Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 10 sur 10
  1. #1
    Expert Confirmé Sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 553
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 553
    Points : 70 999
    Points
    70 999

    Par défaut Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles ?

    Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles aujourd'hui ?

    Les réseaux privés virtuels (ou VPN, pour Virtual Private Network) sont actuellement largement utilisés de par le monde. Ils sont censés fournir une protection des données échangées entre deux réseaux locaux, en chiffrant les informations qu'ils échangent via un "tunnel". Les données transitent sur le Net en version cryptée et ne sont théoriquement décodables que par les réseaux locaux expéditeurs et destinataires, seuls possesseurs du code permettant de les déchiffrer.

    Des sites très populaires s'appuient sur des VPN basés sur le protocole PPTP pour garantir l'anonymat de leurs utilisateurs. Par exemple, le fameux IPREDator de The Pirate Bay.

    Récemment, un chercheur se faisant appeler "Agent Kugg", s'est attaqué à ce VPN, tout en précisant que les autres services du même type étaient également vulnérables aux failles qu'il a présentées.

    Donc, dans le cas de The Pirate Bay, il raconte avec quelle facilité il a pu casser la clé d'encodage des transmissions. Il lui a suffit de quelques minutes, "tout le monde peut le faire", ajoute-t-il.

    Il explique que comme le VPN est considéré comme un réseau local, il peut permettre à un autre utilisateur du même VPN de récupèrer le nom et l'adresse MAC de votre ordinateur.

    Ensuite, rien de plus facile pour l'individu, s'il est mal intentionné, que de récupérer votre identifiant et votre mot de passe VPN et d'accèder ainsi à toutes vos données partagées.

    Cette faille d'une simplicité extrême n'est pourtant pas la pire, d'après le chercheur.

    De plus grands risques encore viendraient des connexions via une IPv6. L'agent Kugg explique : en cas de connexion à un contenu hébergé en ligne avec une IPv6, si la machine est compatible (Windows Vista, 7, etc.) elle répondra en envoyant la véritable adresse IP de l'internaute ainsi que son adresse MAC.

    Cette technique est notamment utilisée sur Bit Torrent pour identifier les personnes coupables de téléchargements illégaux.

    Certaines firmes et agences gouvernementales exploitent ces failles pour obtenir l'identité de contrevenants ou de toute autre personne qu'ils ciblent. De quoi faire peur.

    Comment s'en prémunir ?

    La seule solution actuellement consiste à désactiver le support de l'IPv6 pendant le surf, explique le spécialiste tout en rappelant qu'un firewall local sera impuissant à contrer cette vulnérabilité, puisque le VPN et les données en provenant sont considérées comme dignes de confiance.

    Alors comment être anonyme sur le Net aujourd'hui ?

    Source : L'intervention de l'Agent Kugg lors de la Telecomix Cyphernetics Assembly en Suède (à partir de 2h17 dans la vidéo) : http://bambuser.com/channel/telecomix/broadcast/832366

    L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc.
    Toutes sont utilisées par les gouvernements. Que pensez-vous de l'utilisation de ces failles par les autorités ?

    Comment surfer et échanger des fichiers de manière anonyme et fiable ?

  2. #2
    Membre chevronné
    Avatar de buzzkaido
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2004
    Messages
    822
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2004
    Messages : 822
    Points : 698
    Points
    698

    Par défaut

    Si mes souvenirs sont bons, ce n'est pas la première fois que des failles sont découvertes sur le protocole PPTP.

    Par contre, je me demande bien ce qu'il en est du protocole OpenVPN ?

    L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc.
    Si on est connecté via un VPN qui fait bien son boulot, l'exploitation d'une faille FTP/Flash/autre renverra toujours l'identité du VPN, non ?

  3. #3
    Membre éclairé
    Avatar de alex61
    Homme Profil pro alexandre Parrein
    Étudiant
    Inscrit en
    mai 2010
    Messages
    374
    Détails du profil
    Informations personnelles :
    Nom : Homme alexandre Parrein
    Âge : 22
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2010
    Messages : 374
    Points : 335
    Points
    335

    Par défaut

    Comment surfer et échanger des fichiers de manière anonyme et fiable ?
    proxy , non ?

    si tu es perdu clique ici
    langage connus : xhtml/css , ASP.NET/VB.NET , JS, JQuery , PHP , SQL, PL/SQL, JAVA,
    BI : SAS, BO, Talend, Cognos, Microsoft BI, Qliqview

  4. #4
    Membre Expert Avatar de Firwen
    Inscrit en
    juin 2009
    Messages
    434
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 434
    Points : 1 023
    Points
    1 023

    Par défaut

    proxy , non ?
    Proxy, I2P, TOR, VPN ou simple redirection de ports via ssh.

    Son argumentation sur IPV6 me parait douteuse.

    Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

    Quant à l'IPv6, le risque vient surtout du fait qu'on peut en attribuer une immuable par personne. Mais est-ce le cas actuellement ?
    It's not a bug, it's a feature
    Site web : www.firwen.org
    GPG id : 0x8C717673

  5. #5
    Membre du Club
    Opérateur
    Inscrit en
    novembre 2006
    Messages
    76
    Détails du profil
    Informations professionnelles :
    Activité : Opérateur

    Informations forums :
    Inscription : novembre 2006
    Messages : 76
    Points : 58
    Points
    58

    Par défaut

    Je ne sais pas exactement comment marche un VPN mais si ça fonctionne comme un réseau local alors les adresses MAC sont diffusées sur le réseau privé virtuel. En tout cas ça dépend si on fait aussi transiter les requêtes ARP je pense. Mais bon c'est une hypothèse. J'en sais rien en fait.

  6. #6
    Invité
    Invité(e)

    Par défaut

    Je n'utilise pas de protocole d'échange crypté. Il me semble que les notions de protocole et de cryptage sont subtilement antinomiques. Si le protocole est vraiment incassable, on risque de se voir accusé de passer dieu sait quoi , si il est trop cassable, il ne sert à rien.

    Je transporte mes données sensibles sur clé usb après cryptage par AxCrypt au cas ou on ma clé se ferait détourner...

    Mais quid d'utiliser ce type de logiciel sur machine locale avant d'envoyer quoi que ce soit sur la ligne... Un serveur d'échange n'est-il pas par définition une passoire ??

    Si ça se trouve, le pirate possède le sniffeur qui décrypte automatiquement le protocole machin bidule, pas de pot !! Si ça se trouve, il n'a jamais entendu parler de cryptage et il ne sait pas que ça existe, il utilise juste le BON sniffeur

    La sécurité est un sujet bizarre qui révèle souvent la personnalité de ceux qui en parlent. L'internet n'est PAS sûr !! il ne l'a jamais été et ne le sera jamais. Le disque dur d'une machine connectée à l'internet est un poil plus sûr mais pas de beaucoup, à condition d'avoir installé des suites de sécurité qui sont -du moins je l'espère- franchissables par les services de MON gouvernement (le mien à moi). Pour être vraiment peinard , il faut une machine protégée et déconnectée sur laquelle on peut décrypter les fichiers, bosser avec , ré-encrypter.
    Le reste est un peu du vent.
    Ou bien la sécurité des échanges relève d'une hierarchie qui dit : encrypte avec xyz.exe car tout le monde le fait. Dans ce cas, je suis déresponsabilisé du problème et si des données vont là où il faut pas, je me contenterai de dire que j'ai suivi la "procédure"...
    Mais voilà, personne ne veut en parler et encore moins prendre une responsabilité en cas de problème. Donc , la procédure , c'est @minima et si possible , elle provient d'un livre qui permettra à l'admin de dire qu'il a "appliqué la procédure du livre"..

    Il y a ce vieux truc du gars qui roule sur un vieux bicloune pourri pour ne pas se le faire piquer. Profil bas. L'air de rien. S'il est une politique de sécurité qui fonctionne , elle passe en tous cas par un minimum de discrétion..

    La paranoïa n'est pas une façon de vivre. Aussi faut il réfléchir à tout cela un bon coup, appliquer les règles et ne plus y penser.. jusqu'à ce qu'on les change
    Dernière modification par Invité ; 24/06/2010 à 14h04.

  7. #7
    Invité
    Invité(e)

    Par défaut

    Citation Envoyé par Firwen Voir le message
    Proxy, I2P, TOR, VPN ou simple redirection de ports via ssh.

