant le .onion (Tor V3+) et limité individuellement à certains ports entrant/sortants (défini par l'admin) : il faut arriver à récupérer la liste des noms de domaines pour ensuite scanner chacun avec des logiciels spécifique pour arriver à identifier se qui se cache derrière chacun. Impossible de faire un nmap de l'ensemble du serveur/sous-reseau comme à l'accoutumée.

                              concernant l'ip dynamique tu as le dyndns qui peut résoudre ce probleme.

                              Oui je connais. Mais cela signifie ouvrir le NAT (et donc exposer le service au WAN). Sans oublier que cela fait dépendre ton service d'un service externe avec ses propres règles/tracking/lois, etc. (là où Tor ne demande rien d'autre que d'ajouter deux lignes de confs)

                              Sur le principe je vois ce que tu veux dire, mais tu as un service qui a pour but de masquer les ip source et destination et tu l'as détourné pour exposer un service plus ou moins facilement, pourquoi pas mais c'est pas fait pour et le but premier de tor ne t'est pas utile.

                              Le but de cet outil réseau est de rendre accessible de façon sécurisée un service. J'aimerais me dire que j'ai hacké Tor Hidden Service 😁, mais je ne pense pas. C'est juste que la partie anonymat n'est pas toujours requise en utilisation privée.

            • [^] # Re: se protéger de quoi et de qui

              Posté par  . Évalué à 10.

              juste pour savoir, quel sont les cas qui justifient ton utilisation régulière de TOR

              Moi j'utilise Tor pour lire la presse, parce que j'ai horreur qu'on lise par dessus mon épaule.

        • [^] # Re: se protéger de quoi et de qui

          Posté par  . Évalué à 2.

          bien entendu, le https sert a quelque chose mais il est utilisé a tord et a travers

          Outre l'aspect protection de la vie privée, chiffrer tes données (avec TLS ou autres) empêche d'injecter des charges virales en javascript ou autre langage actif dans les pages que tu visionnes. C'est bien pratique pour éviter un exploit contre ton navigateur (ou de se retrouver avec un mineur bitcoin en javascript qui bouffe ton CPU sans savoir d'où sa vient).

          • [^] # Re: se protéger de quoi et de qui

            Posté par  . Évalué à 1.

            c'est pas faux, je n'avais pas pensé a ce genre de pratique, c'est vrai qu'on m'avait proposé ce genre de chose pour la boulot afin d'avoir des stats utilisateurs.

            par contre qui peut faire ce genre de truc, ton FAI ? l’hébergeur (il a propablement acces aux source de tes pages donc le https ne devrait pas etre un obstacle pour lui).

            • [^] # Re: se protéger de quoi et de qui

              Posté par  . Évalué à 2. Dernière modification le 26 novembre 2019 à 18:46.

              par contre qui peut faire ce genre de truc

              N'importe qui situé sur les liaisons entre toi et le serveur distant. Que se soit le pirate sur ton LAN, les FAI sur le trajet (ou une machine piratée), l'éventuel frontend/proxy situé entre le serveur et internet.

    • [^] # Re: se protéger de quoi et de qui

      Posté par  . Évalué à 8.

      Un des gros intérêts de la généralisation du chiffrement, c'est de noyer le trafic nécessitant réellement de la privacy (et pas seulement du chiffrement) dans un flux indistinguable. Si tu protèges seulement ce qui est important, il est plus facile de le discriminer.

      je sais qu'on va me parler de violation de la vie privée, mais en ce qui me concerne je me fiche que la NSA ou la DGSE ou mon provider internet sache que j'aime faire des flan à la courgette ou que je regarde en boucle les buts du PSG contre le real madrid.
      En plus je crois qu'ils s'en contrefichent.

      Je rejoins clingcurious sur le côté café du commerce de 2005 de cette remarque et sur les données snowden ou LQDN. J'ajouterais qu'aujourd'hui tu t'en fiches, mais que tu ne sais si demain tu n'auras pas des choses que tu aimerais garder pour toi.

      • [^] # Re: se protéger de quoi et de qui

        Posté par  . Évalué à 7.

        En fait, en 2019, malgré des années de débat sur la question de la vie privée sur le web, malgré le grand nombre de lois qui attentent aux libertés individuelles en France, il faut quand même qu'il y ait quelqu'un qui explique que comme pour lui il n'y a pas de problème, alors il ne voit pas pourquoi pour les autres il y en aurait.

        Sache que l'on ne peut pas généraliser à partir de sa situation mais qu'on peut facilement invalider une généralisation à partir de sa situation. Autrement dit, ton point de vue t'es personnel et le fait de le balancer à la face des autres comme un exemple n'est pas pertinent parce qu'il y a plein d'exemples personnels qui le démontrent.

        Si tu veux savoir pourquoi il est pertinent d'utiliser TOR en France en 2019, fait tes propres recherches, change de paradigme, arrête de croire que ce pays est toujours une démocratie apaisée et qu'il n'y a aucun risque de se retrouver en garde-à-vue ou déféré pour simplement avoir secouru une personne en grande difficulté mais sans papier - par exemple -, ou encore faire parti d'un groupe de militants écologistes radicaux - mais non violents. Ou encore, être juste curieux des modes de luttes possibles contre ce gouvernement, ou encore à documenter de toutes les manières possibles la façon dont la police nationale utilise désormais régulièrement la force excessive sans aucune raison. Les exemples ne manquent pas. Ah et dernièrement, comme en Chine, nous avons une jolie loi qui permet la reconnaissance faciale. À quand le crédit sociale en France ?

        Il y a plein de raisons valables autre qu'aller acheter des trucs illégaux sur le Dark Market pour utiliser TOR. Communiquer avec ses amis sans être espionné par une multinationale, publier des infos sur un site statique en .onion ou simplement satisfaire sa curiosité concernant l'outil en lui-même. Et ne pas être pisté par des agences privée et/ou gouvernementales pour générer un profil pour finir dans une case quelque part sur un/des serveur(s) en attendant que les fachistes prennent le pouvoir un des ces quatre et s'en servent.

        Mais dans tous les cas, utiliser un outil d'anonymisation sur le web ne demande aucune justification. C'est juste le bon sens, le web devrait être totalement anonymisant pour ses utilisateurs et libéré de l'emprise des marchands de soupes.

        • [^] # Re: se protéger de quoi et de qui

          Posté par  . Évalué à 1.

          relis un peu mon message et tu verras qu'on ne parle pas des mêmes choses

          ce que je dis c'est qu'il y a une surenchere marketing sur ces aspects sécurités qui n'ont rien a voir avec leur besoin réel

          vous confondez protection de la vie privée et moyen de sécurisation

          que tu fasses du https sur gmail ou acceder a facebook via tor, ca ne changeras absolu rien au probleme que tu ne sais pas ce que fait google ou facebook de tes données

          l'adresse de facebook en .onion est bien le symbole de ce marketing sécu car tu sécurises la connexion avec la boite qui est derrière un des plus gros scandale sur la vie privée de ses utilisateurs.
          en quoi le réseau tor aurait pu proteger de ce probleme?

          ces technologies tor, vpn ou https sécurisent le transports des données, le probleme de vie privée n'est pas tant dans cette phase de transport mais bien de stockage, et de confiance a cette personne a qui tu confies tes données.

          je le concède, la fin de mon message est un poil provocateur. mais c'est bien ce que je pense (désolé de ne pas etre du même avis que vous, j'ai le droit ou pas ?)

          PS faites vous plaisir. moinsez le message, j'ai l'habitude

    • [^] # Re: se protéger de quoi et de qui

      Posté par  . Évalué à 5.

      Demande aux personnes qui ont subit un vol d'identité s'ils ne voient pas un intérêt à se protéger …

    • [^] # Re: se protéger de quoi et de qui

      Posté par  . Évalué à 2. Dernière modification le 13 décembre 2019 à 15:35.

      De manière très pragmatique, ces solutions sont une nécessité pour me protéger de mon employeur.
      Ce dernier a mis en place un proxy nazi pour bloquer (et pas seulement espionner) tout un tas de contenu par deep packet inspection. Cela comprend notamment :
      100% des fichiers ZIP, y compris les formats OpenDocument et Microsoft Office (version 2007 et ultérieure) qui sont des ZIP déguisés.
      100% des exécutables, bien sûr.
      Tout ce qui ressemble à une application webmail ou de stockage de fichiers en ligne, ce qui comprend Roundcube et Owncloud qu'il reconnaît spécifiquement à la tête du code HTML ou JavaScript.
      Il bloque aussi certains PDF sans que j'aie trouvé de règle spécifique.

      Tous ces blocages par Deep Packet Inspection sont impossibles sur un site https. J'ai vraiment pu sentir une libération quand les sites sont progressivement passés à HTTPS.

      Par contre, https ne protège pas contre le blocage COMPLET du site Web par adresse IP.
      La liste des sites Web totalement bloqués par mon employeur est tellement extensive que je ne peux pas la décrire ici. Je mentionnerai juste les plus handicapants professionnellement : linkedin, tout webmail connu (gmail, outlook.com, yahoo mail, etc), Google Drive, plein de sites en rapport avec le logiciel libre, tout nom de domaine dynamique (dyndns et compagnie). Enfin, il a récemment bloqué mon serveur perso (probablement après avoir espionné une activité qui ne lui a pas plu)
      Les solutions pour conserver une productivité non nulle au travail sont :
      1) VPN
      2) Tor
      3) Amener son propre ordinateur avec clé 4G
      4) Démissionner

      Je précise que mon employeur est Français, et que tout cela se passe en France

      • [^] # Re: se protéger de quoi et de qui

        Posté par  . Évalué à 0.

        Je te rappelle qu'un emploi, c'est la mise a la disposition d'autrui de ta force de travail (qu'elle soit physique ou intellectuel), a partir de la, tu n'as pas ton mot à dire sur la façon qu'elle l'utilise, si tu n'es pas satisfait de la façon qu'elle l'utilise, tu es libre de quitter ta boite.

        De plus tu as probablement signé une charte informatique (je crois que c'est obligatoire maintenant), et que probablement tu ne respectes pas cette charte en utilisant vpn tor etc
        C'est leur droit de t’empêcher de consulter tes mail perso ou d'aller sur ton site avec du dyndns.

        sinon pour mon cas personnel, je suis dans une boite qui lorsqu'on explique qu'on a besoin d'acceder à tel site pour faire son boulot, on nous donne l'acces a ce site.

  • # HTTPS

    Posté par  . Évalué à 1.

    Si on ne fait pas confiance a son employeur, y-a-t'il un moyen, dans firefox, pour dire "Ne fait confiance qu'aux certificats fournis par le navigateur". Et donc, de ne par tenir compte de ceux du système ?

    • [^] # Re: HTTPS

      Posté par  . Évalué à 2.

      Je dirais que malheureusement ça n'ira pas très loin :(

      Si ton employeur fournit un certificat à lui, c'est pour faire de l'interception SSL. Donc rechiffrer toutes les communications avec son certificat à lui.

      De ton côté, avec ton firefox, tu verras tous les sites SSL avec un warning indiquant que le certificat n'est pas trusté…

      • [^] # Re: HTTPS

        Posté par  . Évalué à 3.

        Donc rechiffrer toutes les communications avec son certificat à lui.

        Pas forcément. Là ou je bosse actuellement, la CA interne sert à signer des certificats à la volé pour les sites bloqués : par exemple, quand tu accèdes à https://torproject.org/, tu as un page qui est injecté pour te prévenir que c’est bloqué (je me bats contre l’utilisation de cette CA et contre le blocage, mais c’est peine perdue).

        • [^] # Re: HTTPS

          Posté par  . Évalué à 2.

          Ce qui revient exactement à « rechiffrer les communications avec son certificat à lui », certes pour te servir une page différente, non ?

          • [^] # Re: HTTPS

            Posté par  . Évalué à 2.

            Oui, mais c’est pas toutes les communications.

    • [^] # Re: HTTPS

      Posté par  . Évalué à 9.

      Une bonne solution dans ce cas est de ne pas utiliser la connexion et le matériel du boulot pour des trucs perso.

  • # Un certificat ne sert-il pas plutôt à déchiffrer?

    Posté par  (site web personnel) . Évalué à 2.

    Dans le paragraphe Attaque de l’homme du milieu, il est écrit:

    Il est relativement aisé de procéder à une attaque MITM et ainsi d’accéder au contenu de la communication en clair : votre employeur qui a installé le certificat de son autorité de certification interne sur votre poste (vous chiffrez alors sans le savoir avec la clé de votre employeur…)

    Mais pour autant que je sache, un certificat installé sur ton navigateur te permet de déchiffrer uniquement, le chiffrement se fait par le serveur proxy de l'employeur. J'ai bon?

    • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

      Posté par  . Évalué à 5.

      Ce n'est pas cela.

      Ton navigateur chiffre et déchiffre les flux https de/vers le serveur web. Et le serveur web fait de même de/vers toi.

      Avec un MITM, un logiciel parasite s'intercale entre ton navigateur et le serveur web. Il y a chiffrement entre ton navigateur et le MITM, et un chiffrement différent entre le MITM et le serveur web.
      Ton navigateur chiffre et déchiffre de/vers le MITM.
      Le MITM fait de même de/vers toi et de/vers le sereur web.
      Le serveur web fait de même de/vers le MITM.

      Pas sûr que ce soit clair mon truc.

      • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

        Posté par  (site web personnel) . Évalué à 3.

        Ok pour le fonctionnement du MITM mais c'est la phrase suivante qui me fait tiquer:

        vous chiffrez alors sans le savoir avec la clé de votre employeur

        Il me semble qu'on déchiffre uniquement avec un certificat, qu'il vienne du site web d'origine ou de l'employeur avec son MITM.

        Le chiffrement du flux par le client se fait avec une clé générée aléatoirement lors du début de la session TLS.

        • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

          Posté par  . Évalué à 5.

          C'est un abus de langage.

          La clef contenue dans le certificat du site web (clef publique) ne peut servir qu'à chiffrer. Le déchiffrement se fait avec la clef secrète que seul le serveur connaît (elle est en principe également stockée au chaud chez l'administrateur du serveur). Ce chiffrement est coûteux en temps processeur. Cette méthode de chiffrement est utilisée par le client pour envoyer une clef symétrique au serveur, qui va être utilisé pour la suite des échange. Ce second chiffrement est bien moyen gourmand en puissance.
          Au final la clef contenue dans le certificat n'a servir qu'à envoyer un seul message.

          Cela ne change rien à l'explication précédente : un MITM fait qu'il y a un chiffrement de chaque côté.

          • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

            Posté par  . Évalué à -3.

            d'apres ce que j'ai compris c'est plus subtil que ca

            dans les algorithme a clef publique le principe est d'avoir 2 clef symétrique (generalement une privée et une publique)

            tout ce qui a été chiffré avec une des 2 clefs ne peut etre déchiffré qu'avec la seconde clef et inversement

            c'est ca qui te garantie que tu n'as pas une attaque de type MITM car l'autorité de certification a vérifié que la personne qui a fournit les informations dispose bien de la clef privé qui va avec la clef publique. l'autorité de certification va le signer (en utilisant sa clef privée - que tu pourra dechiffré avec la clef publique de l'autorité).

            donc ton navigateur va utiliser la clef publique de l'autorité de certification pour vérifier que le certificat est valable et va ensuite utiliser la clef publique de ce certificat pour etre sur que tu parles a la personne que l'autorité a certifié et que personne au millieu ne soit capable de dechiffré le message a part le possesseur de la clef privée.

            j'espere que j'ai été clair

  • # Analyse de trafic, empreintes, cookies...

    Posté par  . Évalué à 1.

    Aucune de ces techniques ne protègent des attaques par analyse de traffic : si un attaquant peut surveiller le traffic sortant de la machine cliente et le traffic entrant dans le serveur, alors il peut établir que les deux machines se sont parlé en effectuant une corrélation entre les dates, heures et tailles des paquets émis par Alice et reçus par Bob et vice versa. Nul besoin de déchiffrer le contenu. À noter que les sites Tor ayant une adresse en .onion sont peut-être plus difficiles à localiser, mais pas forcément plus difficiles à pirater.

    De plus un serveur compromis pourra enregistrer l'empreinte numérique de l'ordinateur (OS, navigateur, plugins installés, taille de la fenêtre du navigateur…) pour identifier avec une probabilité correcte une machine s'étant déjà connectée au même serveur sans VPN, même si l'IP est masquée la deuxième fois. Dans le cas de Tor des cookies tiers de régies publicitaires peuvent aussi trahir l'identité du surfeur, ou bien sûr le fait de donner son identité sans le vouloir dans les métadonnées de fichiers téléversés (photos, textes…)

  • # Virtual Private Network

    Posté par  . Évalué à 2.

    Quand on parle de Virtual Private Network, ne pourrait-on pas plutôt préciser proxy ? Le but étant de cacher sa véritable adresse IP et de chiffrer le trafic. Le VPN a un autre but : celui de connecter l'hôte à un réseau privé.
    Il me semble qu'il y a une grande confusion entre ces deux termes en général.

  • # Et IPFS / Textile dans tout ça ?

    Posté par  . Évalué à 1.

    Merci pour l'article bien instructif. J'aurais bien aimé savoir où se trouvait IPFS et textile au milieu de tout ça.

    C'est assimilable à du tor ?

  • # Communications chiffrées

    Posté par  . Évalué à 1.

    Justement, je viens de mettre à jour une liste de logiciels de communications chiffrées : https://infolib.re/blog/logiciels-libres-de-communication/
    Si vous en connaissez d'autres…

    • [^] # Re: Communications chiffrées

      Posté par  . Évalué à 1.

      Signal : SMS et MMS dans Android, iOS, Mac OS, Windows et Linux. Dérivé de SMSSecure et RedPhone. À éviter, une partie du code n’est pas libre ;

      Quelle partie du code n’est pas libre ?

      Ta source date de 2016, Wikipedia cite 4 sources qui disent l’inverse :

      All Signal software is free and open-source. The clients are published under the GPLv3 license, while the server code is published under the AGPLv3 license. The non-profit Signal Foundation was launched in February 2018 with an initial funding of $50 million.

      Et surtout, « à éviter » quand c’est une des seuls applications valable sur le marché, c’est fort.

      • [^] # Re: Communications chiffrées

        Posté par  . Évalué à 0. Dernière modification le 02 décembre 2019 à 16:09.

        Dans le lien que tu donnes, il est noté que les numéros de tes correspondants et les logs des communications sont stockés sur les serveurs.
        Sur https://blogs.fsfe.org/h2/2016/05/31/why-privacy-is-more-than-crypto/, il est expliqué que le code est libre mais qu'il fait appel à du code non libre.
        Tu peux utiliser Signal si tu veux mais il est préférable d'utiliser des applications qui n'enregistrent des données que localement (Retroshare, Briar, DarkSpeak, Ricochet, Jami, Tox, Silence).

        • [^] # Re: Communications chiffrées

          Posté par  . Évalué à 1.

          Dans le lien que tu donnes, il est noté que les numéros de tes correspondants et les logs des communications sont stockés sur les serveurs.

          Tu lis que ce qui t’intéresse :

          This section needs to be updated. In particular: Signal now uses a technique to hide the sender's phone number from the server (https://signal.org/blog/sealed-sender/). Please update this article to reflect recent events or newly available information. (November 2018)

          Sealed Senders est activé par défaut et 100% de mes contacts (principalement des non-initiés) l’utilisent.

          Pour la « découverte de contact », Signal transmet seulement un hash tronqué du numéro et ils proposent même des techniques pour être sûr que ce qui tourne sur leur serveur n’est pas altéré.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à -1. Dernière modification le 03 décembre 2019 à 07:59.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # HTTPS, Tor, VPN : de quoi est‐ce que ça protège exactement ?

    Posté par  . Évalué à -5.

    Surpris que personne n'ai cité O2Switch ici ! Niveau mutualisé avec ressources dédiés, c'est difficile de faire mieux depuis quelques années…Je suis chez eux depuis maintenant 3 ans et je n'ai jamais eu aucun soucis avec cet hébergeur. Leur offre unique et complète et les ressources plutôt généreuses je trouve ce qui me permet de faire facilement tourner environ 10 sites de taille moyenne pour seulement 5 euros par mois ! Dur de faire mieux. Cet article explique plutôt bien la façon dont les ressources sont allouées chez O2 https://www.opportunites-digitales.com/hebergement-o2switch/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.