IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Mylar : la plateforme conçue par le MIT pour sécuriser les applications web

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Mylar : la plateforme conçue par le MIT pour sécuriser les applications web
    Mylar : la plateforme conçue par le MIT pour sécuriser les applications web,
    que pensez-vous de cette approche ?

    Des chercheurs du MIT menés par Raluca Ada Popa, une chercheuse en intelligence artificielle, ont proposé Mylar, une nouvelle architecture web conçue pour développer des sites web sécurisés. A titre indicatif, Racula a participé à l'élaboration de la solution de base de données chiffrée CryptoDB, utilisée par SAP et Google.

    Le mode actuel de sécurisation des données des applications web repose sur les serveurs pour le stockage et le traitement. Cependant, tout intrus capable de s'infiltrer dans le serveur peut accéder aux données non chiffrées. L'idée est donc de chiffrer les données dans le navigateur avant de les envoyer au serveur. Mylar garde les données chiffrées tout le temps, le déchiffrement ne sera effectué qu’une fois les données dans le navigateur de l’utilisateur.

    « Cela n'a l'air de rien, mais vos données sont chiffrées en utilisant votre mot de passe dans le navigateur avant de migrer vers le serveur », précise Raluca Popa. Avec ce système, « si un gouvernement demande des données à un fournisseur de service ou un hébergeur, le serveur ne pourra pas fournir des informations non chiffrées »

    Mylar a été conçu pour intégrer Meteor, une plateforme open source JavaScript pour construire des applications web. En utilisant le framework Meteor pour simplifier. La plateforme Mylar exécute le code dans le navigateur comme sur un serveur. Elle intègre un service qui permet d’effectuer une recherche par mots clé dans des données sécurisées sur le serveur sans avoir besoin de les déchiffrer. Ensuite, Mylar autorise le partage des clés et des données en toute sécurité. Enfin, Mylar s’assure de l’authenticité du code de l’application côté client même si le serveur est corrompu


    Cette plateforme est testée en ce moment pour un site web sur les antécédents médicaux de certains patients à l'hôpital Newton-Wellesley à Boston. Les données médicales du patient sont déchiffrées uniquement par le médecin ou le patient. D’autres prototypes sont également en phase de test comme une messagerie en ligne ou encore un site de partage de photos. Pour montrer la facilité de développement, Raluca Popa estime que « 28 lignes de code sur 3659 ont été changées pour sécuriser l'application ». La plateforme sera présentée à la conférence Usenix, à Seattle, en avril prochain.

    Source : MIT

    Et vous ?

    Que pensez-vous de cette approche ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    c'est une manière de réduire les risques pas de les enlever completement
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Février 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Février 2013
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Bonjour,

    Projet qui semble sympa... </troll> Javascript 8..( </troll>

    A mon humble avis, la NSA-GCHQ-DGSE-etc... pourra toujours tout casser, seulement si ce "coût" devient élévé par la généralisation de ce genre de techniques y compris pour aller sur lolcat.com, ils risquent bien d'être obligés de se concentrer seulement sur les suspects et non sur tout le monde. Bref de bien faire leur travail ("French Patriot Act" ou pas).

    Pour information:

    Extrait de l'Article D98-7

    [...]
    VI. - Pour répondre aux menaces ou aux atteintes à la sécurité des systèmes d'information des autorités publiques et des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense, l'opérateur prend les mesures utiles pour pouvoir répondre aux prescriptions de l'autorité nationale de défense des systèmes d'information.
    [...]

    http://www.legifrance.gouv.fr/affich...TI000025703459


    Extrait de l'Article L1332-1

    Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenues de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative.
    [...]

    http://www.legifrance.gouv.fr/affich...egorieLien=cid


    Le pays des droits de quoi déjà?

    Enjoy anyway

  4. #4
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    la NSA par exemple s'infiltre même sur les PC alors où est l’échappatoire?
    Si la NSA (ou un autre) met un virus sur votre PC, c'est pour écouter la connexion, ce qu'envois votre PC. Si j'ai bien compris, l'idée est de chiffré les données dans le navigateurs en javascript. Alors même en écoutant votre communication, la NSA ne saura pas ce que vous dites. Il faudrait corrompre le navigateur (ce qui n'est pas dur) et lire les données que chiffre votre navigateur en javascript ce qui dépends du site que vous regardez. C'est beaucoup plus dur.

    Bref la sécurité total n'existe pas (ni dans le réel, ni dans le virtuel) mais plus c'est compliquer, plus ça coûte cher et même la NSA n'a pas les moyen de mettre un employé pour espionner chaque site/utilisateur, si c'est trop difficile a automatiser il seront gêner. Après si vous êtes le chef de la Mafia ou un grands terroriste, il prendront le temps de tout décortiquer...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  5. #5
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par abriotde Voir le message
    Si la NSA (ou un autre) met un virus sur votre PC, c'est pour écouter la connexion, ce qu'envois votre PC. Si j'ai bien compris, l'idée est de chiffré les données dans le navigateurs en javascript. Alors même en écoutant votre communication, la NSA ne saura pas ce que vous dites. Il faudrait corrompre le navigateur (ce qui n'est pas dur) et lire les données que chiffre votre navigateur en javascript ce qui dépends du site que vous regardez. C'est beaucoup plus dur.
    La NSA n'a pas besoin d'un virus pour écouter ta connexion, elle analyse les données qui transit dans les tuyaux (man in the middle).
    L’intérêt de la NSA a coller des virus est justement de passer outre le chiffrement de tes données en les récupérant directement à la source, avant le chiffrement et le transfert.

    Pour revenir au sujet, je trouve ça très intéressant. Je pense que l'architecture du web doit évoluer afin d'intégrer un chiffrement au plus bas niveau de son architecture ainsi que dans la conception des sites (ne pas juste se reposer sur HTTPs).

  6. #6
    Membre régulier Avatar de DezMax
    Homme Profil pro
    Licence Informatique
    Inscrit en
    Décembre 2012
    Messages
    89
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Licence Informatique

    Informations forums :
    Inscription : Décembre 2012
    Messages : 89
    Points : 115
    Points
    115
    Par défaut
    C'est vraiment très intéressant je vois sa comme une réelle avancée, en revanche je suis sûre qu'il va falloir perséverer pour réaliser ce projet car le déchiffrement et le but principal d'un hacker.
    Il devient de plus en plus facile de cassé le cryptage, loin de moi l'idée de sous-estimer ces développeurs je pense au contraire qu'ils ont largement les capacités mais que la perserverance doit être à l'appel.
    --//CODE//--

Discussions similaires

  1. Réponses: 7
    Dernier message: 28/05/2011, 03h43
  2. Intel sortira un outil pour porter les applications iPhone sur ses plateformes
    Par Gordon Fowler dans le forum Applications mobiles
    Réponses: 11
    Dernier message: 08/10/2010, 12h47
  3. Réponses: 2
    Dernier message: 27/08/2010, 10h54
  4. Réponses: 0
    Dernier message: 05/07/2010, 13h15
  5. Réponses: 1
    Dernier message: 16/11/2006, 15h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo