L'EFF invite à chiffrer toutes ses communications, dès maintenant

En lisant "chiffrer les communication" dans le titre j'ai tout de suite penser à "Évaluer le montant de des communication" bref chiffre, et non pas "crypter les communication"

VPN, TOR, .... vons devenir pour la majorité des internautes le minimum requis incessament sous peu....

En lisant "chiffrer les communication" dans le titre j'ai tout de suite penser à "Évaluer le montant de des communication" bref chiffre, et non pas "crypter les communication"

Sauf que "crypter les communications" n'est pas français

Et allez! Le signal est donc donné :-(

Quel gâchis!
Il faudra qu'ils le payent quelques responsables, et cher!

déjà fait depuis longtemps, mais je m'attendais à du lourd.

à quand HTTPS sur numérama, c'est bien d'en parler c'est mieux de le faire et de montrer l'exemple.

gsconnect, le 07/09/2012 - 15:24

déjà fait depuis longtemps, mais je m'attendais à du lourd.
à quand HTTPS sur numérama, c'est bien d'en parler c'est mieux de le faire et de montrer l'exemple.

C'est clair, d'autant que des autorité de certifications gratuite et reconnu par les principaux OS/navigateur existent ; StartSSL pour ne citer qu'eux.

Mais j'émets quand même une réserve. C'est possible que les FAI obtiennent par le gouvernement UK des certificats pour des domaines normalement protégés et du coup pouvoir faire des interception Man-In-Middle de façon tout à fait transparente!

gsconnect, le 07/09/2012 - 15:24

à quand HTTPS sur numérama, c'est bien d'en parler c'est mieux de le faire et de montrer l'exemple.

+1
Guillaume, tu en penses quoi ?

Mais j'émets quand même une réserve. C'est possible que les FAI obtiennent par le gouvernement UK des certificats pour des domaines normalement protégés et du coup pouvoir faire des interception Man-In-Middle de façon tout à fait transparente!

ça coutera toujours plus cher, en calcul et par conséquence financièrement, si il faut en plus déchiffrer toutes les données chiffrées.

Dans ce cas là tu vérifies l'empreinte du site sur lequel tu es, des plugins font ça très bien.

Que nécessite réellement le https ?
En lisant l'article je comprends que wikipedia le gère mais ne le force pas, mais que tout les sites ne le gèrent pas.
S'il ne le force pas c'est qu'il doit y avoir un effet négatif pour certain internaute ? manipulation sur le client web ou juste le 's' dans l'adresse ? Et si tout les sites ne le gèrent pas, c'est parce qu'il y a un coup supplémentaire pour faire/heberger des sites en https ?

Que nécessite réellement le https ?
En lisant l'article je comprends que wikipedia le gère mais ne le force pas, mais que tout les sites ne le gèrent pas.
S'il ne le force pas c'est qu'il doit y avoir un effet négatif pour certain internaute ? manipulation sur le client web ou juste le 's' dans l'adresse ? Et si tout les sites ne le gèrent pas, c'est parce qu'il y a un coup supplémentaire pour faire/heberger des sites en https ?

Le chiffrement a en effet un coût : cela fait faire plus de calculs, que ce soit pou le client ou pour les serveurs derrière.
Pour le client, vu la puissance des machines, c'est plus que négligeable, donc il n'y a aucun inconvénient à chiffrer. Pareil pour un serveur qui reçoit peu de visiteurs.
En revanche, sur des grosses infrastructures comme celles de Wikipédia ou Google, si tous les visiteurs se mettent à chiffrer du jour au lendemain, ça va augmenter la charge, et nécessiter des investissements.

skhaen, le 07/09/2012 - 15:54

Dans ce cas là tu vérifies l'empreinte du site sur lequel tu es, des plugins font ça très bien.

Ca ne résouds pas le problème de la première connexion, qui doit être sûre.
Certains modes de fonctionnement de DANE pourraient répondre à ces problématiques, en espérant qu'ils soient déployés un jour : http://www.bortzmeyer.org/6698.html

Dans tous les cas, à moins de se passer d'autorité de certification (ce que permettent les deux derniers modes de DANE), ça ne protège pas contre l'autorité de certification si elle génère totalement le certificat (et le secret associé ) et en garde une copie.

Au boulot les https c'est systématiquement "Cette connexion n'est pas certifiée", super, le proxy qui signe lui-même un certificat maison...

Guss_, le 07/09/2012 - 15:13

En lisant "chiffrer les communication" dans le titre j'ai tout de suite penser à "Évaluer le montant de des communication" bref chiffre, et non pas "crypter les communication"

idem...

kholl, le 07/09/2012 - 15:15

VPN, TOR, .... vons devenir pour la majorité des internautes le minimum requis incessament sous peu....

VPN + TOR, c'est pas un peu overkill ?

VPN ou TOR ou autres.....

skhaen, le 07/09/2012 - 15:54

Dans ce cas là tu vérifies l'empreinte du site sur lequel tu es, des plugins font ça très bien.

Tu utilises quel plugin pour ça ?

En même temps, HTTPS n'empêche aucunement de voir à quelles pages on accède sur un site.

Mais enfin, moi je veux bien, VPN, Thor, https, et tout le toutim.

Mais vingt dieux, vous vous rendez compte de ce que ça veut dire???

On n'a qu'à tous, les humains, aller vivre dans le Vercors aussi, ou dans une cave.

Cette situation est inacceptable il me semble bien.
Il faut planifier le débarquement!

Certificate

kholl, le 07/09/2012 - 16:19

Tu utilises quel plugin pour ça ?

Certificate Patrol par exemple, tu peux le trouver ici : https://addons.mozil...ificate-patrol/

Merci Skhaen, c'est celui que j'utilise depuis un ptit moment....

Amicalement, personnellement je serais le 1er ravi de ne pas avoir à utiliser ces outils.... avoir à les utiliser est en soit scandaleux, j'suis bien d'accord avec toi.
Par contre pour le Vercors (j'adore cette région bordel) ça fait 5 ans que j'essaye en vain de convaincre ma compagne, si tu as des "pro-tips" j'suis preneur

fabien29200, le 07/09/2012 - 16:20

En même temps, HTTPS n'empêche aucunement de voir à quelles pages on accède sur un site.

Réponse courte : si.

Réponse longue : le client se connecte sur le serveur, négocie la sessions TLS (le reste est chiffré). La demande au serveur (page, envoi des cookies, du nom de domaine demandé, des données de formulaire) est faite ensuite.
Le FAI, lui, va juste voir qu'il y a eu une connexion HTTPS sur le serveur web ayant l'adresse IP ch.i.ff.ré

kholl, le 07/09/2012 - 16:37

Merci Skhaen, c'est celui que j'utilise depuis un ptit moment....

Amicalement, personnellement je serais le 1er ravi de ne pas avoir à utiliser ces outils.... avoir à les utiliser est en soit scandaleux, j'suis bien d'accord avec toi.
Par contre pour le Vercors (j'adore cette région bordel) ça fait 5 ans que j'essaye en vain de convaincre ma compagne, si tu as des "pro-tips" j'suis preneur

Se rapprocher d'Autrans.
Je répète.
Se rapprocher d'Autrans.

Autrans déjà essayer mec, pas moyen.... malgrès nos 3/4 visites annuelles....

J'ai même essayer "la méga montée" de grenoble à Autran ou (Villar je sais plus) à 50km/h en écoutant du bon vieux funk des familles.... fonctionne pas...

Ah...
Elle aime au moins le ski, piste ou fond, voire les ballades en raquettes?
La montagne?
Le "sauvage"?

Parce que sinon...

kholl, le 07/09/2012 - 16:45

J'ai même essayer "la méga montée" de grenoble à Autran ou (Villar je sais plus) à 50km/h en écoutant du bon vieux funk des familles.... fonctionne pas...

Rire

Voir mon post ci-dessus.

+ A part le Vercors, dans les Alpes, il y a des endroits cools et à à peine plus d'1 heure 30 de la méditerranée, et Marseille/Cassis, par exemple, si elle aime la mer. Hautes alpes.

kankan, le 07/09/2012 - 16:37

Réponse courte : si.

Réponse longue : le client se connecte sur le serveur, négocie la sessions TLS (le reste est chiffré). La demande au serveur (page, envoi des cookies, du nom de domaine demandé, des données de formulaire) est faite ensuite.
Le FAI, lui, va juste voir qu'il y a eu une connexion HTTPS sur le serveur web ayant l'adresse IP ch.i.ff.ré

Oui, mais je parlais en terme de logs. Sur mon site perso, lors d'un appel HTTPS, tous les accès sont listés dans le access.log.

Après, effectivement la transmission est chiffrée, ce qui fait que le FAI ne verra rien.

Je reposte ce que j'ai mis sur l'autre

Amicalement, le 07/09/2012 - 16:22

Mais enfin, moi je veux bien, VPN, Thor, https, et tout le toutim.

Mais vingt dieux, vous vous rendez compte de ce que ça veut dire???

On n'a qu'à tous, les humains, aller vivre dans le Vercors aussi, ou dans une cave.

Cette situation est inacceptable il me semble bien.
Il faut planifier le débarquement!

Je re-poste ce que j'ai mis sur l'autre news à ce sujet

je ne peux que constater encore et encore que les gouvernements de pays pourtant démocratiques, sont en train de tout faire pour faire la guerre à leurs propres citoyens. Nous assistons ainsi à une véritable course à l'armement numérique des deux cotés.
Et forcément à force de pousser des deux cotés, un jour où l'autre quelqu'un va finir par céder à cause de la pression et ça va forcément faire un très très gros boum.
Maintenant la question est de savoir qui va finir par céder.. Où plutôt savoir ce qu'il faut faire dès aujourd'hui pour que ça ne cède pas du coté des citoyens.

c'est quand que numerama passe en HTTPS ??

Il manque surtout un certificateur CA gratuit

Et Numerama, alors, c'est pour quand, le chiffrement ?

june, le 07/09/2012 - 17:01

Je reposte ce que j'ai mis sur l'autre

Amicalement, le 07/09/2012 - 16:22

Mais enfin, moi je veux bien, VPN, Thor, https, et tout le toutim.

Mais vingt dieux, vous vous rendez compte de ce que ça veut dire???

On n'a qu'à tous, les humains, aller vivre dans le Vercors aussi, ou dans une cave.

Cette situation est inacceptable il me semble bien.
Il faut planifier le débarquement!

Je re-poste ce que j'ai mis sur l'autre news à ce sujet

je ne peux que constater encore et encore que les gouvernements de pays pourtant démocratiques, sont en train de tout faire pour faire la guerre à leurs propres citoyens. Nous assistons ainsi à une véritable course à l'armement numérique des deux cotés.
Et forcément à force de pousser des deux cotés, un jour où l'autre quelqu'un va finir par céder à cause de la pression et ça va forcément faire un très très gros boum.
Maintenant la question est de savoir qui va finir par céder.. Où plutôt savoir ce qu'il faut faire dès aujourd'hui pour que ça ne cède pas du coté des citoyens.

Il me semble que l'histoire a maintes fois montré que les dictatures s'écroulent toujours, "cèdent" comme tu dis.

La question est pour moi : quel degré d'installation et quel niveau de dégâts peuvent elles atteindre avant que la VIE fasse son oeuvre libératrice?

Ma réponse : au plus tôt c'est entravé et détruit, au mieux c'est.

fabien29200, le 07/09/2012 - 16:56

Oui, tu as accès à cette information, car ton serveur est un bout de la connexion chiffrée.

Donc c'est logique qu'il y ait accès, et qu'il puisse tenir des logs avec les informations qu'il voit passer.
Petit rappel évident : le chiffrement ne protège que pendant le transport, il ne protège pas les deux bouts que sont le client et le serveur (autrement dit, le destinataire d'une lettre peut retirer l'enveloppe, et doit d'ailleurs le faire pour la lire, mais il ny a aucune garantie sur ce qu'il fera avec les informations contenus dans ladite lettre).

Dans le cas présenté, les serveurs de Wikipédia étant situés en dehors de la Grande-Bretagne, HTTPS permet de revenir dans une situation similaire à la normale : le FAI transporte en aveugle, et Wikipédia peut continuer à tenir des logs des visites pour eux-mêmes (s'ils le faisaient, mais je n'en doute pas), sans obligation de les fournir de manière systématique et automatique aux autorités britanniques.

Au boulot les https c'est systématiquement "Cette connexion n'est pas certifiée", super, le proxy qui signe lui-même un certificat maison...

Il faut se méfier !
En effet, certaines entreprises ont mis en place un MITM officiel.
En clair, même quand tu te connectes à ta banque en HTTPS, ton canal HTTPS n'existe qu'entre ton poste et le proxy et c'est un autre canal HTTPS qui est établi entre le proxy et la banque !
Même si elle est légitime cette pratique est perverse car la plupart du temps l'employé n'en est pas informé.
Et il n'a pas non plus les compétences pour déceler la manipulation (aller farfouiller dans les caractéristiques de la hiérarchie de certifs).

Seule parade : disposer d'un certificat client que le serveur de la banque DOIT vérifier avant de poursuivre. Mais quelle banque pratique ainsi avec ses clients particuliers ?
db

gsconnect, le 07/09/2012 - 15:24

déjà fait depuis longtemps, mais je m'attendais à du lourd.

à quand HTTPS sur numérama, c'est bien d'en parler c'est mieux de le faire et de montrer l'exemple.

+1

@fabien29200 : la requête étant chiffré tu ne sais pas quelle page a été demandée.

Gourmet, le 07/09/2012 - 17:21

Au boulot les https c'est systématiquement "Cette connexion n'est pas certifiée", super, le proxy qui signe lui-même un certificat maison...

Il faut se méfier !
En effet, certaines entreprises ont mis en place un MITM officiel.
En clair, même quand tu te connectes à ta banque en HTTPS, ton canal HTTPS n'existe qu'entre ton poste et le proxy et c'est un autre canal HTTPS qui est établi entre le proxy et la banque !
Même si elle est légitime cette pratique est perverse car la plupart du temps l'employé n'en est pas informé.
Et il n'a pas non plus les compétences pour déceler la manipulation (aller farfouiller dans les caractéristiques de la hiérarchie de certifs).

Seule parade : disposer d'un certificat client que le serveur de la banque DOIT vérifier avant de poursuivre. Mais quelle banque pratique ainsi avec ses clients particuliers ?
db

+1.

Sauf dans le cas du certificat client, les FAI auraient effectivement les moyens d'intercepter toutes les communications SSL, simplement en demandant un certificat "*" à installer dans leurs proxy-ssl. Ca nécessiterait probablement la complicité du gouvernement (déjà fait aux USA avec Verisign) , mais c'est 100% possible.

Certificate Patrol est bien sauf que en pratique il y a tellement d'alertes que tu cliques sur "OK" sans même faire gaffe, à la fin.

Et quand bien même t'aurais détecté le proxy.... t'est quand même baisé: Impossible d'aller sur le site visé, t'a juste empêché l'interception.

D'autre part, si une loi telle que celle qui est proposée en GB arrive et que du coup tout le monde chiffre, combien de temps croyez vous que va mettre pour arriver la loi qui dis que les FAI doivent bloquer les VPN (ou toute communication chiffrée) sauf sur les sites "autorisés" en liste blanche tel que amazon.com et apple.com ?

Le but même pas caché des FAI c'est de retourner au minitel - prélever une taxe (directe ou indirecte) sur toute transaction financière effectuée sur internet. On le sais, depuis longtemps, ils le disent assez souvent.

On sais TOUS ici ce qu'il y a a faire.

Amicalement, le 07/09/2012 - 17:11

june, le 07/09/2012 - 17:01

Je reposte ce que j'ai mis sur l'autre

Amicalement, le 07/09/2012 - 16:22

Mais enfin, moi je veux bien, VPN, Thor, https, et tout le toutim.

Mais vingt dieux, vous vous rendez compte de ce que ça veut dire???

On n'a qu'à tous, les humains, aller vivre dans le Vercors aussi, ou dans une cave.

Cette situation est inacceptable il me semble bien.
Il faut planifier le débarquement!

Je re-poste ce que j'ai mis sur l'autre news à ce sujet

je ne peux que constater encore et encore que les gouvernements de pays pourtant démocratiques, sont en train de tout faire pour faire la guerre à leurs propres citoyens. Nous assistons ainsi à une véritable course à l'armement numérique des deux cotés.
Et forcément à force de pousser des deux cotés, un jour où l'autre quelqu'un va finir par céder à cause de la pression et ça va forcément faire un très très gros boum.
Maintenant la question est de savoir qui va finir par céder.. Où plutôt savoir ce qu'il faut faire dès aujourd'hui pour que ça ne cède pas du coté des citoyens.

Il me semble que l'histoire a maintes fois montré que les dictatures s'écroulent toujours, "cèdent" comme tu dis.

La question est pour moi : quel degré d'installation et quel niveau de dégâts peuvent elles atteindre avant que la VIE fasse son oeuvre libératrice?

Ma réponse : au plus tôt c'est entravé et détruit, au mieux c'est.

Effectivement. A la fin c'est toujours le peuple qui gagne.
La question est de savoir si il va gagner dans 10 ans ou dans 1 siècle.
Donc si on ne veut pas attendre, il faut se réveiller tout de suite et ne pas se laisser faire.

june, le 08/09/2012 - 00:02

Amicalement, le 07/09/2012 - 17:11

june, le 07/09/2012 - 17:01

Je reposte ce que j'ai mis sur l'autre

Amicalement, le 07/09/2012 - 16:22

Mais enfin, moi je veux bien, VPN, Thor, https, et tout le toutim.

Mais vingt dieux, vous vous rendez compte de ce que ça veut dire???

On n'a qu'à tous, les humains, aller vivre dans le Vercors aussi, ou dans une cave.

Cette situation est inacceptable il me semble bien.
Il faut planifier le débarquement!

Je re-poste ce que j'ai mis sur l'autre news à ce sujet

je ne peux que constater encore et encore que les gouvernements de pays pourtant démocratiques, sont en train de tout faire pour faire la guerre à leurs propres citoyens. Nous assistons ainsi à une véritable course à l'armement numérique des deux cotés.
Et forcément à force de pousser des deux cotés, un jour où l'autre quelqu'un va finir par céder à cause de la pression et ça va forcément faire un très très gros boum.
Maintenant la question est de savoir qui va finir par céder.. Où plutôt savoir ce qu'il faut faire dès aujourd'hui pour que ça ne cède pas du coté des citoyens.

Il me semble que l'histoire a maintes fois montré que les dictatures s'écroulent toujours, "cèdent" comme tu dis.

La question est pour moi : quel degré d'installation et quel niveau de dégâts peuvent elles atteindre avant que la VIE fasse son oeuvre libératrice?

Ma réponse : au plus tôt c'est entravé et détruit, au mieux c'est.

Effectivement. A la fin c'est toujours le peuple qui gagne.
La question est de savoir si il va gagner dans 10 ans ou dans 1 siècle.
Donc si on ne veut pas attendre, il faut se réveiller tout de suite et ne pas se laisser faire.

Un très très mauvais signe de plus venant directement de Bruxelles.
http://owni.fr/2012/...n-du-terrorisme
Article bien informatif, où on trouve quelques "noms" "notamment...

Rajouté à tout le reste, je me dis que Quadrature est vraiment à côté de la plaque avec ses clés Usb et ses "tentations" de collaborer avec Lescure, ce que je regrette.

obcd, le 07/09/2012 - 19:07

..............

On sais TOUS ici ce qu'il y a à faire.

Il y a tellement de choses à faire et dans tant de domaines que je ne vois pas à laquelle tu penses en particulier...
:-)

Merci Skhaen, [...] si tu as des "pro-tips" j'suis preneur

--< [pub] http://cyphercat.eu [/pub] ;-)

kholl, le 07/09/2012 - 16:37

ça fait 5 ans que j'essaye en vain de convaincre ma compagne, si tu as des "pro-tips" j'suis preneur

[pub] http://cyphercat.eu [/pub]

tu as besoin de quoi ?