Vous n’êtes pas pret....!

RT sI TOua Ossi Tu EntORtIlle LEs fILs COMMe tU pE eT isOle O ScOTch de BurEAU

Envoyé par munch.imp le 15 septembre 2019 à 06h52

+ 9 -

_pepe_

Ce matin, j'ai le choix entre voir la page sans la vidéo (avec un vieux navigateur web) et ne rien voir du tout (certificat expiré).

HTTPS, ça devient pénible !

Et s'agissant d'un GIF, le WebM aussi !
Image de _pepe_
+ 12 -

john5 En réponse à _pepe_

"https ça devient pénible". Heu non, c'est un mécanisme de sécurité indispensable.
Le problème c'est juste qu'Alix est une grosse fainéasse qui oublie de faire son renouvellement.

À tous les coups, je parie qu'il va profiter de l'occasion pour nous redemander des dons le saligaud.
+ -3 -

_pepe_ En réponse à john5

Indispensable ?

Je ne vois aucun intérêt à sécuriser l'accès des pages dont le contenu est public et en lecture seule. Et de mon point de vue, la sécurisation des pages recevant des contributions qui ne portent pas à conséquence n'est pas non plus forcément une obligation.

Par exemple, sur mes sites web perso, tout ce qui est en accès libre continue d'être en HTTP, de même que les pages contenant des commentaires libres sur lesquelles j'exerce une modération régulière. Seules les pages ayant besoin d'une réelle sécurisation pour le site et pour les opérations des visiteurs (accès via login et mot de passe) sont en HTTPS. Certaines pages peuvent être chargées en HTTP ou en HTTPS, en fonction des opérations autorisées.

En l'occurrence, lorsqu'on visite LLB sans déposer de commentaire (ce que je fais souvent), l'accès HTTPS ne se justifie absolument pas.

De plus, rien ne dit que le système HTTPS soit fiable. Pour rappel, on en a déjà changé parce que le précédent présentait des failles (on ne s'en est aperçu qu'après des années d'utilisation). Il est fort possible que l'actuel en présente également, et même qu'elles soient déjà exploitées.
+ 7 -

john5 En réponse à _pepe_

Alors...

1) « de même que les pages contenant des commentaires libres sur lesquelles j'exerce une modération régulière »
Pas de SSL = usurpation d'identité possible. Donc toi ça te dérange peut-être pas qu'on puisse poster, aller pour aller tout de suite dans l'extrême, des commentaires glorifiant le nazisme ou bien de la pédopornographie en se faisant passer pour quelqu'un d'autre, ben.... moi ça me dérange.

2) « De plus, rien ne dit que le système HTTPS soit fiable. » Le protocole est la référence mondiale et donc largement utilisé, maintenu, testé et mis à l'épreuve. Si on regarde l'histoire du chiffrement, sur les 40 dernières années, de nombreux algorithmes de chiffrement ont été considéré comme la référence avant d'être cassés et remplacés par d'autre. Pourquoi c'est arrivé si souvent, parce que les connaissances en mathématiques était insuffisantes ? Pas forcément. Plutôt parce qu'on mesure la fiabilité d'un algorithme en le rapprochant de la puissance de calcul nécessaire pour le casser et qu'avec la loi de Moore ces algorithmes atteignaient leur limite rapidement à cause de l'augmentation exponentielle de la puissance des machines. Ceci étant dit on arrive en bout de courbe petit à petit et en toute logique, on met de plus en plus longtemps à casser les algos. Ça fait maintenant plusieurs années que la dernière version d'AES est utilisée et personne n'a réussi à le casser. Ça veut pas dire qu'on y arrivera jamais mais globalement les indicateurs sont au vert.

Après, on peut débattre là-dessus ad vitam eternam mais dans dans tous les cas le discours "c'est pas sûr à 100% donc ça sert à rien" est absurde.
+ -3 -

_pepe_ En réponse à john5

1) Non, ça ne me dérange pas, et SSL ne règle pas le problème dans ce cas de figure.

D'une part, l'identité réelle des contributeurs n'est jamais connue puisqu'ils utilisent tous un pseudo, et d'autre part, la règle établie est que je supprime toute intervention ne portant pas sur le sujet technique traité. Donc l'« usurpation d'identité » n'aurait aucun intérêt, et si elle advenait elle ne causerait aucun dommage ni chez les participants ni dans le fonctionnement normal de mon site. Le seul réel problème rencontré est le spam. Ma seule contrainte est de vérifier les ajouts qui me sont notifiés, et de fermer temporairement les sujets ouverts lorsque je suis durablement indisponible.

Mais la modération est une contrainte qui reste de mise sur les sites qui utilisent SSL et l'identification par login et mot de passe.

Je participe depuis des années à divers forums qui imposent à la fois l'un et l'autre, et ça n'empêche pas d'y retrouver régulièrement des pubs et des propos tenus pour illégaux, provenant même parfois de bots qui parviennent à passer les obstacles de la création d'un nouvel utilisateur. Cela n'a pas non plus empêché qu'une fois, un internaute (apparemment sud-américain) trouve mon mot de passe (par brute-force ?), usurpe mon identité et déverse des insanités en mon nom sur le forum (bien évidemment sans rapport avec les sujets traités). Le problème a été réglé en 10 minutes.

Donc non, dans ce cas de figure SSL n'est absolument pas obligatoire, pas plus qu'il n'est efficace.

2) Alors qu'il avait déjà été cassé, après la guerre le système Enigma a été vendu comme un système sûr à plusieurs pays dans le but de faciliter l'espionnage de leurs transmissions chiffrées. Alors que doit-on penser aujourd'hui d'un système de chiffrement imposé par la première puissance mondiale en matière d'espionnage ?

SSL était présenté comme infaillible, a été utilisé comme tel et testé durant des années... avant qu'on ne s'aperçoive incidemment de ses failles. Quid de la version actuelle ? Non seulement rien ne permet de dire que le chiffrement n'a pas déjà été cassé (peut-être même par ceux qui l'ont conçu), mais on n'est même pas forcé d'arriver à le casser pour contourner la sécurisation.

S'il est absurde de conclure qu'un système qui n'est pas à 100% sûr ne sert à rien, il est tout aussi absurde d'utiliser ce système contraignant quand aucune sécurisation n'est requise, ou encore de s'en remettre totalement à lui quand le besoin de sécurisation est essentiel.

Par ailleurs, HTTPS devient actuellement la pierre angulaire d'une censure qui repose sur le bon vouloir des éditeurs américains d'autoriser ou de refuser l'accès aux sites utilisant ce protocole.
+ 3 -

john5 En réponse à _pepe_

C'est pas parce que tu ne comprends pas la notion de sécurité et de protection que ça ne sert à rien. Quand à "contraignant", en quoi c'est contraignant ?! Tous les navigateurs sont compatibles et il faut 5 minutes pour le mettre en place côté serveur. La seule et unique contrainte est financière pour le certificat.
Quant au reste de ton discours c'est du complotisme bête et méchant, le même genre d'argument qu'utilisent les antivax « on peux pas être sûr des effets à 100% donc ça sert à rien ».
On parle de protocole ouvert, tout le monde peut vérifier comment ça marche et il y a même des récompenses financières très significatives pour encourager tout le monde à mettre les algos à l'épreuve. D'ailleurs, si SSL n'est pas sûr, tu utilises quoi pour sécuriser tes sites ?! Et attends 2s avant de répondre, je vais chercher du popcorn.
+ 3 -

Jackyzgood En réponse à john5 Lombric

Je suis d'accord avec toi à 99%, le dernier pourcent qui reste c'est qu'il n'est plus nécessaire de débourser de l'argent pour obtenir un certificat (voir ma réponse à _pepe_)

ps: tu me prends du popcorn aussi ?
+ 0 -

_pepe_ En réponse à john5

Ce qui est contraignant, c'est par exemple de devoir attendre qu'Alix renouvelle le certificat avant d'accéder de nouveau au site (encore heureux qu'il ne soit pas parti en vacances), ou encore de voir un site inaccessible faute de certificat valide parce que les américains ou leurs amis n'en supportent pas le contenu (j'avais d'ailleurs dénoncé le problème ici il n'y a pas longtemps). Utiliser SSL3 pour permettre la visualisation de son site sur les navigateurs américains récents, cela revient à demander l'autorisation à l'Oncle Sam, et à interdire aux visiteurs d'en utiliser les anciennes versions qui ne présentent pas les nouvelles restrictions.