    Son argumentation sur IPV6 me parait douteuse.

    Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

    Quant à l'IPv6, le risque vient surtout du fait qu'on peut en attribuer une immuable par personne. Mais est-ce le cas actuellement ?
    Pas dans un avenir prévisible, il faudrait s'enregistrer en préfecture au service des cartes grises IP Alors l'adresse v6 vous serait attribuée à vie et tamponnée sur le permis de respirer ...

    Quel que soit l'argument il faudra des lustres pour que notre administration comprenne les subtilités d' ipv6.

    Anyway, il faudrait changer de profil pour chaque utilisateur d'une machine, ce qui suppose une identification à chaque accès ou un changement drastique de la quincaillerie informatique actuelle. L'ironie du sort est qu'on utilise ipV6 en s'iposant les mêmes contraintes qu'avec V4 , DHCP etc..

    L'attribution dynamique d'ip est tellement entrée dans les moeurs que toutes les procédures gouvenementales s'appuient dessus. Il faudrait un electrochoc terrible pour que ça évolue. En attendant V6 offre un surcroit d'adresses que les pro pourront exploiter en donnant un ip fixe à tous les devices.. Pour les humains , il faudrait mettre à jour l'administration , quand je vois le temps qu'il a fallu pour que les sites web ne relèvent plus de la loi sur le dépôt légal datant de François Premier.... V6 restera un havre pour les éditeurs, les geeks et peut être les pirates ! (qui bossent aussi parfois je suppose)
    Dernière modification par Mejdi20 ; 24/06/2010 à 15h50.

  8. #8
    Membre Expert Avatar de Firwen
    Inscrit en
    juin 2009
    Messages
    434
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 434
    Points : 1 023
    Points
    1 023

    Par défaut

    Pas dans un avenir prévisible, il faudrait s'enregistrer en préfecture au service des cartes grises IP Alors l'adresse v6 vous serait attribuée à vie et tamponnée sur le permis de respirer ...
    C'est pas si simple, de nos jours les pc ont une IP, les téléphones ont une IP, les box TV ont une IP, même certaines voitures ont une IP.

    Une attribution une IP par personne est impossible, une pool d'ip par personne serait déja plus envisageable.
    Mais une attribution pareil serait un magnifique nid à problème :
    Comment faire lorsque le pc change d'utilisateur ? dans le cas d'un device mobile ? d'un device partagé ( TV, auto, etc) ? ou comment identifier un pc qui se connecte à une borne ?
    Sans parler des problèmes en cas d'utilisation d'une Ip qui n'est pas la notre .

    Ah moins que nos brillants dirigeants decident de perséverer dans la stupidité ( Hadopi... ), l'allocation dynamique reste la meilleure solution même en V6.
    It's not a bug, it's a feature
    Site web : www.firwen.org
    GPG id : 0x8C717673

  9. #9
    ILP
    ILP est déconnecté
    Membre éclairé Avatar de ILP
    Homme Profil pro Lionel PLAIS
    Développeur informatique
    Inscrit en
    mai 2002
    Messages
    233
    Détails du profil
    Informations personnelles :
    Nom : Homme Lionel PLAIS
    Âge : 28
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 233
    Points : 336
    Points
    336

    Par défaut

    Citation Envoyé par Firwen Voir le message
    Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.
    Le problème c'est que l'adresse MAC de la machine est utilisée pour former l'adresse IPv6 (cf Wikipédia), donc l'adresse MAC risque de se retrouver également sur la couche réseau .

  10. #10
    Membre Expert Avatar de Firwen
    Inscrit en
    juin 2009
    Messages
    434
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 434
    Points : 1 023
    Points
    1 023

    Par défaut

    Le problème c'est que l'adresse MAC de la machine est utilisé pour former l'adresse IPv6 (cf Wikipédia), donc l'adresse MAC risque de se retrouver également sur la couche réseau
    Merci j'avais zappé cette possibilité.

    Ceci dit, ce n'est pas une obligation de générer les adresses v6 à partir du MAC de la carte réseau, c'est juste une possibilité.
    It's not a bug, it's a feature
    Site web : www.firwen.org
    GPG id : 0x8C717673

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •