IPv6 et conséquences sur l'anonymat

Posté par  (site web personnel) . Modéré par tuiu pol.
Étiquettes :
27
18
jan.
2011
Internet
NdM : Cette dépêche est tirée du journal de ffourcot.

Je voudrais revenir sur les conséquences pour la vie privée du passage en IPv6. On a récemment pu lire beaucoup de commentaires à ce sujet sur ce site, et je ne les considère pas toujours pertinents. Ici, je ne parlerai vraiment que de la couche réseau : que les gens soient déjà tracés par les cookies, l'entropie d'information de leurs navigateurs, leurs comptes facebook ne m'intéressent pas. En IPv6, on a toujours la même adresse

Il y a dans ce « problème » deux parties. Une adresse IPv6 est constituée de deux composantes bien distinctes : l'adresse réseau (en gros, les 64 premiers bits) et l'identifiant d'interface (les 64 derniers).

Pour la première partie, beaucoup pensent que l'IPv6 entraînera des préfixes réseaux fixes. Il n'en est rien et certains FAI n'ont pas envie de le faire. Dans les exemples récents, Deutsche Telekom a déclaré vouloir déployer l'IPv6 en fournissant un /56 par abonné. Ce /56 changera au minimum une fois toutes les 24 heures... Les anti-IP fixes se trompent donc de cible : ce n'est pas une technologie qu'il faut combattre mais bien les politiques des fournisseurs d'accès. Je pense personnellement que ce n'est pas un problème d'avoir un préfixe fixe, mais si vous pensez le contraire, sachez qu'IPv6 ne change rien.

Il est probable que, s'il existe un marché pour des IP dynamiques, un fournisseur d'accès le proposera.

Pour les germanophones, l'article source chez heise.de.

Passons à la seconde partie : l'identifiant d'interface. Il est vrai que les premiers mécanismes d'auto-configuration qui ont été publiés en RFC proposaient une dérivation de cet identifiant à partir de l'adresse MAC. Cette dernière étant unique, il était virtuellement possible de connaître les endroits où vous vous branchiez sur l'Internet ou, en tout cas, connaître tous les endroits où votre carte réseau se branche (après, rien ne vous a jamais empêché de ne pas utiliser cette auto-configuration...). Ce problème est résolu depuis bien longtemps, d'abord par la RFC 3041 qui a été mise à jour par la 4941 (Privacy Extensions for Stateless Address Autoconfiguration in IPv6). Grâce à ces extensions, un identifiant d'interface est généré aléatoirement pour les connexions sortantes. Cela rend impossible le traçage des différentes cartes réseaux et résout ainsi le problème. La bonne nouvelle pour Madame Michu, c'est que ces options sont activées par défaut sous Windows (sous GNU/Linux, il faut le faire à la main).

En conclusion, les IPv6 fixes et le traçage des utilisateurs en découlant sont juste des foutaises. Mais vous n'en doutiez pas, j'en suis convaincu.

Et pour le vrai anonymat ?

Si vous pensez qu'avoir une IP dynamique est suffisant pour votre vie privée, vous êtes désormais rassuré. Si vous pensez que ça ne change pas grand chose, vous pourriez souhaiter avoir accès à des applications d'anonymat un peu plus solides, tel que Tor ou des « cascades de Mix ».

L'introduction de l'IPv6 peut poser des problèmes d'architecture à ces réseaux. Exemple : Tor. Permettre l'IPv6 sur Tor n'est pas sans poser problème, notamment au niveau de la cohérence du réseau, de la joignabilité de tous les nœuds, etc. C'est bien expliqué dans la FAQ du site, ils cherchent une solution. Je fais confiance aux gens de Tor pour avoir une solution élégante. Mais leur processus de décision sous la forme de propositions/commentaires/implémentation est assez lent (c'est ce qui le rend bien en même temps), et donc Tor en IPv6 ne sera pas pour tout de suite (pour ce que j'en sais).

Après, il y a d'autres solutions qui ont les mêmes problèmes que toutes les applications : il faut mettre à jour pour permettre une compatibilité IPv6. C'est notamment le cas des « cascades » qui ont un point unique d'entrée et de sortie. Il n'y a aucun problème théorique là-dessous, juste du temps de développement à avoir.

Donc, si vous avez besoin de solutions d'anonymat solides : pour l'instant, en IPv6, ça ne marchera pas. Ce n'est pas directement un problème du protocole, mais un problème de compatibilité avec l'existant et de mises à jour des logiciels.

J'ai fait un rêve...

Pour la suite, je pense qu'IPv6 va apporter de nouvelles solutions intéressantes pour l'anonymat. Il y a pas mal de nouvelles idées dans le domaine de la recherche qui s'appuient sur les nouveaux protocoles qui vont avec l'IPv6, il en émergera bien un truc. La philosophie de l'abondance des adresses ouvre de nouvelles opportunités.

On peut également rêver d'une diffusion massive de l'[[IPsec]] et notamment du chiffrement opportuniste. En IPv6, le support d'IPsec est obligatoire dans les RFC et non plus optionnel comme en v4. S'il commence à être vraiment utilisé, ce serait un bond en avant magnifique. Pour rappel, en IPsec on peut chiffrer tout le contenu du paquet, en particulier les en-têtes du niveau 4 (ICMP, TCP, UDP...). Impossible donc de savoir le type d'application, un observateur au milieu n'aura plus que la quantité de données échangées et les IP des correspondants (ce qui est déjà pas mal, certes).

Aller plus loin

  • # IPsec

    Posté par  (site web personnel) . Évalué à 2.

    Pour moi IPsec c'est bien, mais pas top. 2 principaux arguments :

    * Configurer IPsec fait le même effet que de se mettre le cerveau au congélateur puis de le manger à la petite cuillère

    * Chiffrer l'ensemble des communications empêche le fonctionnement de trucs relativement importants, du genre le firewalling ou la QoS.

    Finalement, c'est à n'utiliser qu'en cas de nécessité...
    • [^] # Re: IPsec

      Posté par  . Évalué à 1.

      Au boulot (MINEFI) tous les échanges avec les partenaires du privés sont chiffrés dans des tunnels VPN IPSEC. Ca empêche par exemple que ton adresse personnelle et/ou ton RIB et ou ton adresse postale et/ou ta date de naissance ne passe en clair sur le net. Il faut qu'on arrête ?
      • [^] # Re: IPsec

        Posté par  (site web personnel) . Évalué à -2.

        Là c'est un usage légitime je conteste pas !

        Par contre chiffrer toutes ses communications c'est débile...

        « Why? Let's consider the (realistic) possibilities. A likely one is that you are a clueless spoiled American adolescent (or a European equivalent of one) with liberal views, believing that it is vital to prevent the government from snooping on his political views, as expressed in various circle-jerk online forums. Another possibility is that you are an adult American neocon nutjob who likes to buy guns and memorize their technical specifications, and frequently masturbates to the absurd idea that it will be a rabble of people like him, and not the military elite, who might one day overthrow the evil centralized government. Yet another possibility is that you simply like to view nude pictures of little kids — which, depending on your jurisdiction and the hypocritic prurience of your surroundings, might as well include 20-year-old nubile females. »

        [source: http://dee.su/liberte-motivation ]

        Un outil comme Tor a un coût énorme en terme de performances, qu'il s'agisse de l'utilisateur, des relais, ou des divers opérateurs traversés une ou plusieurs fois pour le même paquet. Sans oublier l'impossibilité de faire de la QoS, par exemple.

        En gros, le geek capricieux qui décide de chiffrer toutes ses communications prends la décision de saturer le réseau mondial ¹, tout en marchant sur la gueule de autres utilisateurs ², en augmentant les émissions de CO2 ³, rendant au passage le réseau incontrôlable ⁴ et tuant au passage des bébés phoques en masse.

        Chiffrer ses communications par ce qu'on transporte des données sensibles oui, mais communiquer en IPsec + Tor avec Facebook, faut pas se foutre de la gueule du monde non plus...

        ________
        ¹) Un paquet qui transite dans Tor passe par au moins 3 nœuds à priori, donc engendre au moins 3 fois plus de trafic.
        ²) Pas de QoS veut dire que tous les flux seront traités à égalité, ce qui n'est pas bon dans certains cas, et ce même sans porter de jugement de valeur. Exemple, la VoIP demande une faible latence mais un faible débit, alors qu'un transfert de fichier se fiche de la latence, mais demande du débit.
        ³) Et oui le chiffrement à tous les étages ça mange du CPU et donc du courant électrique.
        ⁴) Oui c'est le but de ces outils, et non je n'ai aucune envie de voir un réseau anarchique qui échappe à toutes règles.
        • [^] # Re: IPsec

          Posté par  . Évalué à 10.

          Ben, on aura de la vrai neutralité du net, et peut être que les FAI se bougeront le cul pour installer de la fibre partout.
          • [^] # Re: IPsec

            Posté par  . Évalué à 4.

            Je ne comprends pas le rapport entre les 2. un truc méchappe
            • [^] # Re: IPsec

              Posté par  . Évalué à 3.

              Ben il dit que si on chiffre toutes nos communications les FAI ne pourront pas faire de QoS, donc pas de traitement particulier suivant les protocoles ou
              l'origine, donc pas de racket par les deux bouts (d'un coté les clients qui payent pour accéder aux tuyaux et de l'autre les différents services qui payent
              pour notre temps de cerveau).

              Mais du coup, sans QoS pour que tous les services qui ont besoin de réactivité fonctionnent correctement il va faloir que TOUS les paquets passent bien
              => fibre. En gros que le réseau soit plus rapide pour tous ses usagers et pas uniquement ceux qui appartiennent au groupe du FAI ou qui ont payé une
              taxe.
              Bref, une vraie net-neutrality.
              • [^] # Re: IPsec

                Posté par  (site web personnel, Mastodon) . Évalué à 5.

                La bonne QoS, ce n'est pas celle qui est décidée par les FAI, mais celle qui est négociée entre les deux partenaires à chaque extrémité du tuyau.
        • [^] # Re: IPsec

          Posté par  (site web personnel) . Évalué à 10.

          Je trouve que tu donnes d'excellents arguments pour chiffrer un maximum, justement. Je vois personnellement deux raisons principales :
          – d'aucuns tentent de contrôler le réseau, en tant que membre du réseau, je me défends en rendant mes communications aussi opaques que possible ;
          – chiffrer même les communications sans intérêt permet de dissimuler celles qui présentent un intérêt, et d'éviter qu'elles éveillent trop l'attention.

          Je parle là seulement de chiffrer, pas d'anonymiser comme avec Tor, donc ça a une influence sur le temps de calcul, pas tellement sur le débit consommé. Mais ces mêmes arguments s'appliquent aussi à l'anonymisation, en fait.

          Quant aux inconvénients, je m'en moque, parce que :
          – que ce soit plus lourd à transporter, ce n'est ni mon problème ni ma faute, je paie pour un certain débit vers l'Internet, que mon FAI se débrouille, et si ça ne lui plaît pas qu'il me fournisse des garanties de confidentialités, c'est son boulot ;
          – que ça pose un problème aux services de police pour surveiller les criminels, ce n'est ni mon problème ni ma faute, que l'État cesse de nous encourager à rendre nos communications opaques s'il ne veut pas qu'elles le soient.
          • [^] # Re: IPsec

            Posté par  (site web personnel) . Évalué à 2.

            – chiffrer même les communications sans intérêt permet de dissimuler celles qui présentent un intérêt, et d'éviter qu'elles éveillent trop l'attention.

            D'ailleurs, pour tout ce qui est la vrai recherche des trafics & autres (pédophilie, criminalité...), cette dérive vers le tout cryptage, liée au tout flicage que mettent en place les gouvernements, est absolument contre-productive.

            Et il me semble que ça a été argumenté lors de la discussion sur les dernières lois dadvsi & Co, mais pas entendu (les majors sont plus écoutées que les services de police).

            Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

            • [^] # Re: IPsec

              Posté par  (site web personnel) . Évalué à 5.

              Tout chiffrer a pour effet secondaire de masquer les communications qui ont une raison de rester secrète, que celle-ci soit licite ou non. En ce sens, c'est neutre.

              Parmi ces communications secrètes, certaines sont illicites. Comme je le disais, ce n'est pas mon problème. Je protège mes communications, d'autant plus que leur confidentialité est menacée. Les effets secondaires, c'est la faute de ceux qui ont pris des décisions stupides en étant parfaitement au courant de ces problèmes.
              • [^] # Re: IPsec

                Posté par  (site web personnel) . Évalué à 4.

                "Les effets secondaires" comme le développement de la criminalité peuvent très rapidement devenir aussi ton problème.

                Et le risque après c'est de monter dans le surenchère technique et les lois répressives (filtrage massif, obligation de mouchards, obligations d'identification+authentification), tout cela en justifiant par ces fameux effets secondaires qui ne te concernaient pas.

                Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

                • [^] # Re: IPsec

                  Posté par  (site web personnel) . Évalué à 1.

                  Sauf que le gouvernement n'a pas la moindre chance de gagner face à des gens qui s'y connaissent bien mieux qu'eux dans ces domaines, sauf à détruire complètement le réseau. Et ça, ce n'est pas envisageable, il y a trop d'argent en jeu.
                  • [^] # Re: IPsec

                    Posté par  (site web personnel) . Évalué à 3.

                    Tu sais, le jour où le gouvernent décrétera que tout flux chiffré non autorisé équivaut à se faire couper Internet pendant 1 an, tu feras moins le malin. Le gouvernement a toujours le dernier mot je te signale.

                    Si tu tiens à la liberté c'est pas en lutant contre le gouvernent que tu l'aura, c'est en mettant en place un gouvernement qui la défend. Si tu a de l'énergie à revendre, ne la passe pas à mettre en place des chiffrements stéganographiés dans tous les sens, va plutôt militer pour un parti politique qui défend tes idéaux.
                    • [^] # Re: IPsec

                      Posté par  . Évalué à 5.

                      > Tu sais, le jour où le gouvernent décrétera que tout flux chiffré non autorisé équivaut à se faire couper Internet pendant 1 an, tu feras moins le malin. Le gouvernement a toujours le dernier mot je te signale.

                      Ouais, et le gouvernement coupera ainsi toute économie numérique. Et non le gouvernement n'a pas le dernier mot, une loi ça passe au parlement. Ensuite au conseil constitutionnel s'il est saisi. Et le tout, il faut encore qu'il soit en conformité avec le droit européen sous peine de sanctions. Alors "dernier mot", dans une dictature probablement. En France, non.

                      > Si tu tiens à la liberté c'est pas en lutant contre le gouvernent que tu l'aura, c'est en mettant en place un gouvernement qui la défend. Si tu a de l'énergie à revendre, ne la passe pas à mettre en place des chiffrements stéganographiés dans tous les sens, va plutôt militer pour un parti politique qui défend tes idéaux.


                      Tu es très binaire. On peut souhaiter chiffrer rien que parce qu'on a pas confiance en son FAI. On peut lutter contre un gouvernement et dans le même temps essayer d'en mettre un autre en place. On peut chiffrer et stéganographier le matin tout en allant militer dans un parti politique le soir. Pourquoi être aussi réducteur et caricatural, hormis le désir de troller ?
                      • [^] # Re: IPsec

                        Posté par  . Évalué à 3.

                        Et non le gouvernement n'a pas le dernier mot, une loi ça passe au parlement.
                        Comme actuellement le parlement est juste une chambre d'enregistrement.

                        Ce fut très clair quand coupé dis aux gens de voter la loi sans la lire, et qu'une fois voté il dis "non mais je savais qu'il y avait des problèmes avec cette loi."

                        Et le tout, il faut encore qu'il soit en conformité avec le droit européen sous peine de sanctions.
                        C'est pas comme si la france avait jamais été sanctionné par l'europe...

                        Alors "dernier mot", dans une dictature probablement. En France, non.
                        Un gouvernement qui considère que le peuple n'a pas à parler, n'a pas à donner son avis, et n'a qu'a deux fonction :
                        - travailler, de préférences de façon de plus en plus précaires et mal payé (désinflation compétitive, heures sups peu/pas payé, ...)
                        - payé le peu d'argent qu'il a récupéré dans des taxes diverses et varié, et des services proposés par les copains (copie privée, ...)
                        • [^] # Re: IPsec

                          Posté par  . Évalué à 3.

                          le problème viens du 2; si le gouvernement interdit me chiffrement; c'est l'économie numérique qui se pète la gueule;
                          Si c'était envisageable y a dix ans (et encore) aujourd'hui il ne peut plus se le permettre; il n'y a qu'a voir le changement de politique pour la longueur maximal des clés.

                          Si le péquin moyen peut se passer de chiffrer ses communications, les entreprises qui font du télétravail, ou de nomadisme doivent pouvoir fournir à ses employés un moyen de communication chiffré à partir de n'importe quel point.

                          Enfin il est tout à fait possible de chiffrer des communications sans que cela soit détectable par une machine.

                          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                    • [^] # Re: IPsec

                      Posté par  . Évalué à 2.

                      > Tu sais, le jour où le gouvernent décrétera que tout flux chiffré non autorisé équivaut à se faire couper Internet pendant 1 an, tu feras moins le malin.
                      > Le gouvernement a toujours le dernier mot je te signale.

                      Ben détecter un flux chiffré c'est pas si évident. Par exemple au lieu d'utiliser les champs data des paquets classiques, on peut utiliser la taille des
                      paquets pour transmettre une valeur. Ou alors envoyer des paquets vide ou plein pour 0 ou 1, ou se connecter sur différents ports représenter
                      différentes valeurs, etc …

                      Alors certe c'est plus long mais pour détecter un truc pareil il va faloir se lever de bonne heure. Et encore plus tôt si tu chiffres encore tes
                      communications en plus de les transmettre comme ça.
                      • [^] # Re: IPsec

                        Posté par  . Évalué à 2.

                        s/chiffré/obfusqué/

                        Ce que tu propose semble plus proche de l'obfuscation que du chiffrement.
                        • [^] # Re: IPsec

                          Posté par  . Évalué à 3.

                          Ça s'appelle de la stéganographie.
                          • [^] # Re: IPsec

                            Posté par  . Évalué à 2.

                            tu vas rire, mais dans ma phrase, la première fois j'avais mis stégano, et j'ai merdé, j'ai effacé tout ce que j'ai mis, et ensuite j'ai mis obfuscation à la place de stégano.

                            j'ai doublement merdé là ^^
          • [^] # Re: IPsec

            Posté par  (site web personnel) . Évalué à -1.

            La confidentialité de tes communications est garantie par la loi, et ton FAI n'a absolument pas le droit d'en regarder le contenu de ce que tu envoies. Les seuls éléments à craindre étant donc les pirates et le gouvernement. Gouvernement qui d'ailleurs peut très bien te demander ta clef privée et ton mot de passe, et là tu ne peux plus faire grand chose.

            Quand aux pirates, comment dire... Tu transmets de temps en temps des données sensibles et tu veux les noyer dans un flux d'autres données ? Ah bon ? Comme ton cookie gmail ou ton numéro de carte bancaire ? C'est bien de vouloir les cacher hein, mais si quelqu'un veut te piquer ta carte bleue il aura plus vite fait de te casser la gueule dans la rue et de vider ton compte au distributeur le plus près que de casser ta connexion SSL. Remarque, il peut aussi faire ça numériquement, en faisant du phishing ou en installant un malware, mais ton chiffrement ne va pas t'aider là.

            Maintenant soyons réaliste 2 secondes et attaquons nous à des problèmes réels, c'est à dire pas des problème de geek parano qui veut tout cacher ce qu'il fait du méchant gouvernement. Imaginons : tu es short sur la connexion internet du bâtiment que tu administre, et tu veux optimiser ça avec un proxy cache. Les gens utilisent tous du SSL ? Oh ben t'es baisé. Tu veux que les gens puissent télécharger comme des gorets mais jouer en ligne avec un ping correct. Les gens font tout passer dans un tunnel SSH ? Oh ben t'es baisé.

            De toutes façon, c'est pas grave. Moi je m'en fiche, j'habite en ville et je roule avec un gros 4x4. Ça dégage bien plus de CO2 qu'il n'en faudrait, ça empêche les gens de respirer de l'air de bonne qualité, ça prend de la place sur les parkings, et en plus c'est absolument indispensable si jamais je dois passer une flaque d'eau. Mais les gens ils vont se faire foutre, par ce que je paie mon carburant et c'est pas leur problème ! En plus, avec un 4x4 comme ça, les gens ils vont penser que j'ai un gros pénis.

            Non franchement, Internet est une ressource limitée, c'est pas la peine de lui chier dessus au nom de la lute contre les méchants gouvernements. Surtout en France. Les méchants gouvernements, fallait pas les élire à la base...
            • [^] # Re: IPsec

              Posté par  . Évalué à 2.

              > Gouvernement qui d'ailleurs peut très bien te demander ta clef privée et ton mot de passe, et là tu ne peux plus faire grand chose.

              Tu ne sembles pas habiter en France. Ou alors, j'ai loupé un morceau. Dans les lois que je connais, le gouvernement n'a absolument pas ce pouvoir (juridiquement parlant en tout cas. Et paraît qu'on est dans un état de droit).
              • [^] # Re: IPsec

                Posté par  . Évalué à 0.

                tu as loupé un morceau :
                http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle(...)


                Article 434-15-2
                Créé par Loi n°2001-1062 du 15 novembre 2001 - art. 31 JORF 16 novembre 2001

                Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende [*taux*] le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

                Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende.
                • [^] # Re: IPsec

                  Posté par  . Évalué à 5.

                  Aux dernières nouvelles, les autorités judiciaires et le gouvernement étaient deux entités différentes. Donc il a raison.

                  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                  • [^] # Re: IPsec

                    Posté par  . Évalué à 1.

                    aux dernières nouvelles les autorités judiciaires et le gouvernement ne sont PAS indépendants.

                    Qui décide des mutations des procureurs par exemple ?
                    Le csm a un avis purement consultatif dedans....
                    C'est sur décision du ministre de la justice, comme de nombreux cas l'ont montré

                    Mais si tu crois vivre dans une démocratie, continue de croire en bisounours land

                    Allez je t'aide :
                    http://info.france2.fr/europe/independance-du-parquet--la-fr(...)

                    La Cour européenne des droits de l'Homme a estimé mardi que le parquet français ne remplissait pas "l'exigence d'indépendance à l'égard de l'exécutif", en donnant raison à une avocate détenue pendant cinq jours avant son audition par un juge d'instruction.
                    • [^] # Re: IPsec

                      Posté par  . Évalué à 2.

                      Ils ne sont peut-être pas indépendants, mais ça ne les rends pas égaux pour autant.

                      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                      • [^] # Re: IPsec

                        Posté par  . Évalué à 2.

                        Ca devient lassant ta mauvaise foi.

                        On parlait d'atteinte à la confidentialité itou.
                        La dessus quelqu'un dis "ouais le gouvernement ne peut pas te contraindre à filer tes clés".
                        Il était évident que "le gouvernement" ici symbolise l'état dans son ensemble, sinon la phrase n'a pas grand sens.
                        C'est pas le ministre qui vas venir chez toi, te faire une clé de bras pour que tu lui file ta clé.

                        Sur là, je sors donc la loi qui oblige a filer sa clé à l'état (et plus particulièrement à l'autorité judiciaire).

                        Tu joue sur les mots en disant "ouais mais il parlait du gouvernement, pas de la justice.
                        Ce sont deux entité différentes, donc il a raison".

                        La dessus je te sors, que les entité ne sont pas indépendantes
                        C'est comme si tu disais qu'une filiale est différente de la société mère, c'est vrai, mais si la société mère demande une info à la filiale, la filiale va lui donner ou pas ?

                        Et tu me sors qu'elles ne sont pas égales.

                        Oui, et ?
                        Tu veux absolument avoir le dernier mot?
                        Pour toi les relations de dépendances n'ont aucun intérêt dans une étude de risque ?
                        • [^] # Re: IPsec

                          Posté par  . Évalué à 3.

                          Ca devient lassant ta mauvaise foi.

                          Dit celui qui en est plein (de mauvaise foi).

                          La dessus quelqu'un dis "ouais le gouvernement ne peut pas te contraindre à filer tes clés".
                          Il était évident que "le gouvernement" ici symbolise l'état dans son ensemble, sinon la phrase n'a pas grand sens.


                          [...]

                          La dessus je te sors, que les entité ne sont pas indépendantes

                          Elles le sont suffisamment pour que tu aies tort, puisque celui qui pourrait te contraindre à filer tes clés, c'est un juge, qui est indépendant du pouvoir exécutif, et non un procureur, qui en est dépendant.

                          Pour toi les relations de dépendances n'ont aucun intérêt dans une étude de risque ?

                          Ah parce que tu fais une étude de risque, là ? Je croyais que tu étais en train de troller sur Linuxfr.
                          • [^] # Re: IPsec

                            Posté par  . Évalué à 2.

                            Elles le sont suffisamment pour que tu aies tort

                            Marrant comment tu présente les choses...

                            De toute façon quoi que je dise avec toi j'ai forcément, à 100%, tort.

                            Marrant que tu sois capable d'autant de nuance sur ce qui est ou pas indépendant, mais que tu en as aucune quand il s'agit de mesurer si ton adversaire a "tort".


                            puisque celui qui pourrait te contraindre à filer tes clés, c'est un juge, qui est indépendant du pouvoir exécutif, et non un procureur, qui en est dépendant.
                            tu es sur à 100% de ce que tu avances ?
                            Qu'un procureur soit pas indépendant ne veut pas dire qu'automagiquement un juge soit extrêmement indépendant.

                            Tu crois qu'aucun juges n'ont jamais reçu de courrier de l'élysée ?
                            Tu es persuadé que le gouvernement ne peut influer d'une façon ou d'une autre sur un juge ?

                            C'est bien de croire en la sacro sainte indépendance de la justice, c'est bien.


                            Ah parce que tu fais une étude de risque, là ? Je croyais que tu étais en train de troller sur Linuxfr.
                            Tiens c'est moi qui ais introduis le sujet itou ?
                            Tiens on parlait pas en théorie sur les risques éventuels ?
                            tiens tu ne prends pas les choses extrêmement à coeur pour expliquer que ton adversaire à toujours faux (et que donc tu as toujours raison ?)
            • [^] # Re: IPsec

              Posté par  . Évalué à 3.

              La confidentialité de tes communications est garantie par la loi, et ton FAI n'a absolument pas le droit d'en regarder le contenu de ce que tu envoies. Les seuls éléments à craindre étant donc les pirates et le gouvernement. Gouvernement qui d'ailleurs peut très bien te demander ta clef privée et ton mot de passe, et là tu ne peux plus faire grand chose.
              Le fait de ne pas en avoir le droit ne signifie pas ne pas en avoir la possibilité. Pour avoir bossé dans l'infogérance, j'ai la certitude qu'on est jamais à l'abris d'un petit rigolo qui a envie de mesurer l'étendue de ses pouvoirs.
              Si les autorités peuvent très bien te demander ta clé privée, tu peux aussi très bien ne pas la leur donner ou oublier son mot de passe.

              Quand aux pirates, comment dire... Tu transmets de temps en temps des données sensibles et tu veux les noyer dans un flux d'autres données ? Ah bon ? Comme ton cookie gmail ou ton numéro de carte bancaire ? C'est bien de vouloir les cacher hein, mais si quelqu'un veut te piquer ta carte bleue il aura plus vite fait de te casser la gueule dans la rue et de vider ton compte au distributeur le plus près que de casser ta connexion SSL. Remarque, il peut aussi faire ça numériquement, en faisant du phishing ou en installant un malware, mais ton chiffrement ne va pas t'aider là.
              Tu dis que le fait de courir un risque A et un risque B rend doublement vain de se prémunir contre un risque C...

              Maintenant soyons réaliste 2 secondes [...] En plus, avec un 4x4 comme ça, les gens ils vont penser que j'ai un gros pénis.
              Il dit qu'il a plus d'genou.

              Non franchement, Internet est une ressource limitée, c'est pas la peine de lui chier dessus au nom de la lute contre les méchants gouvernements. Surtout en France. Les méchants gouvernements, fallait pas les élire à la base...
              Chiffrer ses flux c'est chier sur l'Internet ? Intéressant. Sinon je doute que Tanguy ait tant d'influence que ça sur les élections. Quand bien même, ce n'est pas une raison pour donner aux "méchants gouvernements" un droit de regard sur son usage du réseau ou le fond de son cul.
            • [^] # Re: IPsec

              Posté par  . Évalué à 3.

              C'est bien de vouloir les cacher hein, mais si quelqu'un veut te piquer ta carte bleue il aura plus vite fait de te casser la gueule dans la rue et de vider ton compte au distributeur le plus près que de casser ta connexion SSL.

              C'est vrai et c'est faux. Le fait qu'il est plus facile de voler ma carte physiquement n'empêche pas le fait que je doive sécuriser ces informations « virtuellement ».

              Ce que tu dis revient au même que : « Pourquoi fermer la porte si les voleurs peuvent casser les fenêtres ? »
            • [^] # Re: IPsec

              Posté par  . Évalué à 3.

              si quelqu'un veut te piquer ta carte bleue il aura plus vite fait de te casser la gueule dans la rue et de vider ton compte au distributeur le plus près que de casser ta connexion SSL.
              Au passage : http://xkcd.com/538/
            • [^] # Re: IPsec

              Posté par  . Évalué à 9.

              Sauf qu’un criminel veut rarement TA carte bleue (dans ce cas, s’il te connait, la solution la plus simple est effectivement de te prendre seul dans une ruelle sombre et de te casser la gueule) mais le maximum de cartes au moindre risque, peu importe à qui elles appartiennent. Et de ce point de vue, tenter de s’introduire dans le système de voyages-sncf.com me paraît plus intéressant qu’aller tabasser 10.000 personnes au hasard dans la rue.
          • [^] # Re: IPsec

            Posté par  . Évalué à 3.

            (on n'est pas vendredi, mais quand même pinaillons un peu :)

            surveiller les criminels, ce n'est ni mon problème

            Même si je suis globalement d'accord avec ton post, attention aux phrases hâtives, tu dois certainement être plus nuancé que ça. La chasse aux criminels est ton problème car c'est un problème de société.
            Ce que tu veux dire est plutôt que bien que concerné par la chasse aux criminels, tu ne penses pas que leur mauvaise utilisation des techniques de cryptologie justifie de les interdire à tous.
            • [^] # Re: IPsec

              Posté par  . Évalué à 6.

              Non. Je ne suis pas concerné par la chasse aux criminels. La police est concernée. Et si la police me demande officiellement ma collaboration, alors je peux -- ou je dois, en fonction de ce qui m'est demandé et comment c'est demandé -- lui porter assistance.

              La seule chose que je suis censé faire en tant que simple citoyen, c'est de porter assistance à une ou plusieurs personnes en danger. La plupart du temps, ça passe par appeler ladite police. Parce que moi Vs. un 9mm, je crois bien que je perds, par exemple.

              Ou moi contre un site pédophile, je perds aussi, sauf à avoir les compétences pour remonter la chaîne des IPs volées/dynamiques utilisées pour héberger ce genre de sites (ce qui n'est pas mon cas). Par exemple, je me souviens avoir été spammé très souvent sur ICQ à un époque, par des robots russes pour des filles mineures. Je ne pouvais pas faire grand chose, mis à part avertir les autorités compétentes (qui ont pris note, mais m'ont répondu que malheureusement entre le moment où je reçois ce genre de pub et le moment où ils traitent la masse de mails du même genre que le mien, le site a eu le temps de disparaître ...).
    • [^] # Re: IPsec

      Posté par  (site web personnel) . Évalué à 1.

      Pour la configuration c'est surtout un problème d'implémentation ÀMHA.

      Pour le par-feu ça ne fait que repousser le filtrage des paquets IPsec jusqu'à la machine cible.

      Pour la QoS je ne sais pas trop, mais au pire on peut toujours utiliser un chiffrement de plus haut niveau pour ce qui est prioritaire et considérer les paquets IPsec comme non prioritaires.
  • # Unicité des adresses MAC

    Posté par  . Évalué à 5.

    Passons à la seconde partie : l'identifiant d'interface. Il est vrai que les premiers mécanismes d'auto-configuration qui ont été publiés en RFC proposaient une dérivation de cet identifiant à partir de l'adresse MAC. Cette dernière étant unique, il était virtuellement possible de connaître les endroits où vous vous branchiez sur l'Internet ou, en tout cas, connaître tous les endroits où votre carte réseau se branche (après, rien ne vous a jamais empêché de ne pas utiliser cette auto-configuration...).

    Les adresses MAC ne sont pas unique.
    Étant donné que 22bits de l'adresse sont ceux de constructeur et sachant le nombre d'interfaces réseaux qui existent, il justement fort probable que beaucoup d'interfaces possèdent la même adresse.

    Un administrateur m'a dit avoir déjà rencontré des problèmes sur un réseau où deux interfaces avaient la même adresse .
    • [^] # Re: Unicité des adresses MAC

      Posté par  . Évalué à 4.

      Sans parler du faite qu'il est très facile de choisir son adresse mac. Heureusement pour cette administrateur et pour notre sécurité.
    • [^] # Re: Unicité des adresses MAC

      Posté par  (site web personnel) . Évalué à 6.

      Ça me rappelle le test de la tablette epad dans linux mag hors série, ou l'auteur explique que toute les tablettes ont la même adresse mac à la sortie d'usine. C'est balot :)
    • [^] # Re: Unicité des adresses MAC

      Posté par  . Évalué à 2.

      Un ami à moi est lui aussi tombé sur 2 switchs d'un même lot ayant les mêmes adresses mac lors de l'organisation d'une LAN..
    • [^] # Re: Unicité des adresses MAC

      Posté par  . Évalué à 3.

      Un administrateur m'a dit avoir déjà rencontré des problèmes sur un réseau où deux interfaces avaient la même adresse .

      C'est/c'était le cas sous Solaris : toutes les interfaces ont la même mac, ou pas, suivant le positionnement de 'local-mac-address' au prompt.
      • [^] # Re: Unicité des adresses MAC

        Posté par  . Évalué à 1.

        Me semble que c'est la norme: l'adresse MAC identifie une machine, même si cette machine a plusieurs interfaces réseaux.

        J'étais tombé sur cette curiosité en jouant avec une Sun. D'ailleurs, je doute que ce soit lié à Solaris, c'est plutôt matériel. L'adresse MAC est inscrite sur la carte de configuration de ta machine.

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # Merci

    Posté par  (site web personnel) . Évalué à 5.

    Merci pour tes explications, je ne connaissais pas ces aspects techniques.

    Je préfère ce genre d'explication à un simple moinssage d'un commentaire qui a eu le malheur de dire, et au conditionnel, ce qui est souvent pensé sur la conséquence de l'IPv6. Une explication est beaucoup plus constructif qu'un simple moinssage qui lui, à défaut de rebuter, n'apporte rien (si ce n'est un défouloir au moinsseur).
  • # Marché de niche

    Posté par  . Évalué à 4.

    Je suis d'accord avec tout sauf ça:

    Il est probable que, s'il existe un marché pour des IP dynamiques, un fournisseur d'accès le proposera.

    Dans le meilleur des mondes possibles, oui. Mais dans les faits, non. Il y a un marché pour des chaines de TV culturelles, mais le seul moyen de voir des émissions culturelles à la télé est de passer par un service public subventionné. À mon avis, on récupère 1000 fois plus de clients en faisant des pubs avec une bonnasse qu'en proposant des trucs techniques. De manière générale, pour un marché de niche, la plupart des oérateurs risquent de ne pas proposer un tel service, et il faudra passer par un fournisseur d'accès associatif ou alternatif...

    Ceci dit, je ne vous pas non plus l'intérêt d'une IP dynamique.
    • [^] # Re: Marché de niche

      Posté par  . Évalué à 3.

      Je pense qu'il faut plutôt voir le « marché » en question comme un marché interne au FAI: pour des besoins qui lui sont propres, le FAI va proposer des IP dynamiques par défaut (comme actuellement en fait pour IPv4).

      On peut aussi imaginer des opérateurs virtuels (un peu comme ce qu'on a en téléphonie) qui auraient une plage d'adresses réduite, et qui donc ne pourraient faire que de l'offre avec IP dynamiques (avec en contrepartie un prix moins élevé).

      Enfin, comme tu le dis, l'intérêt du particulier pour une adresse dynamique est sans doute nul dans 99% des cas. Sachant que dans 90% des cas, l'utilisateur se contrefiche d'avoir une IP statique ou dynamique, car il ne sait même pas comment ça fonctionne...
  • # Question naïve

    Posté par  . Évalué à 1.

    Pourquoi un fournisseur d'accès à internet aurait intérêt à ne pas donner d'IPv6 fixes ?
    Ca coute plus cher (plus gros pool d'adresse à réserver) ?
    • [^] # Re: Question naïve

      Posté par  . Évalué à 3.

      Le prix des IPv6 est ridicule, il y a une telle abondance que ce n'est pas vraiment le problème. Et j'avoue que je ne suis pas convaincu du "gain" d'IP inutilisée (le FAI a toujours besoin de suffisamment d'IP pour allouer tout le monde lors d'un pic journalier).

      Les intérêts ne sont clairement pas techniques mais "politiques". On peut imaginer un FAI qui souhaite compliquer la mise en place de serveurs (il y a l'Internet, et l'Internet coloré), qui souhaite conserver son option payante "IP fixe", ou qui subit des pressions pour ne pas passer en IP fixe.

      Pour le dernier cas, cela ne me semble être moins le cas en France, mais en Allemagne le lobby anti IP-fixe pour des questions de vie privée est assez important (je n'utilise pas toujours l'exemple allemand car j'appartiens au gouvernement français, mais uniquement car c'est le cas que je connais le mieux...).
      • [^] # Re: Question naïve

        Posté par  . Évalué à 8.

        Le mieux ce serait que les FAI fournissent un /x de fixe et un /x de dynamique à chaque abonné. Comme ça l'abonné surfe anonymement en réglant son pc de tous les jours, son téléphone, ... sur le pool dynamique, tout en mettant son serveur sur le pool fixe. C'est pas possible ça ?

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Question naïve

          Posté par  . Évalué à 5.

          À force d'avoir des idées pour les dépenser on va finir par manquer d'IPv6 :]

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: Question naïve

          Posté par  . Évalué à 4.

          C'est tout à fait possible. Mais bon, "le mieux" et FAI ne sonne pas toujours très bien ensemble :-)
          • [^] # Re: Question naïve

            Posté par  . Évalué à 2.

            C'est sûr, mais parfois on peut imaginer que nous vivons dans un monde parfait. Bon, la chute est dure après ;-)

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Question naïve

          Posté par  (site web personnel) . Évalué à 0.

          Si tu peux faire ça, l'IPv6 gère très bien le fait d'avoir plusieurs adresses par interface. Par contre y'a des FAI qui risquent de pas aimer...
      • [^] # Re: Question naïve

        Posté par  . Évalué à 1.

        Le prix des IPv6 est ridicule

        Les adressent IPs (qu'elles soient v4 ou v6) ne s'achète pas. Elles s'obtiennent sur justification auprès des RIR. Le RIPE en l'occurrence pour l'europe.
  • # Génération d'adresses MAC aléatoires pour obtenir une IPv6 aléatoire

    Posté par  . Évalué à 1.

      Génération d'adresses MAC aléatoires pour obtenir une IPv6 aléatoire.
      Grâce à ces extensions, un identifiant d'interface est généré aléatoirement pour les connexions sortantes
      Je ne suis jamais parvenu à utiliser ce système de façon satisfaisante. Une adresse IPv6 aléatoire était bien générée, mais sa durée de validité était extrêmement courte. Ensuite, c'était l'adresse IPv6 basée sur l'adresse MAC de la carte réseau qui était utilisée. Finalement, je gardais la même IPv6, basée sur mon adresse MAC. :-(
      Pour contourner ce souci, voici un script qui génère une adresse MAC de façon aléatoire. Ensuite, cette adresse MAC est utilisée pour la configuration IPv6. J'exécute ce script à chaque démarrage de mon ordinateur. De cette façon, à chaque démarrage, je change d'adresse MAC, donc je change d'IPv6.
    #!/bin/bash
    
    # Définition de l'interface :
    IFACE=eth0
    
    VARIABLE=1
    
    while [ $VARIABLE != 0 ]
    do	FAUSSE_MAC=$(hexdump -n 6 -e '3/1 ":%x"' /dev/urandom | cut -b 2-20)
    	echo -n "Tentative d'attribution de la fausse adresse MAC : ";
    	echo -n $FAUSSE_MAC;
    	ip link set $IFACE address $FAUSSE_MAC 2>/dev/null
    	VARIABLE=$?;
    	if	[ $VARIABLE != 0 ];
    		then	echo " ... Échec.";
    		else	echo " ... Succès !";
    	fi;
    done;
    
    #Activation de l'interface
    ip link set dev $IFACE up
    
    exit 0
    • [^] # Re: Génération d'adresses MAC aléatoires pour obtenir une IPv6 aléat

      Posté par  . Évalué à 4.

      Et ton FAI il te fournit un préfixe qui change souvent?

      Parce que sinon, ça ne sert pas à grand chose ton script (enfin pour un particulier): ton host change aléatoirement mais tu garde le même préfixe..
      • [^] # Re: Génération d'adresses MAC aléatoires pour obtenir une IPv6 aléat

        Posté par  (site web personnel) . Évalué à 1.

        Oui mais non.
        Déjà, un utilisateur arrivera difficilement à tomber sur son ordinateur en testant son adresse v6 "au pif". (mais s'il se connecte en IPv6 à un hôte, l'hôte récupère son IPv6, on est d'accord) (et qu'il a supprimé son IPv6 calculée à partir de la MAC, ce que ne fait pas la RFC en question : elle ajoute une IP aléatoire pour les connexion sortantes)

        Ensuite, l'hôte verra des connexion provenant d'IP différentes. L'hôte ne pourra pas être sûr à 100% que c'est le même ordinateur. (Sauf s'il se base sur d'autres informations comme des cookies, etc.)

        Enfin, l'hôte ne connaît pas la structure de son IPv6 a priori.
        En France, Nerim & Free ont déjà des préfixes de tailles différentes. Pour savoir que c'est la même Freebox qui se connecte, il faut identifier à quelle bloc l'IPv6 appartient, connaître la structure des IPv6 du bloc et enfin reconnaître la même IPv4 dans l'IPv6.
        Alors certes, c'est possible (comme les 2 raisons au dessus), mais ça reste plus compliqué : il faut maintenir une base de données à jour, interroger le RIPE, etc.

        Avoir une IPv6 avec un suffixe aléatoire est déjà un plus pour l'anonymat sur l'Internet.
    • [^] # Re: Génération d'adresses MAC aléatoires pour obtenir une IPv6 aléat

      Posté par  . Évalué à 1.


      Je ne suis jamais parvenu à utiliser ce système de façon satisfaisante. Une adresse IPv6 aléatoire était bien générée, mais sa durée de validité était extrêmement courte. Ensuite, c'était l'adresse IPv6 basée sur l'adresse MAC de la carte réseau qui était utilisée. Finalement, je gardais la même IPv6, basée sur mon adresse MAC. :-(


      Tu as essayé d'augmenter le lifetime des Router Advertisement (dans /etc/radvd.conf sur le routeur) ? :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.