Sinon, c'est sûr, tu dois t'y connaître en sécurisation pour qualifier de « complotisme bête et méchant » le fait de rappeler la situation à laquelle on fait réellement face. Ce genre de remarque passait encore il y a vingt ans, quand pratiquement personne ne croyaient aux attaques contre nos systèmes informatiques, et surtout pas de la part de nos alliés qui nous les fournissent. Pourtant depuis, des types comme Snowden ont fait parler d'eux, et de grosses affaires d'espionnage ne cessent de défrayer la chronique. Les américains ne sont bien évidemment pas les seuls concernés, mais force est de constater qu'en tant que principaux concepteurs des systèmes qu'on utilise, ils ont une longueur d'avance sur les autres.

Je vois que tu continues sur ton idée « on peux pas être sûr des effets à 100% donc ça sert à rien ». Tu ne sembles pas lire mes réponses.

Pour l'accès sécurisé des visiteurs à mes sites, j'utilise HTTPS (par la force des choses)... tu ne dois lire que ce qui t'intéresse, puisque je l'avais indiqué dans ma réponse à ton premier commentaire.

Mais ça n'empêche pas HTTPS d'être insuffisant pour sécuriser les systèmes classiques lorsqu'on en a réellement besoin. Et le fait d'avoir un protocole ouvert n'est absolument pas une garantie de fiabilité (je citerai par exemple la faille Heartbleed d'OpenSSL, dont ni la communauté de développeurs ni les utilisateurs ne se sont rendus compte durant ses années d'exploitation). Cela rend juste ses failles de conception ou d'implémentation plus facilement détectables et exploitables par des individus malintentionnés...

Donc pour les opérations personnelles réalisées à distance sur mes serveurs qui nécessitent un bon niveau de confidentialité (comme la maintenance ou les contrôles de sécurité) j'utilise des protocoles différents et des matériels spécifiques.
+ 5 -

Jackyzgood En réponse à _pepe_ Lombric

La sécurité informatique est un gros morceau ! Souvent sous estimé par la plus part des gens. L'utilisation du HTTP signifie que toutes les infos passent en claire et donc qu'un attaquant pourrait injecter du code malveillant dans les paquets qu'il intercepte. Je rappelle juste que le code javascript d'un site internet s'exécute sur ta machine ! Pas sur le serveur. En gros cela laisse la possibilité à un attaquant d'exécuter un peu tout et n'importe quoi sur ta machine. Je ne vois pas comment cette possibilité peut ne pas te déranger.

De plus maintenant il est très facile d'obtenir des certificats pour ses sites internet avec :
https://letsencrypt.org/fr/
Sous les distribution GNU/Linux il suffit d'utiliser certbot :
https://howto.w...sl-tls-certbot/

Quelques lignes de conf, quelques scripts et hop on a un certificat mis à jour régulièrement.

De mon point de vue HTTPS est un protocole indispensable, mais même si tu pense le contraire, je ne vois pas comment tu peux tenir cette position vu la gratuité, la simplicité de mise en place et de renouvellement proposé par les outils comme certbot. Tu vas expliquer à tes utilisateurs que tu ne sécurise pas leur connexion parce que tu ne veux pas suivre un tuto ?
+ 0 -

_pepe_ En réponse à Jackyzgood

Il est parfaitement ridicule de penser qu'on serait à l'abri d'une intrusion ou d'une prise de contrôle parce qu'on utiliserait HTTPS. En fait, une fois le réseau compromis, il est pratiquement aussi probable de subir les attaques que tu suggères que de succomber à l'exploit des nombreuses failles que recèlent nos systèmes soi-disant protégés (les solutions qui le permettent existent, sont régulièrement renouvelées, et font l'objet d'un business juteux).

La sécurité informatique est assurément un gros morceau, et il ne faut surtout pas croire qu'on a trouvé la panacée, surtout quand elle a été conçue par les plus gros pirates de la planète.

