IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Forum général Solutions d'entreprise Discussion :

Project Shield : Nouvelle tentative d'intrusion de la part de Google!


Sujet :

Forum général Solutions d'entreprise

  1. #1
    Membre éclairé

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2007
    Messages
    730
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 730
    Points : 758
    Points
    758
    Par défaut Project Shield : Nouvelle tentative d'intrusion de la part de Google!
    Sous de apparences d'alarmiste et de bienfaiteur, Google vient de présenter un "service" permettant de se prémunir des attaques DDoS: le Project Shield.

    Ce projet, présenté comme une solution altruiste pour les gens n'ayant les moyens financiers pour héberger leurs sites web avec une vraie protection privée, ne consiste qu'en l'usage de serveurs Google comme intermédiaires pour tout votre trafic web.

    Une mappemonde en temps réel est présentée, afin de renforcer le sentiment de besoin d'un tel outil... mais est-il prudent de passer un tel cap?

    Développeurs amateurs, détrompez-vous!

    Passer tout son trafic web par un service tiers, c'est aussi lui confier ses cookies (de sessions ou non), les requêtes, les données privées de vos utilisateurs, et très certainement matière analysable pour déceler et exploiter des failles de sécurité contenue dans vos sites/application web.

    Pour résumer les choses, on pourrait comparer le Project Shield à un pirate qui, grâce à vous, permet à Google de faire une attaque de type Man in the middle!

    De plus, gardez à l'esprit que Google est, lui aussi, la cible d'attaques en tous genres, ce qui exposerait vos sites et données aux failles de Google.

    Pour rappel, après les solutions HTML/JS intégrables (Google Search, Google Analytics, les CDN, ...), l'identification avec son compte Google et son projet de "cookie" global servant à mieux traquer les utilisateurs, il y a peu, Google a finalement admis ne pas respecter la vie privée.

    Comme toujours, avant d'intégrer une solution tierce, prenez donc toujours garde aux motivations sous-jacentes de celui qui la propose et aux (possibles) conséquences que cela implique.


    Et vous, que pensez-vous de ce bouclier ouvrant un trou béant dans votre sécurité?

    Pensez-vous encore pouvoir tenir les engagements classiques de charte de confidentialité, envers vos utilisateurs, en utilisant ce "service'?
    Afin d'obtenir plus facilement de l'aide, n'hésitez pas à poster votre code de carte bancaire

    Mon GitHub

    Une alternative à jQuery, Angular, Vue.js, React, ... ? Testez anticore, en quelques secondes à peine !
    (Contributions bienvenues)

  2. #2
    Membre expert
    Avatar de ThomasR
    Homme Profil pro
    Directeur technique
    Inscrit en
    décembre 2007
    Messages
    2 224
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : décembre 2007
    Messages : 2 224
    Points : 3 962
    Points
    3 962
    Par défaut
    Lcf.vs, le but de Google n'est pas de mettre en péril leur business de plusieurs milliards de dollar.

    S'ils offrent ce service, c'est uniquement pour protéger les utilisateurs des attaques DDOS, comme le fait CloudFlare depuis des années déjà.

    Comparer Google à un "pirate" est, je trouve, un peu alarmant. Ils n'ont évidemment aucun intérêt à faire des attaques de "Man in the middle".

    Dans l'absolu, ton hébergeur pourrait également accéder à tes données, tout comme ton FAI pourrait accéder à tes communications téléphoniques, tout comme Carrefour peut savoir de quoi tu te nourris. Il ne faut pas devenir parano non plus ^^
    Studio de création digitale
    http://bonapp.studio

  3. #3
    Membre éclairé

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2007
    Messages
    730
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 730
    Points : 758
    Points
    758
    Par défaut
    Thomas> Tu trouverais acceptable, par exemple, que ton Homebank passe par un tel "service"? Moi pas...
    Afin d'obtenir plus facilement de l'aide, n'hésitez pas à poster votre code de carte bancaire

    Mon GitHub

    Une alternative à jQuery, Angular, Vue.js, React, ... ? Testez anticore, en quelques secondes à peine !
    (Contributions bienvenues)

  4. #4
    Membre expert
    Avatar de ThomasR
    Homme Profil pro
    Directeur technique
    Inscrit en
    décembre 2007
    Messages
    2 224
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : décembre 2007
    Messages : 2 224
    Points : 3 962
    Points
    3 962
    Par défaut
    Citation Envoyé par Lcf.vs Voir le message
    Thomas> Tu trouverais acceptable, par exemple, que ton Homebank passe par un tel "service"? Moi pas...
    Je pense que mon homebank a les moyens de s'équiper lui-même d'une protection DDOS. Project Shield c'est une solution clé en main.
    Btw, non ca me dérangerait pas, je préfère qu'il soit protégé d'une manière ou d'une autre plutôt qu'il puisse subir des DDOS et se faire voler des données lorsque les services d'authentification tombent.
    Studio de création digitale
    http://bonapp.studio

  5. #5
    Membre éclairé

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2007
    Messages
    730
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 730
    Points : 758
    Points
    758
    Par défaut
    A mon sens, plus on ajoute de vecteurs, plus on tend à la vulnérabilité.

    On est déjà obligés, en tant qu'utilisateurs, de faire confiance à :
    • notre OS,
    • notre navigateur,
    • outils servant à la sécurité du site visité (mon Homebank passe toujours par des plugins Java, par exemple),
    • la banque,
    • son serveur,
    • son personnel,
    • l'OS de son serveur,
    • au fournisseur de certificats SSL,
    • ...


    Est-ce déjà bien légitime? Serait-ce forcément une bonne idée d'en ajouter davantage?

    Même dans le monde des toupoutous, y en a des malintentionnés ^^'
    Afin d'obtenir plus facilement de l'aide, n'hésitez pas à poster votre code de carte bancaire

    Mon GitHub

    Une alternative à jQuery, Angular, Vue.js, React, ... ? Testez anticore, en quelques secondes à peine !
    (Contributions bienvenues)

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    avril 2004
    Messages
    334
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2004
    Messages : 334
    Points : 114
    Points
    114
    Par défaut
    Bonjour,

    Si il y a effectivement etre alarmiste sur omniprésence de Google, il ne faut pas non plus tomber dans l'exces. C'est pour celà que je rejoins Thomas.

    C'est effectivement pas très bien de faire passer son flux par google vu sa politique. Toutefois, dire que c'est un pirate non !

    Google va effectivement qu'observer 'le flux' mais il ne pourra pas faire plus. Ainsi il ne pourra pas lire les cookies (dans ton exemple) si le site ne le demande pas. Sinon il devra modifier le flux, chose qu'il ne fait pas. De plus je m'interroge sur l'utilité de lire de flux de sites qui "n'ont pas les moyens" (et donc à faible traffic). Pour rappel si une ONG décide de proposer un paiement par Paypal par exemple, l'internautre est dirigé vers Paypal et donc ne passe plus par Google.. Donc le risque est vraiment faible pour ta carte bleu.

    Google va juste analyser le traffic et le comportement de tout utilisateur allant sur ton site. Tout comme il le fait avec google analytics que la majorité des webmasters utilisent... Donc il ne fera pas plus que ce qu'il ne fait dejà !

    Enfin et pour rappel, Google investi massivement dans l'infrastructure du net, contrairement à tout les FAI qui ne veulent plus investir. Du coup, ton flux passe déjà par plusieurs serveurs de google avant d'arrivé vers ta destination.
    Pour donner qu'un exemple, tu seras peut être surpris de voir que les serveurs DNS les plus utilisés au monde sont ceux de google !

    Là, aussi il a la liste de tout les sites que tu visites et c'est complétement transparent ! Reellement si on ne peut pas s'en réjouir, Google fait des choses bien plus grave avec Android, chrome OS etc... et là, on est pas obligé de spéculer pour connaitre la vérité !

Discussions similaires

  1. Réponses: 10
    Dernier message: 01/03/2010, 09h02
  2. Échec au démarrage (nouvelle tentative en cours)
    Par fife59 dans le forum SharePoint
    Réponses: 4
    Dernier message: 15/07/2009, 08h39
  3. Échec au démarrage (nouvelle tentative en cours)
    Par filip24 dans le forum SharePoint
    Réponses: 0
    Dernier message: 25/06/2009, 17h25
  4. Échec au démarrage (nouvelle tentative en cours)
    Par samworkflow dans le forum SharePoint
    Réponses: 0
    Dernier message: 25/05/2009, 11h13
  5. Tentative d'intrusion msn ?
    Par Rémiz dans le forum Sécurité
    Réponses: 8
    Dernier message: 28/09/2006, 22h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo