Comme je l'indiquais en réponse d'un autre post juste avant.
En se basant sur des solutions comme https://protonmail.ch/ (il en existe probablement d'autres mais je ne connais que celui-ci) on résout ce problème de la gestion des clés. Les clés sont générées côté client. La clé privée est chiffrée avec votre mot de passe. Le tout est ensuite envoyé au serveur de Protonmail qui se chargera de gérer les clés à votre place.
Comme indiqué dans l'article, passer par un service web n'est pas la meilleure solution, c'est vrai. Mais si ça permet de faire connaître le chiffrement de données aux gens et qu'ils prennent conscience que c'est important, alors c'est un pas dans la bonne direction.
Revenez 10 ans en arrière, les gens ne savaient pas à quoi correspondait le s à https. Maintenant, de plus en plus de gens ne s'imagineraient pas se connecter à leur compte Facebook en http.
La clé publique/privée est générée côté client. La clé privée est chiffrée symétriquement avec votre mot de passe. Et cette clé privée chiffrée est envoyée au serveur de protonmail. Donc, la gestion de la clé privée se fait chez eux. Et comme ils ne possèdent pas votre mot de passe, ils ne savent rien en faire.
Ça me semble la solution la plus proche de ce qu'on peut faire en gérant soi-même la clé privée.
Le risque existe, c'est vrai, mais reste quand même nettement réduit par rapport à ce qu'on fait tous les jours.
Code builds upon Electron (previously Atom Shell), a cross platform desktop application shell, using Node.js, HTML, TypeScript and CSS. Our engineering team are contributing to the Electron project along with engineers from GitHub, Facebook, Slack and more. Code also uses a newer, faster version of the same industrial-strength HTML-based editor that has powered the “Monaco” code editor used in Azure Websites, OneDrive, Internet Explorer’s F12 tools and more
Visual Studio Code est basé sur http://electron.atom.io/ qui est libre. Du coup, je ne sais pas quelle couche supplémentaire est ajoutée par l'équipe de Microsoft. Peut-être qu'ils se chargent d'ajouter le nécessaire pour compiler/débugger du C#.
Pour le routeur, je dois encore acheter le matériel.
En lisant les autres commentaires, apparemment on peut faire ce que je souhaite en créant des VLAN ? Mais j'avoue que en réseau je ne suis pas bon du tout. C'est donc une bonne façon de m'exercer un peu et de tester différentes choses :)
Eh bien l'idée qui m'était passée par la tête était la suivante.
J'ai une Smart TV Samsung que je relie à mon switch ; sur ce switch je relie d'autres machines. Mais j'aimerais faire en sorte que ma TV ne puisse pas avoir connaissance des autres appareils du réseau (car pas confiance en Samsung et pour éviter les failles de sécurité potentielles qu'ils ne corrigent pas). Pour ça, j'aurais voulu tout faire transiter par le routeur qui aurait fait le travail nécessaire.
Est-ce possible ? Ou peut-être existe-t-il d'autres techniques plus intelligentes ?
Le routeur j'aimerais le construire moi-même, mais les cartes réseaux avec plusieurs ports Ethernet gigabit coutent très chère ; du coup je me tourne vers une solution "routeur 2 ports gigabit" que je construis + "switch 8 ports gigabit" que j'achète.
Concernant leur compilateur, le dernier compilateur "Roslyn" sur lequel ils vont switcher (si ce n'est pas déjà fait) est libre et disponible sur codeplex. https://roslyn.codeplex.com/
Personnellement, je ne pense pas que ces algorithmes de cryptages soient faillibles. En tous cas, je ne pense pas que la NSA ait trouvé un moyen de casser ces algorithmes.
La raison est simple, s'ils ont connaissance d'une telle faiblesse, comme ils vivent en mode parano (mais pas assez vu Snowden), ils doivent se dire qu'un autre gouvernement connaît la faille. Et du coup, je ne mettrais pas mes documents "Ultra Confidentiel" sous la sécurité d'un algo faillible.
Par contre, ils peuvent agir de manière plus sournoise en trafiquant les générateurs de nombres aléatoires. Que ce soit directement dans le code source (OpenSSL dans Debian en 2008 par exemple) ou encore dans les processeurs. En agissant de la sorte, ils peuvent contrôler avec une meilleure précision qui utilisera un système faillible ; et de leur côté, ils utilisent un vrai générateur de nombre aléatoire.
Ca ne me semble pas non plus exagéré de la part de Google de s'assurer qu'ils ne retirent pas des références qui ne sont pas les tiennes.
De plus,
1) Google sait peut-être déjà avec exactitude qui tu es.
2) Si tu demandes à être déréférencé, c'est pour ta vrai identité, j'imagine que tu t'en fou d'un pseudo.
3) Ce n'est pas les quelques personnes qui demanderont à être déréférencées qui vont leur permettre de faire des super BDD.
4) Si tu n'utilises pas leurs services, à part savoir que tu ne veux pas être référencé, je ne vois pas ce qu'ils peuvent y gagner.
Donc bon… je veux bien croire que Google n'est pas un saint mais faut pas pousser non plus. Ce n'est pas eux qui ont demandé à implémenter cette possibilité mais l'Europe.
La clause de garantie de 1 à 3 mois et garantie constructeur 1 an ou 2 n'est pas légale. http://europa.eu/legislation_summaries/consumers/protection_of_consumers/l32022_fr.htm
C'est une loi Européenne qui oblige le vendeur à offrir une garantie de 2 ans et le vendeur doit prendre en charge lui-même le matériel durant ces deux années (en cas de soucis). Donc pas question de dire à l'acheteur "vous devez contacter vous-même le constructeur".
Et aussi, je vois sur la page "Livraison" que "Votre colis est expédié à vos propres risques, un soin particulier est apporté au colis contenant des produits fragiles..". Le colis reste la responsabilité de l'expéditeur/vendeur jusqu'à ce qu'il arrive chez l'acheteur qui doit vérifier l'état et éventuellement le refuser ; pas question de se cacher derrière cette clause illégale.
Et comme Axone, si j'en avais la possibilité je n'achèterais pas sur leur site.
Est-ce qu'il y a une backdoor ou pas, je n'en sais rien car je ne suis pas du tout expert en la matière.
Quand on voit que généralement toutes les machines Windows se trouvent derrière un routeur local (bbox, etc. souvent du Linux), qui bloque toutes les connexions entrantes. Je me dis déjà que ça ne doit pas être si ouvert que ça.
Ensuite, si vraiment, il y a une backdoor, je suppose qu'il doit être possible de placer un routeur qui ne ferait que loguer toutes les IPs qui passent par là. Après analyse, on aurait déjà un bon aperçu de ce qui entre ou sort. Et l'analyse peut aller plus loin si nécessaire. Et tout ça, sans avoir besoin du code source de Windows.
Enfin, si après tout ça, il existe effectivement une NSA-backdoor et que la NSA cible les machines qui les intéresse, là en effet c'est plus difficile à détecter mais on n'est alors plus dans le modèle du "on écoute tout le monde".
Tout à fait :)
C'était juste en réponse à "ckyl" qui disait :
"..maintenant passer ces règles côté serveur c'est juste cacher le code. Mais ca ne prendra que 30 minutes de plus à n'importe qui de motivé et pas trop con à trouver le truc. Y'a pas de mystère quand Google arrive à indexer le contenu d'une page et que toi tu n'y as pas accès…"
Se baser sur l'IP casse cette idée qu'il y a juste "un truc".
"Le "cloaking" est une pratique qui consiste à présenter aux internautes des URL ou un contenu différents de ceux destinés aux moteurs de recherche"
C'est exactement ce que fait le monde. C'est interdit par Google ; peu importe la technique ou le but recherché.
Google veut juste dire "considérez-moi comme un utilisateur anonyme comme un autre".
Ensuite, il est toujours possible de faire la même opération mais côté serveur. En connaissant les adresse IP des serveurs robots de Google, il suffit de leur donner plus de contenu en se basant sur cette IP plutôt que sur le user agent. Et là je doute qu'il te faudra juste 30 minutes (sauf de nouveau si c'est codé avec de pieds de cul-de-jatte).
Note que sur Google, tu peux créer des mots de passe que tu peux révoquer. Justement pour ne pas devoir donner ton vrai mot de passe, mais juste des "laisser passer".
Pour cela, il faut aller sur son compte -> sécurité -> "Autorisation des applications et des sites" et alors dans le bas "Générer un mot de passe".
Tu utilises ça dans Facebook, etc. Et pas de soucis.
(ps. je n'ai pas essayé en fait, mais je suppose que ça fonctionne)
Dis… si mon commentaire t'a vexé alors tant-pis pour toi mon grand.
Il me semble que je ne dit rien de mal, je signalais juste le fait qu'il manquait un peu d'info.
Une petite référence c'est quand même pas trop demandé pour un journal non ?
Sinon, dis-moi pourquoi t'es-tu cassé le cul à écrire ce journal au lieu de juste taper le lien vers numerama comme le feraient certains ?!
Et puis, qu'est-ce que ça peut te foutre si je n'écris rien ?! Ma prose te manque ?
Dommage que le journal ne dise pas ce que veut dire FDN² (Fonds de Défense de la Neutralité du Net) ni GIE carte bancaire, ni un lien vers des sites qui expliquent en quelques mots à quoi ils servent et quelles sont leurs actions.
# Protonmail
Posté par elloco (site web personnel) . En réponse au journal Voilà comment inciter 25% des internautes à chiffrer leurs mails. Évalué à 3.
Salut,
Comme je l'indiquais en réponse d'un autre post juste avant.
En se basant sur des solutions comme https://protonmail.ch/ (il en existe probablement d'autres mais je ne connais que celui-ci) on résout ce problème de la gestion des clés. Les clés sont générées côté client. La clé privée est chiffrée avec votre mot de passe. Le tout est ensuite envoyé au serveur de Protonmail qui se chargera de gérer les clés à votre place.
Comme indiqué dans l'article, passer par un service web n'est pas la meilleure solution, c'est vrai. Mais si ça permet de faire connaître le chiffrement de données aux gens et qu'ils prennent conscience que c'est important, alors c'est un pas dans la bonne direction.
Revenez 10 ans en arrière, les gens ne savaient pas à quoi correspondait le s à https. Maintenant, de plus en plus de gens ne s'imagineraient pas se connecter à leur compte Facebook en http.
# Protonmail
Posté par elloco (site web personnel) . En réponse au journal Courriel & vie privée. Évalué à 0. Dernière modification le 10 juin 2015 à 07:37.
Des solutions à la protonmail https://protonmail.ch/ me semblent très bien.
La clé publique/privée est générée côté client. La clé privée est chiffrée symétriquement avec votre mot de passe. Et cette clé privée chiffrée est envoyée au serveur de protonmail. Donc, la gestion de la clé privée se fait chez eux. Et comme ils ne possèdent pas votre mot de passe, ils ne savent rien en faire.
Ça me semble la solution la plus proche de ce qu'on peut faire en gérant soi-même la clé privée.
Le risque existe, c'est vrai, mais reste quand même nettement réduit par rapport à ce qu'on fait tous les jours.
[^] # Re: Atom
Posté par elloco (site web personnel) . En réponse au journal Visual Studio Code est disponible pour Linux. Évalué à 2.
En fait c'est un mix des deux.
http://blogs.msdn.com/b/somasegar/archive/2015/04/29/introducing-visual-studio-code-visual-studio-2015-rc-application-insights-public-preview-and-net-core-for-linux-and-mac.aspx
[^] # Re: Les temps changent comme disait un précédent journal…
Posté par elloco (site web personnel) . En réponse au journal Visual Studio Code est disponible pour Linux. Évalué à 2.
Visual Studio Code est basé sur http://electron.atom.io/ qui est libre. Du coup, je ne sais pas quelle couche supplémentaire est ajoutée par l'équipe de Microsoft. Peut-être qu'ils se chargent d'ajouter le nécessaire pour compiler/débugger du C#.
[^] # Re: Le prix ?
Posté par elloco (site web personnel) . En réponse à la dépêche Livre papier, livre numérique, TVA et DRM. Évalué à 1.
Ce n'est plus du tout vrai avec les Epub 3 dans lesquels tu as du Fixed Layout du reflowable, du Javascript, des styles, etc. Ça fait un énorme bazar.
[^] # Re: Pour sniffer?
Posté par elloco (site web personnel) . En réponse au message Switch + Routeur. Évalué à 1.
Pour le moment c'est assez simple. La télé + 3 ordinateurs windows/linux.
Le switch que j'ai déjà acheté est celui-ci
http://www.cisco.com/c/en/us/support/switches/sg-100d-08-8-port-gigabit-switch/model.html
Pour le routeur, je dois encore acheter le matériel.
En lisant les autres commentaires, apparemment on peut faire ce que je souhaite en créant des VLAN ? Mais j'avoue que en réseau je ne suis pas bon du tout. C'est donc une bonne façon de m'exercer un peu et de tester différentes choses :)
[^] # Re: Pour sniffer?
Posté par elloco (site web personnel) . En réponse au message Switch + Routeur. Évalué à 1.
Eh bien l'idée qui m'était passée par la tête était la suivante.
J'ai une Smart TV Samsung que je relie à mon switch ; sur ce switch je relie d'autres machines. Mais j'aimerais faire en sorte que ma TV ne puisse pas avoir connaissance des autres appareils du réseau (car pas confiance en Samsung et pour éviter les failles de sécurité potentielles qu'ils ne corrigent pas). Pour ça, j'aurais voulu tout faire transiter par le routeur qui aurait fait le travail nécessaire.
Est-ce possible ? Ou peut-être existe-t-il d'autres techniques plus intelligentes ?
Le routeur j'aimerais le construire moi-même, mais les cartes réseaux avec plusieurs ports Ethernet gigabit coutent très chère ; du coup je me tourne vers une solution "routeur 2 ports gigabit" que je construis + "switch 8 ports gigabit" que j'achète.
# Le compilateur
Posté par elloco (site web personnel) . En réponse au journal Microsoft libère les sources du cœur de .NET sur github, et ouvre son processus de développement. Évalué à 2.
Concernant leur compilateur, le dernier compilateur "Roslyn" sur lequel ils vont switcher (si ce n'est pas déjà fait) est libre et disponible sur codeplex. https://roslyn.codeplex.com/
# Gandhi
Posté par elloco (site web personnel) . En réponse au journal Les temps changent ?. Évalué à 1.
First they ignore you, then they laugh at you, then they fight you, then you win.
# Algos
Posté par elloco (site web personnel) . En réponse au journal Qu'un algo de chiffrement soit cassé, est-ce important pour nos PETITS secrets ?. Évalué à 3.
Personnellement, je ne pense pas que ces algorithmes de cryptages soient faillibles. En tous cas, je ne pense pas que la NSA ait trouvé un moyen de casser ces algorithmes.
La raison est simple, s'ils ont connaissance d'une telle faiblesse, comme ils vivent en mode parano (mais pas assez vu Snowden), ils doivent se dire qu'un autre gouvernement connaît la faille. Et du coup, je ne mettrais pas mes documents "Ultra Confidentiel" sous la sécurité d'un algo faillible.
Par contre, ils peuvent agir de manière plus sournoise en trafiquant les générateurs de nombres aléatoires. Que ce soit directement dans le code source (OpenSSL dans Debian en 2008 par exemple) ou encore dans les processeurs. En agissant de la sorte, ils peuvent contrôler avec une meilleure précision qui utilisera un système faillible ; et de leur côté, ils utilisent un vrai générateur de nombre aléatoire.
# Bof
Posté par elloco (site web personnel) . En réponse au journal Un formulaire pour l'oubli par google... carte d'identité SVP. Évalué à 10.
Ca ne me semble pas non plus exagéré de la part de Google de s'assurer qu'ils ne retirent pas des références qui ne sont pas les tiennes.
De plus,
1) Google sait peut-être déjà avec exactitude qui tu es.
2) Si tu demandes à être déréférencé, c'est pour ta vrai identité, j'imagine que tu t'en fou d'un pseudo.
3) Ce n'est pas les quelques personnes qui demanderont à être déréférencées qui vont leur permettre de faire des super BDD.
4) Si tu n'utilises pas leurs services, à part savoir que tu ne veux pas être référencé, je ne vois pas ce qu'ils peuvent y gagner.
Donc bon… je veux bien croire que Google n'est pas un saint mais faut pas pousser non plus. Ce n'est pas eux qui ont demandé à implémenter cette possibilité mais l'Europe.
# Hilton
Posté par elloco (site web personnel) . En réponse au sondage Quel est le TLD le plus crédible ?. Évalué à 4.
Je vais de ce pas m'acheter "hilton.paris", il vaudra chère celui-là !
[^] # Re: Garanties loteries ?
Posté par elloco (site web personnel) . En réponse au journal Nouvelle boutique en ligne Linux. Évalué à 5.
La clause de garantie de 1 à 3 mois et garantie constructeur 1 an ou 2 n'est pas légale.
http://europa.eu/legislation_summaries/consumers/protection_of_consumers/l32022_fr.htm
C'est une loi Européenne qui oblige le vendeur à offrir une garantie de 2 ans et le vendeur doit prendre en charge lui-même le matériel durant ces deux années (en cas de soucis). Donc pas question de dire à l'acheteur "vous devez contacter vous-même le constructeur".
Et aussi, je vois sur la page "Livraison" que "Votre colis est expédié à vos propres risques, un soin particulier est apporté au colis contenant des produits fragiles..". Le colis reste la responsabilité de l'expéditeur/vendeur jusqu'à ce qu'il arrive chez l'acheteur qui doit vérifier l'état et éventuellement le refuser ; pas question de se cacher derrière cette clause illégale.
Et comme Axone, si j'en avais la possibilité je n'achèterais pas sur leur site.
# Clé privé
Posté par elloco (site web personnel) . En réponse au journal Changement certificat Google Talk. Évalué à 5.
Il suffirait à Google de donner sa clé privée à la NSA et tu n'en saurais rien.
# Windows backdoor
Posté par elloco (site web personnel) . En réponse au journal Espionnage sous Linux ou délire paranoïaque ?. Évalué à 3.
Salut,
Est-ce qu'il y a une backdoor ou pas, je n'en sais rien car je ne suis pas du tout expert en la matière.
Quand on voit que généralement toutes les machines Windows se trouvent derrière un routeur local (bbox, etc. souvent du Linux), qui bloque toutes les connexions entrantes. Je me dis déjà que ça ne doit pas être si ouvert que ça.
Ensuite, si vraiment, il y a une backdoor, je suppose qu'il doit être possible de placer un routeur qui ne ferait que loguer toutes les IPs qui passent par là. Après analyse, on aurait déjà un bon aperçu de ce qui entre ou sort. Et l'analyse peut aller plus loin si nécessaire. Et tout ça, sans avoir besoin du code source de Windows.
Enfin, si après tout ça, il existe effectivement une NSA-backdoor et que la NSA cible les machines qui les intéresse, là en effet c'est plus difficile à détecter mais on n'est alors plus dans le modèle du "on écoute tout le monde".
# 2046
Posté par elloco (site web personnel) . En réponse au journal Parcittox, le gestionnaire de presse-papier en réseau. Évalué à 2.
Ah cool, j'attendrai 2046 alors. Je suis impatient d'y être.
[^] # Re: C'est légal
Posté par elloco (site web personnel) . En réponse au journal lemonde.fr ou l'abonnement au javascript. Évalué à 0.
Tout à fait :)
C'était juste en réponse à "ckyl" qui disait :
"..maintenant passer ces règles côté serveur c'est juste cacher le code. Mais ca ne prendra que 30 minutes de plus à n'importe qui de motivé et pas trop con à trouver le truc. Y'a pas de mystère quand Google arrive à indexer le contenu d'une page et que toi tu n'y as pas accès…"
Se baser sur l'IP casse cette idée qu'il y a juste "un truc".
[^] # Re: C'est légal
Posté par elloco (site web personnel) . En réponse au journal lemonde.fr ou l'abonnement au javascript. Évalué à 0.
"Le "cloaking" est une pratique qui consiste à présenter aux internautes des URL ou un contenu différents de ceux destinés aux moteurs de recherche"
C'est exactement ce que fait le monde. C'est interdit par Google ; peu importe la technique ou le but recherché.
Google veut juste dire "considérez-moi comme un utilisateur anonyme comme un autre".
[^] # Re: C'est légal
Posté par elloco (site web personnel) . En réponse au journal lemonde.fr ou l'abonnement au javascript. Évalué à 1.
Ce qu'ils font s'appelle du cloaking https://fr.wikipedia.org/wiki/Cloaking et Google l'interdit sous peine de se voir peut-être exclure de leur indexe https://support.google.com/webmasters/bin/answer.py?hl=fr&answer=66355.
Ensuite, il est toujours possible de faire la même opération mais côté serveur. En connaissant les adresse IP des serveurs robots de Google, il suffit de leur donner plus de contenu en se basant sur cette IP plutôt que sur le user agent. Et là je doute qu'il te faudra juste 30 minutes (sauf de nouveau si c'est codé avec de pieds de cul-de-jatte).
[^] # Re: je suis déçu
Posté par elloco (site web personnel) . En réponse au journal Samsung quitterait Android pour aller vers Tizen. Évalué à 2.
j'espère qu'ils vont arrêter de nous faire chier.
[^] # Re: J'ai décroché là
Posté par elloco (site web personnel) . En réponse au journal Écrire une page web de nos jours. Évalué à 2.
Les sites sur lesquels je travaille sont complètement faits en XML + XSLT et pourtant j'arrive à faire tout ce que je veux.
[^] # Re: Où est le problème ?
Posté par elloco (site web personnel) . En réponse au journal L'hameçonnage facile avec google. Évalué à 2.
Note que sur Google, tu peux créer des mots de passe que tu peux révoquer. Justement pour ne pas devoir donner ton vrai mot de passe, mais juste des "laisser passer".
Pour cela, il faut aller sur son compte -> sécurité -> "Autorisation des applications et des sites" et alors dans le bas "Générer un mot de passe".
Tu utilises ça dans Facebook, etc. Et pas de soucis.
(ps. je n'ai pas essayé en fait, mais je suppose que ça fonctionne)
[^] # Re: Incomplet
Posté par elloco (site web personnel) . En réponse au journal wikileaks FDNN Les choucroutes parlent aux choucroutes. Évalué à 6.
Dis… si mon commentaire t'a vexé alors tant-pis pour toi mon grand.
Il me semble que je ne dit rien de mal, je signalais juste le fait qu'il manquait un peu d'info.
Une petite référence c'est quand même pas trop demandé pour un journal non ?
Sinon, dis-moi pourquoi t'es-tu cassé le cul à écrire ce journal au lieu de juste taper le lien vers numerama comme le feraient certains ?!
Et puis, qu'est-ce que ça peut te foutre si je n'écris rien ?! Ma prose te manque ?
# Incomplet
Posté par elloco (site web personnel) . En réponse au journal wikileaks FDNN Les choucroutes parlent aux choucroutes. Évalué à 4.
Dommage que le journal ne dise pas ce que veut dire FDN² (Fonds de Défense de la Neutralité du Net) ni GIE carte bancaire, ni un lien vers des sites qui expliquent en quelques mots à quoi ils servent et quelles sont leurs actions.
# Application
Posté par elloco (site web personnel) . En réponse au journal Samba : de la 3G gratuite, contre de la pub à regarder, et des cookies.. Évalué à 1.
On peut même imaginer une application qui ferait ça toute seule.
Il doit bien y avoir moyen.