HTTPS, Tor, VPN : de quoi est‐ce que ça protège exactement ?

50
6
nov.
2019
Internet

La dépêche « Protéger sa vie privée sur le Web, exemple avec Firefox » (février 2018) a ouvert des questions sur la protection par HTTPS, Tor et VPN. Ces techniques protègent, mais contre quoi et dans quelles limites ? Cet article essaie de l’expliquer plus en détails. N’ayez pas l’illusion d’être totalement protégés en utilisant l’une d’elles : soit, elle ne permet pas vraiment ce que vous croyez, soit il faut l’utiliser d’une certaine façon ou la compléter d’autres précautions pour avoir le résultat attendu.

En effet, pour bien dissimuler votre navigation il faut tenir compte des limites techniques. C’est comparable au chiffrement de vos courriels (même de bout en bout) qui peut être insuffisant pour dissimuler entièrement votre message à un espion. Par exemple, si vous chiffrez votre courriel, mais que celui-ci a pour objet « j’ai des morpions » ou que vous l’adressez à sos-morpions@sante.gouv.fr, le contenu et les pièces jointes de votre message ont beau être chiffrés, un espion peut quand même en avoir une relativement bonne idée, car les métadonnées et l’objet ne sont pas chiffrés.

I feel like a secret detective, par binkle_28, sous CC BY-SA 2.0I feel like a secret detective, par binkle_28, sous CC BY-SA 2.0

Sommaire

HTTPS

HTTPS n’a pas été conçu pour dissimuler l’identité (techniquement, le hostname, ou nom d’hôte) du site accédé.

Explications techniques

Fonctionnement et limites du procédé

HTTPS consiste à chiffrer les échanges HTTP avec TLS (originellement, du SSL). Toute la requête HTTPS est donc chiffrée, le chemin mais aussi le nom d’hôte (contenu dans l’en‑tête Host). Cependant, le nom d’hôte (l’adresse du site Internet) peut fuiter d’autres manières. Par exemple, parce que la requête DNS du nom est faite juste avant la requête HTTP. Mais ce qui le donne le plus souvent est l’extension SNI, qui donne justement le nom en clair à l’initiation de la connexion TLS.

SNI n’a pas comme objectif principal de détruire la vie privée mais simplifie le fonctionnement quand la communication est chiffrée. Il permet à un serveur Web qui possède plusieurs certificats de présenter celui que le client attend. Il permet aussi à un répartiteur de charge d’envoyer la requête sur le bon serveur sans devoir déchiffrer le TLS (et peut donc gérer plus de connexions). Une nouvelle version, Encrypted SNI, permet justement de cacher ce nom de domaine. Elle est en cours de déploiement par les navigateurs et les serveurs Web.

Le HTTPS ne cache pas non plus l’adresse IP de destination.

Attaque de l’homme du milieu

Il est relativement aisé de procéder à une attaque MITM et ainsi d’accéder au contenu de la communication en clair : votre employeur qui a installé le certificat de son autorité de certification interne sur votre poste (vous chiffrez alors sans le savoir avec la clé de votre employeur…), votre FAI ou une agence gouvernementale qui a accès aux certificats d’une autorité supposée de confiance, etc. Le système de « sécurité » de votre employeur peut aussi être obsolète, on a pu voir des boîtes noires communiquer en SSL et non plus en TLS vers Internet, ce qui peut entraîner des fuites de données en plus de celle extraite du serveur mandataire (proxy) menteur.

Exemples

Mettons de côté l’attaque par déchiffrement décrite ci‑dessus, et supposons qu’un espion qui ne peut pas déchiffrer ma communication souhaite en savoir plus sur mes activités en ligne, voici des exemples de ce qu’il pourra observer.

Lorsque je navigue en HTTPS sur Wikipédia, cet espion qui intercepterait ma requête saurait que j’accède à l’encyclopédie et pourrait en déduire que je la consulte. L’espion ne pourrait cependant pas pouvoir savoir quelle page de Wikipédia je consulte. Par conséquent, il ne pourrait pas savoir sur quel sujet je me renseigne étant donné que Wikipédia est un site généraliste.

En revanche, dans le cas où je me connecte, toujours en HTTPS, à un site spécialisé, le sujet qui m’occupe pourrait être déduit de la thématique du site car l’identité du site est elle‑même connue. Par exemple, le sujet qui m’intéresse pourrait être inféré à partir de l’identité du site si je consulte www.j-ai-des-morpions.org.

Conseil technique

L’extension multi‐navigateur HTTPS Everywhere, développée (sous licence libre GPL version 2+) collaborativement par l’Electronic Frontier Foundation (page de don) et The Tor Project (page de don), permet de recourir, à chaque fois que cela est possible, à HTTPS.

Cela évite :

  • d’une part, que le contenu transféré puisse être lu par ceux qui les intercepteraient (exemple : vos identifiants et mot de passe de connexion) ;
  • d’autre part, que ce contenu puisse être modifié par ces mêmes personnes.

Mais, si vous souhaitez dissimuler l’identité du site accédé, cette technique doit être couplée à l’une de ces deux techniques : Tor ou VPN et qu’un serveur tiers puisse prendre facilement la place du serveur que vous voulez visiter (dans le cas d’un DNS menteur, par exemple).

Tor

Tor, est un réseau décentralisé qui permet de faire passer sa connexion par un circuit composé de trois relais (serveurs) différents. Ainsi le premier sait uniquement d’où vient le trafic, l’intermédiaire ne sait rien, et le dernier sait uniquement où va le trafic. Par conséquent, nul ne peut connaître à la fois l’expéditeur et le destinataire.

Tor n’est pas limité au Web uniquement, mais permet l’utilisation de tout protocole réseau basé sur TCP/IP.

Explications techniques

Le recours à Tor peut recouvrir deux hypothèses :

  1. l’accès à un site Web « classique » (c’est-à-dire extérieur à Tor) en passant par le réseau Tor pour bénéficier d’un anonymat renforcé ;
  2. l’accès à une version du site proposée au sein même de Tor (un tel site est doté d’une adresse en .onion) pour bénéficier d’un anonymat encore accru et/ou contourner la censure de sites.

Exemple

Sans quitter Tor, vous pouvez vous rendre sur Facebook à l’adresse https://facebookcorewwwi.onion. C’est l’adresse d’un serveur qui appartient à Facebook et qui n’est accessible que depuis le réseau Tor. L’on sait que Facebook peut servir à mobiliser, à informer et à s’informer dans les pays répressifs : ce serveur peut permettre de contourner une éventuelle censure (plus ici).

Conseil technique

Il est facile de mal utiliser Tor. Par exemple, si les requêtes de DNS passent par le réseau « normal », on peut en déduire ce que vous tentez de joindre.

C’est pourquoi il est très fortement conseillé d’utiliser le Tor Browser, un navigateur libre, multi‐système et développé par le Tor Project. Il est basé sur Firefox ESR et développé grâce à la collaboration (notamment financière) de Mozilla. Il inclut par défaut des extensions comme HTTPS Everywhere (évoquée ci‑avant) ou NoScript, visant à protéger la vie privée et à supprimer les traces que vous pourriez laisser sur le Web.

Il faut aussi rappeler que les nœuds de sorties peuvent voir le trafic à destination des sites que vous visitez. Celui-ci peut intercepter votre trafic s’il est en clair (par exemple, si vous n’utilisez pas HTTPS).

Dons

Si vous souhaitez soutenir Tor, en France, vous pouvez faire un don à l’association Nos oignons, qui maintient un certain nombre de nœuds de sorties. Vous pouvez aussi donner directement au Tor Project.

VPN (Virtual Private Network)

Un VPN fait « sortir » votre connexion Internet (pas seulement le Web) à une autre adresse par un tunnel chiffré. Il est donc impossible d’intercepter des communications en clair à la sortie de votre machine.

Explications techniques

Votre machine établit un tunnel chiffré avec un serveur VPN et route tout le trafic par le tunnel, sauf le trafic chiffré lui-même (eh oui, sinon ça ne marcherait pas).

Le serveur VPN se charge alors d’acheminer votre trafic à bon port via sa connexion Internet. Tout le trafic sur votre interface réseau se résumera à une connexion UDP ou TCP, au choix, à un seul serveur (celui du service VPN).

Dans le cas d’OpenVPN, c’est le serveur qui décide des routes à configurer sur le client.

Même si l’on en parle souvent pour changer d’adresse IP, un réseau privé virtuel (Virtual Private Network) peut fournir un réseau local virtuel. Donc, vous pouvez par exemple installer un serveur chez vous, mettre un VPN dessus et, une fois connecté, accéder à votre réseau comme si vous étiez à la maison.

Attention au DNS Leak : si vous contactez les serveurs DNS de votre FAI, ça revient à leur donner les sites que vous visitez… autant rester en HTTPS !

Exemples

Si vous achetez un abonnement chez un fournisseur de VPN par crainte de voir vos données capturées par les méchants FAI, le VPN permettra effectivement de cacher votre trafic de votre FAI. Sur Internet, votre adresse IP publique aura changé. Cependant, c’est maintenant l’opérateur du service VPN qui peut regarder votre trafic !

Il est donc crucial de bien se renseigner sur la politique de protection des données du fournisseur VPN que vous choisirez. Certains fournisseurs de service VPN (souvent gratuits) procèdent en effet au même type de récolte/revente des données que les FAI : passer par leur service revient donc à ne rien utiliser du tout !

Si l’idée vous prenait d’utiliser un réseau Wi‑Fi public qui n’est pas chiffré, comme on en trouve dans certains bars, cafés, restaurants, gares et aéroports, alors les communications en clair (sans crypto) peuvent être interceptées et analysées. La meilleure solution, c’est, soit d’éviter ces connexions, soit d’utiliser des protocoles de communications chiffrés avec vérification de la clé (par exemple, HTTPS signé ou SSH). Dans la plupart des cas, les conditions d’utilisation de ces points d’accès devraient vous refroidir. Mais si vous devez absolument utiliser des connexions non chiffrées, alors un VPN est le bienvenu pour protéger vos communications.

Conseil technique

Utilisation conjointe de Tor et de HTTPS

Pour voir l’effet de l’utilisation conjointe de Tor et de HTTPS, consultez  ce site. Ci‑dessous, la traduction des instructions que vous trouverez en anglais sur le site.

Les données potentiellement visibles comprennent : le site que vous visitez (site.com), votre nom d’utilisateur et mot de passe (user/pw), les données que vous transmettez (data), votre adresse IP (location) et si vous utilisez ou non Tor (tor) :

  • cliquez sur le bouton « Tor » pour voir les données visibles par les espions lorsque vous utilisez Tor ; le bouton devient vert pour indiquer que Tor est allumé ;
  • cliquez sur le bouton « HTTPS » pour voir les données visibles par les espions lorsque vous utilisez HTTPS ; le bouton devient vert pour indiquer que HTTPS est activé ;
  • lorsque les deux boutons sont verts, vous voyez les données visibles par les espions lorsque vous utilisez les deux outils ;
  • lorsque les deux boutons sont gris, vous voyez les données visibles par les espions lorsque vous n’utilisez aucun des deux outils.