De plus, en ce moment tu te connectes forcément à LLB à l'aide d'un nouveau certificat... mais qu'est-ce qui te garantit que tu accèdes bien directement au site, sans intermédiaire qui vérole les transmissions ?... Et tous les scripts de « télémétrie » (doux euphémisme) que ta machine avale à longue de journée, quid de leur innocuité ?

En revanche, l'impossibilité effective d'accéder à des sites importants (notamment pour des raisons politiques) peut être beaucoup plus problématique que des cyber-attaques hypothétiques sur des terminaux. Ces dernières peuvent être combattues par des stratégies de sécurisations adéquates, alors que la première reste implacable.
+ 2 -

Jackyzgood En réponse à _pepe_ Lombric

Écoute, ce n'est pas que je n'ai pas envie de te lire, mais tu raisonne à l'envers et ça n'avance à rien ... Je me suis arrêté à la phrase :

"En fait, une fois le réseau compromis"

Bien sûr que si le réseau est compromis l'attaquant peut faire tout et n'importe quoi ! La question n'est pas qu'est ce qu'on fait une fois que le réseau est compromis ? Mais : que doit-on faire pour minimiser les attaques afin que le réseau ne soit pas compromis ?

Bon j'ai quand même pris mon courage à 2 mains pour continuer la lecture, mais ... franchement ... je suis désolé de te dire ça, mais tu ne comprends pas comment fonctionne un certificat.

Regarde cette vidéo :
https://video.m...0c-db77eea460f3
reviens discuter après, et répète moi la phrase :

"mais qu'est-ce qui te garantit que tu accèdes bien directement au site"
+ 1 -

_pepe_ En réponse à Jackyzgood

Ça fait des années que je sais comment fonctionnent les certificats SSL. C'est juste toi qui n'en vois pas toutes les implications. Tu devrais t'intéresser d'un peu plus près aux exploits réussis concernant ce protocole.
+ 2 -

Jackyzgood En réponse à _pepe_ Lombric

Euh ... excuse moi mais je ne vois pas trop où tu veux en venir ? Tu pense que je crois que ce système est parfait ? Bien sûr que non, je sais que le code est fait par des humains et que forcément des erreurs peuvent s'y glisser. Mais tu laisse penser que : parce qu'il y a des exploits réussi alors il ne faut plus utiliser ce protocole ? Dans ce cas j'imagine que tu n'as aucune serrure dans ta maison, ni sur ta voiture ou de cadenas sur ton vélo etc ... Car tous ces systèmes peuvent être déverrouillés sans posséder la clef.

La question de la sécurité est toujours la même de quoi/qui veut-on se protéger. Si on prend le cas de la porte de la cuisine d'un restaurant, une simple pancarte "réservé au personnel" suffit. Si c'est pour une zone qui nécessite une sécurité supérieure, on peut ajouter un verrou avec un badge RFID.

Pour en revenir au HTTPS, c'est une couche de sécurité qu'on peut rajouter. Cependant comme je l'ai écris dans mon poste précédant, aujourd'hui il existe des outils libres et gratuit permettant d'obtenir des certificats, des scripts pour les renouveler automatiquement. Le coût financier est tombé à 0 et le coût en installation et maintenant presque à 0. La question reste donc ouverte : comment justifier la non-utilisation d'une couche de sécurité qui a un coût quasi nul ?
+ 0 -

_pepe_ En réponse à Jackyzgood

Pour revenir sur ton précédent commentaire, si le réseau n'est pas compromis alors l'utilisation HTTP n'est pas problématique, et comme tu l'admets toi-même « si le réseau est compromis l'attaquant peut faire tout et n'importe quoi » avec une forte probabilité. Et dans ce dernier cas, pour être efficace la ligne de front de la sécurisation ne se situe plus vraiment au niveau du réseau.

Par ailleurs, ce n'est pas juste parce que quelque chose est gratuit qu'il faut absolument s'en servir. Comme il me semble l'avoir déjà suggéré, l'utilisation de HTTPS n'est pas sans inconvénients. (C'est aussi le cas de la plupart des outils de sécurisation qu'on nous propose « pour notre bien », sauf que contrairement à HTTPS, les visiteurs des sites sont généralement libres de ne pas les utiliser.)

Ainsi ce matin on a pu constater un problème d'accès à LLB. J'ai également évoqué les problèmes d'accès à certains sites (du fait de certificats révoqués pour des raisons politiques, juridiques ou commerciales). De plus, les évolutions de SSL imposent la mise-à-jour des logiciels, des OS et des matériels, qui s'accompagne incidemment d'un renouvellement de leurs failles de sécurité et de leurs instabilités, et qui participe à l'obsolescence programmée des systèmes : tout cela représente un surcoût et des tracas supplémentaires. Le recours à SSL impose également que les clients se connectent à un site (soi-disant) « de confiance », dont on sait que la sécurité peut être sujette à caution, et dont l'éventuelle implantation outre-Atlantique peut aujourd'hui suffire à faire tomber les utilisateurs ou leurs sociétés sous la juridiction du DoJ étasunien en vertu du principe d'extraterritorialité du droit américain, avec potentiellement des conséquences catastrophiques du genre de celles qu'on a connues dans l'affaire Alstom, par exemple. Ces connexions peuvent à l'occasion aussi servir à tracer les utilisateurs et à connaître leurs activités en ligne. Je terminerai en évoquant ce qui s'est passé sur l'Internet du Kazakhstan au mois de juillet, et les réactions des éditeurs de navigateurs américains, qui me semblent bien démontrer les possibilités d'ingérence, de censure et donc de privation de liberté offertes par ce merveilleux protocole...
+ 0 -

Jackyzgood En réponse à _pepe_ Lombric

"si le réseau n'est pas compromis alors l'utilisation HTTP n'est pas problématique"
Je pense qu'il faut qu'on se mette d'accord sur ce qu'on entend par compromis et de quel réseau on parle. Car j'ai comme l'impression qu'il y a un malentendu.

Il y a le réseau local, depuis lequel on peut administrer le serveur (on peut aussi l'administrer depuis l'extérieur, mais là on utilise généralement ssh, donc ce n'est pas le sujet)

Le réseau externe depuis lequel on peut communiquer avec le serveur. Donc internet dans son ensemble.

Quand un réseau est compromis on peut estimer que l'attaquant est en mesure d'intercepter des paquets et les modifier.

Si le réseau local est compromis, parce que l'attaquant a exploité une faille, il est clair que HTTPS ne servira à rien du tout.

Pour ce qui est d'internet, on sait que les tentatives d'attaques sont plus que nombreuses et que potentiellement les paquets envoyés sur ce réseau sont visible par tous. Donc dans le cas d'utilisation du protocole HTTP, tu peux considéré que le réseaux est compromis. Dans le cas de l'utilisation de HTTPS, les paquets peuvent toujours être intercepté, mais sans la clef appropriée il n'est pas modifiable.

"De plus, les évolutions de SSL imposent la mise-à-jour des logiciels, des OS et des matériels, qui s'accompagne incidemment d'un renouvellement de leurs failles de sécurité et de leurs instabilités, et qui participe à l'obsolescence programmée des systèmes : tout cela représente un surcoût et des tracas supplémentaires."

Je suis entièrement d'accord avec ça, mais cette remarque n'est pas spécifique à l'utilisation de SSL. Peut importe le logiciel, le protocole ou le langage que tu utilise en informatique, ça évolue. Ce qui peut entraîner des mise à jours logiciels, de l'OS etc ... Ce n'est donc pas un bon argument si tu veux me montrer qu'il faut moins souvent utiliser SSL. Ce paragraphe incite plutôt à se passer de tout ce qui touche à l'informatique parce que ça évolue et que ça engendre des surcoûts et tracas supplémentaires.

Pour le reste de ton message tu ne parles pas du protocole HTTPS, mais des agissements de différents gouvernements. C'est pas la faute au protocole si les dirigeants Kazakhstan se sont mis en tête d'imposer des certificats frauduleux, ou que les USA veulent mettre leur nez partout. Au contraire on remarque que ce protocole à plutôt tendance à les emmerder vu les mesures qu'ils prennent.
+ 0 -

_pepe_ En réponse à Jackyzgood

En toute rigueur, il est tout aussi faux de penser qu'Internet serait un réseau où tout le monde voit le trafic de tout le monde, que de considérer qu'un réseau local accueillant des équipements classiques serait isolé du réseau extérieur auquel il est connecté. Ainsi, mon propos n'est pas que HTTP n'aurait absolument rien à craindre, mais qu'au travers d'un réseau régional et pour une configuration identique, ce n'est pas en utilisant HTTPS qu'on aura beaucoup plus de chances de résister à des individus déterminés équipés de kits d'intrusion proposés par certaines sociétés spécialisées. En d'autres termes, le sentiment de sécurité apporté par l'usage de ce protocole est une illusion, et si une véritable sécurisation du terminal est nécessaire (ici je ne parle pas de la sécurisation des données transmises), alors elle doit être réalisée autrement et ailleurs.

Concernant les évolutions de SSL, il se trouve qu'elles sont pour ma part la seule cause de plus de 20000€ de rachat de matériels, plus des frais de re-développement, de tests de non-régression, de déverminage et de sécurisation dont je ne vois pas encore le bout. A contrario, pour certaines tâches n'impliquant pas ce protocole, j'arrive encore à utiliser du matériel vieux de 15 ans avec des logiciels mis à jour a minima, stabilisés, sécurisés et largement rentabilisés.

Même si la plupart des évolutions sont inévitables, le fait qu'elles arrivent trois fois plus vite finit par tripler le prix à payer. C'était juste pour dire que ce qui est « gratuit » peut finalement coûter fort cher, et que ce n'était pas donc pas un critère de choix pertinent.

Au Kazakhstan, le gouvernement et les américains se font la guerre par protocole HTTPS interposé, et ce sont les internautes kazakhs qui en font les frais. C'était un exemple de la capacité de nuisance de ce protocole, qui peut être utilisé comme une arme contre les libertés d'une population ou contre la souveraineté d'un pays étranger ou de toute autre organisation indépendante. Ce n'est pas anodin.

Si le protocole HTTPS pose ce problème particulier, c'est parce qu'il est subordonné à des personnes et à des équipements qui n'ont rien à voir ni avec l'utilisateur final, ni avec les sites qu'il visite, ni avec les réseaux qui les relient, et parce qu'il se généralise pour devenir la norme unique sans que les utilisateurs finaux n'aient leur mot à dire (contrairement au choix de leurs serveurs DNS, par exemple).

Alors qu'à l'origine Internet a été conçu pour être résilient, les américains y insère actuellement de plus en plus de dispositifs leur permettant d'en « éteindre » certaines parties à distance. Ce phénomène inquiétant mérite assurément qu'on prenne des contremesures.
+ 1 -

Sekhmet En réponse à _pepe_ Vermisseau

J'ai eut exactement la même chose que toi. Donc ça me rassure: c'est "normal" .
+ 1 -

pao Vermisseau

C'est le certificat qui n'est plus valable.
Débute le 17 juin 2019, expire le 15 septembre 2019

Avec un click droit sur la vidéo et accepter le risque d'un certificat échu, ça fonctionne
(sur firefox / macosx)
+ 0 -

_pepe_ En réponse à pao

Chez moi je n'ai même pas accès à la page (et donc encore moins à la zone de la vidéo), et passer outre l'absence d'autorisation n'est plus proposé. Quant aux versions assez anciennes qui le permettent, celles dont je dispose ne savent pas lire le fichier.
+ 1 -

AlrX02 En réponse à _pepe_ Vermisseau

Avec la dernière version de Firefox (69) c'est possible, je l'ai fait ce matin
Il a fallut que j'autorise la page puis la zone d'image/vidéo
+ 1 -

Cloudh Vermisseau

Rip la V2, vite la V3!
+ 14 -

BonPublic Vermisseau

Le fil rouge avec le fil rouge, malheureux !
+ 5 -

alextazy0 En réponse à BonPublic Asticot

woah ça fait tout drôle un commentaire qui comment effectivement le post après tout ça.
Inscrivez-vous ou Connectez-vous pour envoyer un commentaire
32