IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un membre de l'EFF donne des recommandations pour une navigation internet plus sécurisée


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 377
    Points : 154 922
    Points
    154 922
    Par défaut Un membre de l'EFF donne des recommandations pour une navigation internet plus sécurisée
    Un membre de l'EFF donne des recommandations pour une navigation internet plus sécurisée,
    la meilleure arme contre PRISM ?

    Depuis déjà plusieurs semaines, Edward Snowden expose au grand jour les diverses stratégies d’espionnage des services secrets américains. Les populations du monde entier ne décolèrent pas face à ce scandale. Mais est-ce que les différentes manifestations observées sont la meilleure réponse ?

    Micah Lee, un technologue membre du personnel de l’EFF (Electronic Frontier Foundation) et responsable du projet HTTPS Everywhere, recommande sur son blog de déprécier le protocole http en faveur du HTTPS. « Il serait naïf de croire que seuls les gouvernements britanniques et américains le font (espionner). Internet n’est pas sûr et la meilleure façon d’y remédier est de tout chiffrer. Les sites qui utilisent encore HTTP mettent les utilisateurs en danger ».


    Pour commencer, les utilisateurs Windows pourraient utiliser l’outil OTR (Off the Record) pour pouvoir obtenir des discussions instantanées avec leurs amis chiffrées d’un bout à l’autre. Rendez-vous à la page de téléchargement https://pidgin.im/. Après l’avoir téléchargé, faites de même pour le plugin OTR en vous rendant sur http://www.cypherpunks.ca/otr/. Pour chiffrer vos courriels il montre comment s’y prendre avec OpenPGP email encryption. Rendez-vous sur la page http://gnupg.org/ et suivez les instructions. Vous remarquerez que la façon la plus aisée de télécharger GPG pour Windows est de se rendre à cette adresse http://www.gpg4win.org/.Toutefois il explique que ces téléchargements comportent des risques ; puisque les sites de téléchargement ne font pas usage du protocole HTTPS, des hackers ou des agences de renseignement pourraient avoir remplacé l’original et vous vous retrouveriez avec un malware sur votre machine.

    A contrario, pour les utilisateurs de Mac, le téléchargement est plus sécurisé puisqu’il utilise le protocole HTTPS. Pour le téléchargement de l’OTR rendez-vous à https://adium.im/ et pour celui du GPG https://gpgtools.org/. Les utilisateurs GNU/Linux devraient obtenir ces logiciels à partir de leur gestionnaire de package qui utilise des clés publiques de chiffrement pour les authentifier.

    Il rappelle aussi que HTTPS ne protège pas de tout. Lorsque vous chargez une URL HTTPS, comme https://votresite.fr/2013/belle-journee-aujourdhui/, seul le nom d’hôte, à savoir « votresite.fr », pourrait être victime d’une fuite, mais le reste de l’URL quant à lui demeure privé. D’autres métadonnées peuvent aussi être victimes de fuite, comme votre adresse IP, l’heure exacte à laquelle vous avez adressé la requête, la taille des fichiers constituant votre requête et la réponse.


    Source : blog Micah Lee

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 271
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 271
    Points : 4 747
    Points
    4 747
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Qu'en pensez-vous ?
    Que pour un "expert en sécurité", il accorde une trop grande confiance à HTTPS (curieusement), qui est en partie connu pour être volontairement "limité" afin de permettre aux gouvernements d'y faire du man in the middle.

  3. #3
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2007
    Messages
    697
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : janvier 2007
    Messages : 697
    Points : 1 238
    Points
    1 238
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Que pour un "expert en sécurité", il accorde une trop grande confiance à HTTPS (curieusement), qui est en partie connu pour être volontairement "limité" afin de permettre aux gouvernements d'y faire du man in the middle.
    Sources ? C'est bien beau de dire qu'HTTPS est limité mais en quoi ? Au niveau TLS ? Au niveau des certificats ? Au niveau de la taille des clés ? Backdoor ?

    Quant-au guillemets autour du expert en sécurité, je pense qu'en tant que responsable du projet HTTPS Everywhere (comme précisé dans l'article), Micah Lee ne les méritent pas. Après on pourra toujours dire qu'il n'est pas objectif et fait la promotion de son logiciel.

    EDIT: merci pour ces précisions Loceka

  4. #4
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2012
    Messages
    2 986
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2012
    Messages : 2 986
    Points : 15 839
    Points
    15 839
    Par défaut
    C'est surtout que les gros espions ne s'embêtent plus à faire du man in the middle.

    Ils ont directement accès aux données déchiffrées au bout du tunnel...

  5. #5
    Membre à l'essai
    Inscrit en
    août 2011
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : août 2011
    Messages : 9
    Points : 13
    Points
    13
    Par défaut
    Ne serait la meilleure facon de se prémunir contre toute forme d'espionnage est d'utiliser TOR ?

  6. #6
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 271
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 271
    Points : 4 747
    Points
    4 747
    Par défaut
    Citation Envoyé par atha2 Voir le message
    Sources ? C'est bien beau de dire qu'HTTPS est limité mais en quoi ? Au niveau TLS ? Au niveau des certificats ? Au niveau de la taille des clés ? Backdoor ?
    => http://security.stackexchange.com/qu...uipment-bypass

    => http://www.zdnet.com/how-the-nsa-and...sl-7000016573/

    => d'autres sources

    En gros, ce sont généralement des accords passés entre les organismes de certification et les gouvernements. Les derniers leur ont dit "c'est bien les certificats, mais nous on voudrait en avoir les clefs" et les autres ont dit "ok".

    Bien sûr, il y'a aussi une histoire de légalité sur les protocoles de chiffrement et la taille des clefs (genre en France il est illégal d'utiliser des clefs de plus de 1024 bits (d'après plusieurs sources non officielles trouvées sur le net, les sites gouvernementaux sont bloqués ici...)) mais là ils n'ont même pas à trouver la clef.

  7. #7
    Invité
    Invité(e)
    Par défaut
    Ne serait la meilleure facon de se prémunir contre toute forme d'espionnage est d'utiliser TOR ?
    Il me semble que TOR n'est tout de même pas la solution "ultime".
    Le souci étant que le dernier noeud, au bout de la chaine, "l'exit node", fait transiter un flux en clair (http)...

    Celui qui a la main sur ce dernier noeud peut sniffer le traffic et intercepter enormement de données.

    sources : http://www.xmco.fr/article-tor.html

    Edit : en fait, cela reste une bonne solution, pour un echange de données au sein du reseau, genre tchat

  8. #8
    Membre habitué
    Homme Profil pro
    Inscrit en
    octobre 2006
    Messages
    69
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2006
    Messages : 69
    Points : 178
    Points
    178
    Par défaut
    Etant dans la sécurité des communications je confirme les dires et sources de Loceka.

    C'est même une obligation légale (du moins dans les pays membre de l'OMC ) que de fournir des contre-mesures ou des solutions technique pour faire du man in the middle ou autres.

    Et effectivement cela ne peut se faire (du moins je l’espéré le plus possible) que sur une demande express de justice.

    Par contre en aucun cas les algorithmes de chiffrement utilisés ne sont remis en cause, c'est juste une intervention humaine dans un processus.

Discussions similaires

  1. Réponses: 561
    Dernier message: 26/09/2021, 12h37
  2. Réponses: 3
    Dernier message: 23/05/2008, 11h45
  3. Activer l'affichage des erreurs pour une IP donnée
    Par guidav dans le forum Langage
    Réponses: 4
    Dernier message: 19/05/2008, 10h43
  4. sécurisation des sessions pour une section membres
    Par CROSS dans le forum Langage
    Réponses: 5
    Dernier message: 20/06/2007, 12h46
  5. récupérer des valeurs pour une semaine donnée
    Par duck54 dans le forum Requêtes
    Réponses: 1
    Dernier message: 30/05/2006, 01h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo