Discussion :

[Stéphane le calme]

Un membre de l'EFF donne des recommandations pour une navigation internet plus sécurisée,
la meilleure arme contre PRISM ?

Depuis déjà plusieurs semaines, Edward Snowden expose au grand jour les diverses stratégies d’espionnage des services secrets américains. Les populations du monde entier ne décolèrent pas face à ce scandale. Mais est-ce que les différentes manifestations observées sont la meilleure réponse ?

Micah Lee, un technologue membre du personnel de l’EFF (Electronic Frontier Foundation) et responsable du projet HTTPS Everywhere, recommande sur son blog de déprécier le protocole http en faveur du HTTPS. « Il serait naïf de croire que seuls les gouvernements britanniques et américains le font (espionner). Internet n’est pas sûr et la meilleure façon d’y remédier est de tout chiffrer. Les sites qui utilisent encore HTTP mettent les utilisateurs en danger ».

Pour commencer, les utilisateurs Windows pourraient utiliser l’outil OTR (Off the Record) pour pouvoir obtenir des discussions instantanées avec leurs amis chiffrées d’un bout à l’autre. Rendez-vous à la page de téléchargement https://pidgin.im/. Après l’avoir téléchargé, faites de même pour le plugin OTR en vous rendant sur http://www.cypherpunks.ca/otr/. Pour chiffrer vos courriels il montre comment s’y prendre avec OpenPGP email encryption. Rendez-vous sur la page http://gnupg.org/ et suivez les instructions. Vous remarquerez que la façon la plus aisée de télécharger GPG pour Windows est de se rendre à cette adresse http://www.gpg4win.org/.Toutefois il explique que ces téléchargements comportent des risques ; puisque les sites de téléchargement ne font pas usage du protocole HTTPS, des hackers ou des agences de renseignement pourraient avoir remplacé l’original et vous vous retrouveriez avec un malware sur votre machine.

A contrario, pour les utilisateurs de Mac, le téléchargement est plus sécurisé puisqu’il utilise le protocole HTTPS. Pour le téléchargement de l’OTR rendez-vous à https://adium.im/ et pour celui du GPG https://gpgtools.org/. Les utilisateurs GNU/Linux devraient obtenir ces logiciels à partir de leur gestionnaire de package qui utilise des clés publiques de chiffrement pour les authentifier.

Il rappelle aussi que HTTPS ne protège pas de tout. Lorsque vous chargez une URL HTTPS, comme https://votresite.fr/2013/belle-journee-aujourdhui/, seul le nom d’hôte, à savoir « votresite.fr », pourrait être victime d’une fuite, mais le reste de l’URL quant à lui demeure privé. D’autres métadonnées peuvent aussi être victimes de fuite, comme votre adresse IP, l’heure exacte à laquelle vous avez adressé la requête, la taille des fichiers constituant votre requête et la réponse.


Source : blog Micah Lee

Et vous ?

Qu'en pensez-vous ?

[Loceka]

Qu'en pensez-vous ?

Que pour un "expert en sécurité", il accorde une trop grande confiance à HTTPS (curieusement), qui est en partie connu pour être volontairement "limité" afin de permettre aux gouvernements d'y faire du man in the middle.

[atha2]

Que pour un "expert en sécurité", il accorde une trop grande confiance à HTTPS (curieusement), qui est en partie connu pour être volontairement "limité" afin de permettre aux gouvernements d'y faire du man in the middle.

Sources ? C'est bien beau de dire qu'HTTPS est limité mais en quoi ? Au niveau TLS ? Au niveau des certificats ? Au niveau de la taille des clés ? Backdoor ?

Quant-au guillemets autour du expert en sécurité, je pense qu'en tant que responsable du projet HTTPS Everywhere (comme précisé dans l'article), Micah Lee ne les méritent pas. Après on pourra toujours dire qu'il n'est pas objectif et fait la promotion de son logiciel.

EDIT: merci pour ces précisions Loceka

[Carhiboux]

C'est surtout que les gros espions ne s'embêtent plus à faire du man in the middle.

Ils ont directement accès aux données déchiffrées au bout du tunnel...

[Hellish]

Ne serait la meilleure facon de se prémunir contre toute forme d'espionnage est d'utiliser TOR ?

[Loceka]

Sources ? C'est bien beau de dire qu'HTTPS est limité mais en quoi ? Au niveau TLS ? Au niveau des certificats ? Au niveau de la taille des clés ? Backdoor ?

=> http://security.stackexchange.com/qu...uipment-bypass

=> http://www.zdnet.com/how-the-nsa-and...sl-7000016573/

=> d'autres sources

En gros, ce sont généralement des accords passés entre les organismes de certification et les gouvernements. Les derniers leur ont dit "c'est bien les certificats, mais nous on voudrait en avoir les clefs" et les autres ont dit "ok".

Bien sûr, il y'a aussi une histoire de légalité sur les protocoles de chiffrement et la taille des clefs (genre en France il est illégal d'utiliser des clefs de plus de 1024 bits (d'après plusieurs sources non officielles trouvées sur le net, les sites gouvernementaux sont bloqués ici...)) mais là ils n'ont même pas à trouver la clef.

[Invité]

Ne serait la meilleure facon de se prémunir contre toute forme d'espionnage est d'utiliser TOR ?

Il me semble que TOR n'est tout de même pas la solution "ultime".
Le souci étant que le dernier noeud, au bout de la chaine, "l'exit node", fait transiter un flux en clair (http)...

Celui qui a la main sur ce dernier noeud peut sniffer le traffic et intercepter enormement de données.

sources : http://www.xmco.fr/article-tor.html

Edit : en fait, cela reste une bonne solution, pour un echange de données au sein du reseau, genre tchat

[zencorp]

Etant dans la sécurité des communications je confirme les dires et sources de Loceka.

C'est même une obligation légale (du moins dans les pays membre de l'OMC ) que de fournir des contre-mesures ou des solutions technique pour faire du man in the middle ou autres.

Et effectivement cela ne peut se faire (du moins je l’espéré le plus possible) que sur une demande express de justice.

Par contre en aucun cas les algorithmes de chiffrement utilisés ne sont remis en cause, c'est juste une intervention humaine dans un processus.