Annexe : I2P, l’Invisible Internet Project

I2P est une autre solution pour surfer de manière anonyme. Quand l’objectif de Tor est d’abord d’accéder à l’Internet « normal » de manière anonyme et ensuite de pouvoir se connecter à des sites accessibles seulement au réseau Tor (Tor hidden services), I2P permet, quant à lui, en premier lieu, d’accéder aux sites .i2p (ainsi que d’en publier) et, dans une moindre mesure, (il existe moins de portes de sorties) d’accéder à tout l’Internet. Quelques applications sont également accessibles : forum, tchat, partage de documents, téléchargement de torrents ou courriel interne au réseau.

Vu de loin, I2P fonctionne sur les mêmes principes que Tor, par couches de chiffrement successives. Basé sur un fonctionnement pair à pair, I2P est plus décentralisé. Ainsi, sa recherche initiale de pairs ne repose pas sur une liste connue à l’avance, et est adéquate pour un téléchargement de torrents.

Tor est beaucoup plus utilisé, la question se pose de savoir si I2P pourrait passer à l’échelle. Tor a fait l’objet de plus de recherche et son chef de projet est connu. À l’inverse, les développeurs d’I2P sont uniquement connus par leurs pseudonymes et ils considèrent ne pas avoir eu assez de revues de code par la communauté scientifique pour valider le système et passer officiellement à la fameuse version 1.

C’est en évaluant les différences et le niveau de sécurité désiré que l’on opte pour l’une ou l’autre solution.

Le client officiel est en Java et il existe le client i2pd, écrit en C++ pour une meilleure consommation des ressources.

Annexe : Internet ne s’arrête pas au navigateur !

Si vous utilisez Debian et le gestionnaire de paquets APT, vous utilisez peut‐être le protocole HTTP pour contacter un dépôt et ainsi récupérer les mises à jour et les paquets à installer. Cependant, cette utilisation est potentiellement risquée (attaque par rejeu, cf. 1 et 2 ou attaque de l’homme du milieu, cf. le récent CVE-2019-3462). Le paquet apt-transport-https (intégré au paquet apt depuis Debian Buster/Ubuntu Bionic) permet de chiffrer la partie HTTP de ce trafic Internet. Si vos miroirs habituels sont compatibles, ouvrez votre fichier /etc/apt/sources.list et remplacez http par https :

deb https://foo distro main

Les paquets apt-transport-tor et onionbalance vous permettent de faire passer les mises à jour et les paquets par le réseau Tor. Ainsi, pour Stretch, votre fichier /etc/apt/sources.list devrait simplement contenir :

deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch            main
deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch-updates    main
deb  tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates    main

N. D. A. : par sécurité, vous devriez vérifier les adresses en vous appuyant sur d’autres sources ! https://onion.debian.org/

Vous pouvez également utiliser l’extension expérimentale TorBirdy pour le client de messagerie Thunderbird. Ainsi, la connexion entre votre machine et votre serveur de messagerie transitera par le réseau Tor. Votre serveur de courriel n’aura donc pas connaissance de votre localisation.

Si le service Tor est actif, vous pouvez utiliser torsocks (vérifiez dans les dépôts de votre distribution) pour forcer un logiciel à faire passer son trafic par Tor, par exemple :

torsocks clawsmail [options de clawsmail]

Aller plus loin

  • # TOR et FAI ?

    Posté par . Évalué à 1 (+0/-0).

    Bonjour,

    Est-ce que le FAI peut savoir quels sites je visite si j'utilise seulement TOR, par exemple ?

    • [^] # Re: TOR et FAI ?

      Posté par (page perso) . Évalué à 4 (+1/-0).

      Non.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: TOR et FAI ?

      Posté par . Évalué à 2 (+3/-1).

      Sans fuite dns non!
      D'où l'intérêt d'utiliser tor browser.
      Je pense que vpn + tor browser c’est deja pas mal.

      Sinon les morpions j'en ai eu une fois, c'est une vrai galère.
      Merci pour cette dépêche

      • [^] # Re: TOR et FAI ?

        Posté par . Évalué à 2 (+2/-0).

        Vpn + tor browser ??

        L'un ou l'autre, utiliser les deux en même temps n'a pas d'intérêt et est même contre-productif puisqu'ils n'ont pas le même but.

        A ma connaissance l'intérêt d'utiliser un vpn avec tor n'est utile que si on ne peut pas accéder à tor et que pour y accéder on a besoin d'un vpn. Je pense à des pays très censurés comme la Chine où tor est souvent inutilisable car pas joignable…

        • [^] # Re: TOR et FAI ?

          Posté par . Évalué à 1 (+2/-1).

          Le vpn c'est pour te masquer du premier noeud tor, et par défaut il ne faut pas trop y faire confiance!
          Au moins, tu es sûr que ta véritable ip n'apparait pas.

          Après je ne suis pas un expert…

        • [^] # Re: TOR et FAI ?

          Posté par (page perso) . Évalué à 2 (+0/-0).

          A ma connaissance l'intérêt d'utiliser un vpn avec tor n'est utile que si on ne peut pas accéder à tor et que pour y accéder on a besoin d'un vpn. Je pense à des pays très censurés comme la Chine où tor est souvent inutilisable car pas joignable…

          Et même pour ça, tu as les bridges.

          Un VPN, c’est à peut prêt jamais utile.

  • # Merci !

    Posté par . Évalué à 2 (+2/-0). Dernière modification le 06/11/19 à 18:13.

    Merci pour ce petit récapitulatif.
    A noter que plusieurs distributions utilisent de base https pour les dépots (arch, fedora, etc…)

  • # Concernant les pub pour les VPN commerciaux...

    Posté par (page perso) . Évalué à 7 (+5/-0).

    Tom Scott à fait une vidéo (en anglais) la semaine dernière sur ce que permettait et ne permettait pas les VPN :
    https://www.youtube.com/watch?v=WVDQEoe6ZWY

    Il parle entre autre du problème des vidéos Youtube sponsorisées par NordVPN (il y en a beaucoup) où les youtubeur disent en général que si on est sur un wifi public sans VPN et bien tout le monde peut voler nos mots de passe (fear! fear!).

  • # i2p, freenet, zeronet

    Posté par (page perso) . Évalué à 4 (+3/-1).

    Quelle est l'apport de I2p par rapport à Freenet ou Zeronet ? J'ai l'impression que les trois font un peu la même chose… Mais il doit y avoir une bonne raison à ne pas simplement avoir contribué au plus ancien protocole de ce genre.

    • [^] # Re: i2p, freenet, zeronet

      Posté par . Évalué à 5 (+5/-0). Dernière modification le 06/11/19 à 19:25.

      Ben freenet, c'est destiné au stockage de documents. Un peu comme si tu balances un torrent dans la nature. C'est un service distribué! Tu n'effaceras pas ce que tu as mis dessus. C'est pour la censure surtout.

      I2p, c'est un réseau fermé sur lequel on identifie les utilisateurs sur des clefs crypto. Faut savoir ou l'on va. Les adresses se passe de la main à main en général.

      Zeronet, c'est du blockchain qui passe par tor.

      Pas grand monde utilise I2p ou freenet, mais ca peut être tres pratiques.
      J'ai tous mes mots de passes dessus(chifrés)

  • # Correction

    Posté par (page perso) . Évalué à 5 (+3/-0).

    HTTPS Everywhere (évoquée ci‑avant) uBlock Origin ou NoScripts,

    Dans la dernière version de Tor Browser pour ma Debian, uBlock Origin n'est pas inclus.
    Et il s'agit de NoScript (sans le s)

  • # HTTPS : Fonctionnement et limites du procédé

    Posté par (page perso) . Évalué à 2 (+1/-1).

    Lorsque je navigue en HTTPS sur Wikipédia, cet espion qui intercepterait ma requête saurait que j’accède à l’encyclopédie et pourrait en déduire que je la consulte

    Je crois que c'est ce dont DNS sur HTTPS protège ?
    https://linuxfr.org/news/firefox-69#toc-firefox-chiffrera-les-requ%C3%AAtes-de-noms-de-domaine-web-pard%C3%A9faut-protocole-dns-surhttps

  • # Great firewall, cas de la Chine

    Posté par . Évalué à 7 (+7/-0). Dernière modification le 07/11/19 à 00:42.

    En Chine, le problème n'est pas tant de surfer anonyme en chiffrant la tranmission que de masquer la transmission elle-même. Par exemple shadowsocks qui fonctionnait il y a encore quelques mois ne fonctionne plus, car les serveurs shodowsocks sont maintenant très vite détectés et blacklistés.
    Les VPN qui fonctionnent en Chine se comptent désormais sur les doigts d'une main, en fait un seul fonctionne correctement (collusion avec le gouvernement ?) et quelques autres pour lesquels il faut bricoler pas mal.
    Bref, être anonyme ne suffit pas toujours.

    • [^] # Re: Great firewall, cas de la Chine

      Posté par . Évalué à -1 (+0/-1). Dernière modification le 07/11/19 à 20:41.

      Je ne suis pas allé tester en chine, et on ne sait pas trop à qui ils appartiennent, mais sur vpngate dot net on doit pouvoir trouver son bonheur!

    • [^] # Re: Great firewall, cas de la Chine

      Posté par . Évalué à 5 (+3/-0).

      Et avec un OpenVPN sur un petit VPS perso à 5€/mois ? Si tu prends ça chez OVH par exemple, je vois pas trop ce qu'ils peuvent faire : https://www.ovh.com/fr/vps/vps-ssd.xml
      Sauf si il s'amusent aussi à bloquer les plages IP des hébergeurs étrangers mais du coup la connexion internet ne sert plus à grand chose.
      C'est une vraie question, je n'ai aucune idée ce qu'ils bloquent.

      • [^] # Re: Great firewall, cas de la Chine

        Posté par . Évalué à 6 (+5/-0).

        En fait, il me semble que la signature d'un trafic VPN est relativement facile à détecter, en particulier pour les protocoles les plus connus (OpenVPN, Cisco, etc). Ils bloquent tout ce qui ressemble à du VPN ; donc ton instance OVH perso, elle marchera pas. Ensuite, je ne sais pas quelle est la difficulté pour un chinois d'ouvrir un compte chez OVH et consort.

        Par contre, si toi tu vas ponctuellement en Chine, tu trouvera une solution pour faire passer ton trafic (il y a une dizaine d'années, je passais sans problème par mon ssh chez moi).

        Du coup, je me posais la question d'un VPN qui ajouterai une couche de stegano, mais faudrait le faire en temps réel et trouver un protocol anodin et bidirectionnel…

        • [^] # Re: Great firewall, cas de la Chine

          Posté par . Évalué à 1 (+0/-0).

          Du coup, je me posais la question d'un VPN qui ajouterai une couche de stegano, mais faudrait le faire en temps réel et trouver un protocol anodin et bidirectionnel…

          Pas suffisants s'ils checkent l'IP du VPN comme suit :

          root@ServerName:/# cat /var/log/openvpn.log | grep "TLS Error"
          Nov 11 10:23:51 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]202.107.226.3:31791
          Nov 11 10:59:51 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.36:39681
          Nov 11 22:28:15 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]122.228.19.80:56971
          Nov 11 23:14:32 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.66:53042
          Nov 12 11:01:31 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.56:52420
          Nov 12 13:30:41 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]146.88.240.4:58943
          Nov 12 22:19:35 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.68:52158
          Nov 13 10:59:22 ServerName ovpn-server[666]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]185.200.118.67:41351
          

          🇪🇺

      • [^] # Re: Great firewall, cas de la Chine

        Posté par . Évalué à 6 (+5/-0). Dernière modification le 08/11/19 à 14:57.

        Ca va fonctionner, quelques jours, ou quelques semaines si tu as de la chance, puis l'IP sera blacklistée, tu ne pourras plus accéder à ton vps. Ils détectent de plus en plus vite les vpn.

        SSH fonctionne, donc utiliser un tunnel SSH est possible, mais terriblement lent. Ils ne sont pas cons, ils laissent la possibilité d'administrer un serveur en SSH, mais ils brisent les connexions SSH à quelques ko/s (et non pas quelques dizaines de ko/s, c'est vraiment super lent, tu as le temps de taper tes commandes et attendre quelques secondes pour qu'elles s'affichent, ça lag à mort).

  • # apt-transport-https n'existe plus

    Posté par . Évalué à 3 (+1/-0).

    C'est désormais inclut dans le paquet apt

  • # Fuite IPv6 et VPN

    Posté par . Évalué à 1 (+0/-1).

    En utilisant un VPN, il faut aussi penser à vérifier qu'il supporte à la fois IPv4 et IPv6. Il existe certains VPN qui ne prennent en charge que l'IPv6. C'est par exemple le cas de ProtonVPN. Ce service VPN explique que le seul moyen de se prémunir d'une fuite de son adresse IPv6 est de désactiver l'IPv6. Je ne sais pas si c'est vrai mais si c'est le cas, c'est bon à savoir

    • [^] # Re: Fuite IPv6 et VPN

      Posté par . Évalué à 3 (+2/-1).

      Euh pas sur d'avoir tout compris ? Ils ne prennent en charge que l'IPv6 mais il faut désactiver l'IPv6 ???

  • # se protéger de quoi et de qui

    Posté par . Évalué à -9 (+2/-11).

    de mon point de vue, il y a une surenchère sur la sécurité qui ne correspond pas à la réalité du besoin.

    aujourd'hui tous les sites sont en https, marmiton et le site sur le PSG sont en https, franchement je ne vois pas l’intérêt.
    Le chiffrement et le déchiffrement de ces millions de pages génèrent beaucoup de CPU pour pas grand chose. A l'heure ou on nous rappelle a longueur de journée qu'il faut économiser l'énergie de la planète, ca pourrait etre une piste non négligeable d'économie.
    Une grosse majorité des données chiffrées ont peu ou pas d'interet a etre chiffrées

    pour moi le https est utile lorsque je dois m'identifier sur un site (je n'ai pas forcement envie que mon mot de passe transite par une dizaine de routeur en clair) ou quand je met mon numéro de carte bleu. pour le reste, sincèrement c'est très superflue.

    je ne dis pas quand on est un homme politique ou PDG d'une grosse boite ou on peut avoir un intérêt a cacher certaine chose, mais pour la personne lambda, il y en a déja beaucoup trop

    concernant les VPN/Tor, a moins de vivre dans un pays ou internet est censuré (ce qui n'est pas le cas dans la plupart des pays de l'occident), l'interet est assez peu limité surtout si on reste dans un cadre légal

    je sais qu'on va me parler de violation de la vie privée, mais en ce qui me concerne je me fiche que la NSA ou la DGSE ou mon provider internet sache que j'aime faire des flan à la courgette ou que je regarde en boucle les buts du PSG contre le real madrid.
    En plus je crois qu'ils s'en contrefichent.

    maintenant si vous avez des choses à cacher à la NSA, vous avez interet a ne pas utiliser de iphone, d'android, de PC sous fenetre ou ce genre de choses car vous avez beaucoup de chance de perdre la partie

    • [^] # Re: se protéger de quoi et de qui

      Posté par . Évalué à 10 (+9/-0). Dernière modification le 08/11/19 à 07:38.

      de mon point de vue

      à part la partie sur le gaspillage énergétique, tu ressasses des lieux communs éculés depuis des lustres

      tous ces arguments ont été démontés depuis longtemps, cf les révélations snowden, cf les réflexions de LQDN sur l'autocensure ("on a tous quelque chose à cacher")

      on dirait un monologue de comptoir d'une personne qui découvre internet en 2005 et qui n'a pas fait évoluer son logiciel depuis

      • [^] # Re: se protéger de quoi et de qui

        Posté par . Évalué à 0 (+3/-3).

        il n'y a aucune réponse sur le fond,

        je dis que ces techno sont utilisé pour des raisons "marketing" mais que l'interet est assez peu limité

        bien entendu, le https sert a quelque chose mais il est utilisé a tord et a travers

        quand au VPN, on déplace le problème, pourquoi je ferais plus confiance au propriétaire du VPN plutôt qu'a mon provider internet.
        Au moins mon provider internet essaie de suivre la loi, ce qui est rarement le cas d'un VPN .

        quand a TOR, ca a l'air mieux ficelé, mais j'ai cru comprendre que les performances était assez catastrophique (jamais testé c'est ce que j'ai lu )

        donc oui ca a un interet mais dans des cas particulier, pas au quotidien tout le temps

        • [^] # Re: se protéger de quoi et de qui

          Posté par (page perso) . Évalué à 3 (+1/-0). Dernière modification le 11/11/19 à 21:14.

          on déplace le problème, pourquoi je ferais plus confiance au propriétaire du VPN plutôt qu'a mon provider internet.

          Très bonne question. Il n’y a pas de réponse universel, mais probablement que tu ne peux pas faire plus confiance à ton fournisseur de VPN qu’à ton fournisseur d’accès à Internet.

          quand a TOR, ca a l'air mieux ficelé

          Avec Tor tu « partages la confiance », ou plutôt, tu fais en sorte que personne ne puisse connaitre d’où tu viens et où tu vas s’il contrôle un des nœud de ton circuit. Il y a aussi tout un tas de mécanisme pour éviter que tu passes par des nœuds contrôlés par la même entité.

          mais j'ai cru comprendre que les performances était assez catastrophique (jamais testé c'est ce que j'ai lu )

          Tor est assez « saturé » (dans le sens ou l’utilisation du réseau comparé à sa capacité ferait peur à n’importe quel administrateur réseau), mais c’est pas si « catastrophique » que ça. Je navigue régulièrement avec Tor, et franchement, c’est utilisable.

          Il faudrait plus de relais, et plus de nœud de sortie et il en faudrait surtout chez des fournisseurs qui ne soient pas OVH, Online/Scaleway ou Hertzner.

          • [^] # Re: se protéger de quoi et de qui

            Posté par . Évalué à -2 (+0/-2).

            Tor est assez « saturé » (dans le sens ou l’utilisation du réseau comparé à sa capacité ferait peur à n’importe quel administrateur réseau), mais c’est pas si « catastrophique » que ça. Je navigue régulièrement avec Tor, et franchement, c’est utilisable.

            c'est bien la le problème, je suis un administrateur réseau
            juste pour savoir, quel sont les cas qui justifient ton utilisation régulière de TOR

            • [^] # Re: se protéger de quoi et de qui

              Posté par (page perso) . Évalué à 6 (+4/-0).

              c'est bien la le problème, je suis un administrateur réseau

              Bah voilà, si les metrics t’intéresse, elles sont disponible publiquement.

              juste pour savoir, quel sont les cas qui justifient ton utilisation régulière de TOR

              Pourquoi il faudrait avoir une justification ?

              Quand tu vas aux toilettes, tout le monde sait ce que tu vas y faire, il te faut une justification pour fermer la porte ?

              • [^] # Re: se protéger de quoi et de qui

                Posté par . Évalué à -2 (+0/-2).

                Quand tu vas aux toilettes, tout le monde sait ce que tu vas y faire, il te faut une justification pour fermer la porte ?

                justement, dans ma maison, mes toilettes ne sont pas dans un pièce fermable a clef accessible depuis un couloir lui même fermé a clef pour que personne ne sache quand je vais aux toilettes

                car chez moi tout le monde se fiche de savoir qui et quand les gens vont aux toilettes

                et sinon je ferme la porte (a clef) pour que personne n'entre pendant que j'y suis, c'est ca ma justification. et toi alors ta justification de tor c'est quoi ?

                • [^] # Re: se protéger de quoi et de qui

                  Posté par (page perso) . Évalué à 5 (+3/-0).

                  La même raison : l’intimité.

                • [^] # Re: se protéger de quoi et de qui

                  Posté par . Évalué à 2 (+1/-0).

                  et toi alors ta justification de tor c'est quoi ?

                  Jouer avec des bots D2 depuis chez mamy, grâce à VNC via SSH tunneling sans exposer ce dernier au WAN ni dépendre d'un nom de domaine ? 😁 (en photo)

                  🇪🇺

                  • [^] # Re: se protéger de quoi et de qui

                    Posté par . Évalué à 1 (+1/-0).

                    Jouer avec des bots D2 depuis chez mamy, grâce à VNC via SSH tunneling sans exposer ce dernier au WAN ni dépendre d'un nom de domaine ? 😁 (en photo)

                    franchement j'ai pas tout compris
                    D2 j'ai déduit avec l'image que c'est diablo 2, VNC c'est du déport d'affichage que tu ferais passé dans un tunnel ssh car tu n'as pas envie d'exposer vnc sur internet (ok ca je comprends)

                    en quoi tor entre dedans ? tu mets ton IP en direct sans nom de domaine, tu pourrais le faire sans tor ?

                    • [^] # Re: se protéger de quoi et de qui

                      Posté par . Évalué à 3 (+2/-0).

                      en quoi tor entre dedans ? tu mets ton IP en direct sans nom de domaine, tu pourrais le faire sans tor ?

                      Voir le fonctionnement des Tor Hidden Service.

                      En très très gros résumé :

                      1. Sur ton serveur : Tor te permet de générer un nom de domaine aléatoire en .onion qui renvoie vers un ou plusieurs ports. Utilisant une connexion sortante, pas besoin de toucher au NAT.

                      2. Sur ton client, après avoir adapté /etc/ssh/ssh_config : dans ton shell tu entres le noms de domaine en .onion et tu te connectes comme d'habitude. La seule différence c'est la latence qui augmente et l'adresse IP cliente qui est 127.0.0.1.

                      🇪🇺

                      • [^] # Re: se protéger de quoi et de qui

                        Posté par . Évalué à 2 (+2/-0).

                        si j'ai bien compris le principe de tor hidden service, c'est d'exposer un service sans que les utilisateurs ne connaissent la vrai adresse de ton serveur

                        si le but est qu'il ne sache pas que tu as des bots sur diablo 2, le simple tunnel ssh suffit, la surcouche tor est du coup inutile

                        dans ton cas précis, quel est le but recherché et en quoi tor répond a ton besoin

                        • [^] # Re: se protéger de quoi et de qui

                          Posté par . Évalué à 3 (+2/-0).

                          dans ton cas précis, quel est le but recherché et en quoi tor répond a ton besoin

                          Dans ce cas précis, c'est simplement de pouvoir joindre le serveur :

                          1. sans dépendre d'un nom de domaine tiers y compris en IP Dynamique
                          2. sans avoir besoin d'accéder au routeur (pas toujours accessible, dèche oblige) et donc sans avoir besoin d'ouvrir une redirection NAT (qui deviendrait une cible pour les pirates)

                          Typiquement, si tu as un logiciel avec une WEBUI, Tor Hidden Service te permet d'y accéder facilement sans avoir besoin de tiers autre que le réseau Tor en lui même.

                          🇪🇺

                          • [^] # Re: se protéger de quoi et de qui

                            Posté par . Évalué à 1 (+1/-0).

                            donc sans avoir besoin d'ouvrir une redirection NAT (qui deviendrait une cible pour les pirates)

                            tu es sûr de ton coup ? ca ne se scanne pas les services tor?
                            concernant l'ip dynamique tu as le dyndns qui peut résoudre ce probleme.

                            Sur le principe je vois ce que tu veux dire, mais tu as un service qui a pour but de masquer les ip source et destination et tu l'as détourné pour exposer un service plus ou moins facilement, pourquoi pas mais c'est pas fait pour et le but premier de tor ne t'est pas utile.

                            • [^] # Re: se protéger de quoi et de qui

                              Posté par . Évalué à 4 (+3/-0).

                              tu es sûr de ton coup ? ca ne se scanne pas les services tor?

                              Si mais c'est plus difficile (là où mes logs pour les services exposé au WAN sont bourré de requêtes de boulets pas capable de changer l'User-Agent par défaut, les logs des services Tor sont d'un calme plat).
                              Par exemple voici un exemple en web avec des bots dont les crawls de l'un mettaient à genoux un de mes raspberry pi.

                              Les noms de domaines Tor étant aléatoire, avec une taille de 56 caractères avant le .onion (Tor V3+) et limité individuellement à certains ports entrant/sortants (défini par l'admin) : il faut arriver à récupérer la liste des noms de domaines pour ensuite scanner chacun avec des logiciels spécifique pour arriver à identifier se qui se cache derrière chacun. Impossible de faire un nmap de l'ensemble du serveur/sous-reseau comme à l'accoutumée.

                              concernant l'ip dynamique tu as le dyndns qui peut résoudre ce probleme.

                              Oui je connais. Mais cela signifie ouvrir le NAT (et donc exposer le service au WAN). Sans oublier que cela fait dépendre ton service d'un service externe avec ses propres règles/tracking/lois, etc. (là où Tor ne demande rien d'autre que d'ajouter deux lignes de confs)

                              Sur le principe je vois ce que tu veux dire, mais tu as un service qui a pour but de masquer les ip source et destination et tu l'as détourné pour exposer un service plus ou moins facilement, pourquoi pas mais c'est pas fait pour et le but premier de tor ne t'est pas utile.

                              Le but de cet outil réseau est de rendre accessible de façon sécurisée un service. J'aimerais me dire que j'ai hacké Tor Hidden Service 😁, mais je ne pense pas. C'est juste que la partie anonymat n'est pas toujours requise en utilisation privée.

                              🇪🇺

            • [^] # Re: se protéger de quoi et de qui

              Posté par . Évalué à 6 (+4/-0).

              juste pour savoir, quel sont les cas qui justifient ton utilisation régulière de TOR

              Moi j'utilise Tor pour lire la presse, parce que j'ai horreur qu'on lise par dessus mon épaule.

        • [^] # Re: se protéger de quoi et de qui

          Posté par . Évalué à 1 (+0/-0).

          bien entendu, le https sert a quelque chose mais il est utilisé a tord et a travers

          Outre l'aspect protection de la vie privée, chiffrer tes données (avec TLS ou autres) empêche d'injecter des charges virales en javascript ou autre langage actif dans les pages que tu visionnes. C'est bien pratique pour éviter un exploit contre ton navigateur (ou de se retrouver avec un mineur bitcoin en javascript qui bouffe ton CPU sans savoir d'où sa vient).

          🇪🇺

    • [^] # Re: se protéger de quoi et de qui

      Posté par . Évalué à 7 (+6/-0).

      Un des gros intérêts de la généralisation du chiffrement, c'est de noyer le trafic nécessitant réellement de la privacy (et pas seulement du chiffrement) dans un flux indistinguable. Si tu protèges seulement ce qui est important, il est plus facile de le discriminer.

      je sais qu'on va me parler de violation de la vie privée, mais en ce qui me concerne je me fiche que la NSA ou la DGSE ou mon provider internet sache que j'aime faire des flan à la courgette ou que je regarde en boucle les buts du PSG contre le real madrid.
      En plus je crois qu'ils s'en contrefichent.

      Je rejoins clingcurious sur le côté café du commerce de 2005 de cette remarque et sur les données snowden ou LQDN. J'ajouterais qu'aujourd'hui tu t'en fiches, mais que tu ne sais si demain tu n'auras pas des choses que tu aimerais garder pour toi.

    • [^] # Re: se protéger de quoi et de qui

      Posté par . Évalué à 4 (+2/-0).

      Demande aux personnes qui ont subit un vol d'identité s'ils ne voient pas un intérêt à se protéger …

  • # HTTPS

    Posté par (page perso) . Évalué à 1 (+0/-0).

    Si on ne fait pas confiance a son employeur, y-a-t'il un moyen, dans firefox, pour dire "Ne fait confiance qu'aux certificats fournis par le navigateur". Et donc, de ne par tenir compte de ceux du système ?

    • [^] # Re: HTTPS

      Posté par . Évalué à 2 (+0/-0).

      Je dirais que malheureusement ça n'ira pas très loin :(

      Si ton employeur fournit un certificat à lui, c'est pour faire de l'interception SSL. Donc rechiffrer toutes les communications avec son certificat à lui.

      De ton côté, avec ton firefox, tu verras tous les sites SSL avec un warning indiquant que le certificat n'est pas trusté…

      • [^] # Re: HTTPS

        Posté par (page perso) . Évalué à 3 (+1/-0).

        Donc rechiffrer toutes les communications avec son certificat à lui.

        Pas forcément. Là ou je bosse actuellement, la CA interne sert à signer des certificats à la volé pour les sites bloqués : par exemple, quand tu accèdes à https://torproject.org/, tu as un page qui est injecté pour te prévenir que c’est bloqué (je me bats contre l’utilisation de cette CA et contre le blocage, mais c’est peine perdue).

        • [^] # Re: HTTPS

          Posté par . Évalué à 2 (+0/-0).

          Ce qui revient exactement à « rechiffrer les communications avec son certificat à lui », certes pour te servir une page différente, non ?

    • [^] # Re: HTTPS

      Posté par (page perso) . Évalué à 9 (+7/-0).

      Une bonne solution dans ce cas est de ne pas utiliser la connexion et le matériel du boulot pour des trucs perso.

  • # Un certificat ne sert-il pas plutôt à déchiffrer?

    Posté par (page perso) . Évalué à 2 (+0/-0).

    Dans le paragraphe Attaque de l’homme du milieu, il est écrit:

    Il est relativement aisé de procéder à une attaque MITM et ainsi d’accéder au contenu de la communication en clair : votre employeur qui a installé le certificat de son autorité de certification interne sur votre poste (vous chiffrez alors sans le savoir avec la clé de votre employeur…)

    Mais pour autant que je sache, un certificat installé sur ton navigateur te permet de déchiffrer uniquement, le chiffrement se fait par le serveur proxy de l'employeur. J'ai bon?

    • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

      Posté par (page perso) . Évalué à 5 (+2/-0).

      Ce n'est pas cela.

      Ton navigateur chiffre et déchiffre les flux https de/vers le serveur web. Et le serveur web fait de même de/vers toi.

      Avec un MITM, un logiciel parasite s'intercale entre ton navigateur et le serveur web. Il y a chiffrement entre ton navigateur et le MITM, et un chiffrement différent entre le MITM et le serveur web.
      Ton navigateur chiffre et déchiffre de/vers le MITM.
      Le MITM fait de même de/vers toi et de/vers le sereur web.
      Le serveur web fait de même de/vers le MITM.

      Pas sûr que ce soit clair mon truc.

      • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

        Posté par (page perso) . Évalué à 3 (+1/-0).

        Ok pour le fonctionnement du MITM mais c'est la phrase suivante qui me fait tiquer:

        vous chiffrez alors sans le savoir avec la clé de votre employeur

        Il me semble qu'on déchiffre uniquement avec un certificat, qu'il vienne du site web d'origine ou de l'employeur avec son MITM.

        Le chiffrement du flux par le client se fait avec une clé générée aléatoirement lors du début de la session TLS.

        • [^] # Re: Un certificat ne sert-il pas plutôt à déchiffrer?

          Posté par (page perso) . Évalué à 5 (+2/-0).

          C'est un abus de langage.

          La clef contenue dans le certificat du site web (clef publique) ne peut servir qu'à chiffrer. Le déchiffrement se fait avec la clef secrète que seul le serveur connaît (elle est en principe également stockée au chaud chez l'administrateur du serveur). Ce chiffrement est coûteux en temps processeur. Cette méthode de chiffrement est utilisée par le client pour envoyer une clef symétrique au serveur, qui va être utilisé pour la suite des échange. Ce second chiffrement est bien moyen gourmand en puissance.
          Au final la clef contenue dans le certificat n'a servir qu'à envoyer un seul message.

          Cela ne change rien à l'explication précédente : un MITM fait qu'il y a un chiffrement de chaque côté.

  • # Analyse de trafic, empreintes, cookies...

    Posté par . Évalué à 1 (+2/-2).

    Aucune de ces techniques ne protègent des attaques par analyse de traffic : si un attaquant peut surveiller le traffic sortant de la machine cliente et le traffic entrant dans le serveur, alors il peut établir que les deux machines se sont parlé en effectuant une corrélation entre les dates, heures et tailles des paquets émis par Alice et reçus par Bob et vice versa. Nul besoin de déchiffrer le contenu. À noter que les sites Tor ayant une adresse en .onion sont peut-être plus difficiles à localiser, mais pas forcément plus difficiles à pirater.

    De plus un serveur compromis pourra enregistrer l'empreinte numérique de l'ordinateur (OS, navigateur, plugins installés, taille de la fenêtre du navigateur…) pour identifier avec une probabilité correcte une machine s'étant déjà connectée au même serveur sans VPN, même si l'IP est masquée la deuxième fois. Dans le cas de Tor des cookies tiers de régies publicitaires peuvent aussi trahir l'identité du surfeur, ou bien sûr le fait de donner son identité sans le vouloir dans les métadonnées de fichiers téléversés (photos, textes…)

  • # Virtual Private Network

    Posté par . Évalué à 1 (+3/-2).

    Quand on parle de Virtual Private Network, ne pourrait-on pas plutôt préciser proxy ? Le but étant de cacher sa véritable adresse IP et de chiffrer le trafic. Le VPN a un autre but : celui de connecter l'hôte à un réseau privé.
    Il me semble qu'il y a une grande confusion entre ces deux termes en général.

  • # Et IPFS / Textile dans tout ça ?

    Posté par . Évalué à 0 (+0/-0).

    Merci pour l'article bien instructif. J'aurais bien aimé savoir où se trouvait IPFS et textile au milieu de tout ça.

    C'est assimilable à du tor ?

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.