Fermer

Lampes à lave de sécurité

Une société sécurise les données grâce au mouvement aléatoire des lampes à lave

Envoyé par Jamy le 4 janvier 2021 à 12h40

Précédent

Touche Q ou GAUCHE pour passer au fichier précédent

20 commentaires

         

 

Tri par popularité  

  Tri chronologique

Suivant

Touche D ou DROITE pour passer au fichier suivant
+ 4 -

Batmangouste Vermisseau

Image de Batmangouste
Il y a 4 ans
+ 2 -

airelle Jeune lombric

Tapez "lava lamp" sur votre site de boules préféré, et vous verrez que l'on ne sécurise pas que les données avec cet objet...
Il y a 4 ans
+ 5 -

aerthas51 En réponse à airelle Vermisseau

la finalité est de savoir ce qui t'as amené à découvrir ce genre de pratique... ?
Il y a 4 ans
+ 10 -

Ayumii En réponse à aerthas51 Jeune lombric

décoré son intérieur peut être ^^
Il y a 4 ans
+ 15 -

BonPublic En réponse à airelle Vermisseau

Rien !
Image de BonPublic
Il y a 4 ans
+ 3 -

MarcusKhaine En réponse à BonPublic

GG!
Il y a 4 ans
+ 0 -

lebaud07 En réponse à BonPublic

Il y a 4 ans
+ 1 -

BarneyGumbles Lombric Shaolin

J'adore la chaîne de ce mec
Il y a 4 ans
+ 1 -

_pepe_

Je ne peux m'empêcher de sourire quand le type de CoudFlare parle de sécurisation SLL, puisque ces dernières années, la découverte successives de graves failles de sécurité ont obligé à changer plusieurs fois ce protocole.

Donc, en dépit du discours rassurant de la firme américaine, on sait que jusqu'à la sortie de la version actuelle (TLS v1.3), la sécurité des services qu'elle offrait pouvait être mise à mal. Et au train où vont les choses, il n'est pas impossible qu'on découvre encore de nouvelles failles.

Par ailleurs, la sécurité des échanges ne se limite pas à empêcher qu'un acteur extérieur puisse lire ou modifier les contenus transférés. Le fait de dépendre d'un tiers de confiance pour les réaliser pose également aux utilisateurs des problèmes de confidentialité de leurs activités (e.g. possibilité pour le tiers de confiance de savoir qui se connecte à quel site et à quel moment) et d'accessibilité (e.g. impossibilité de consulter un site parce que les éléments nécessaires à l'autorisation n'ont pas été fournies ou ont été invalidées par le tiers de confiance).

En fait de sécuriser le web à l'aide HTTPS, les firmes impliquées se sont dotées des moyens de surveiller et d'interdire à l'autre bout du monde des échanges qui ne les concernent pas.

(NB: vous accédez à ce site en HTTPS grâce à la firme américaine Let's Encrypt.)
Il y a 4 ans
+ 0 -

AlexKevler En réponse à _pepe_ Jeune asticot

Oulà, oulà, doucement...

Y'a beaucoup de choses assez floue dans ce que tu racontes là.

Déjà non : le tiers de confiance ne peut pas savoir où on se connecte avec le certificat qu'on utilise et qui a été délivré par ce dernier.
Il faudrait qu'il fasse du MitM (Man in the Middle) pour récupérer le trafic, et là oui, il pourrait déchiffrer le trafic.
OK, CloudFlare émet des certificats SSL auto-signés, en et passant par ce service, ils peuvent regarder le trafic. D'un côté, c'est exactement le service qu'ils proposent et vendent (entre autres, du firewall applicatif).

Ensuite, les différentes failles qui ont pu avoir lieu dans les intégrations TLS et feu SSL avaient malgré tout un champ d'application difficilement utilisable, et on a pas eu vent d'attaques d'envergures profitant de ces failles (pour avoir testé, c'était quand même compliqué à mettre en place, et l'extraction des données était limité). Y'a peut-être que Yahoo avec la faille Heartbleed qui a été "le plus touché" et où l'information a fait du bruit.
Les plus grosses failles envers le SSL étant en réalité dans sa mise en application: un serveur peut très bien mettre en place du SSL, mais si par exemple l'application mobile est configurée pour ne pas s'assurer que le certificat SSL grâce à laquelle elle communique avec le serveur est le vrai certificat, ben là c'est le drame.
C'est pour ça qu'on a le HSTS, et qu'un bon admin réseau/web l'applique systématiquement (ce qui entres autres cause l'impossibilité d'installer un proxy d'entreprise qui outrepasse les certificats SSL des sites ; pour l'avoir vécu avec une grosse boîte à qui on a vendu notre produit, on a réussi à les faire plier pour nous qu'ils nous whitelist)
Surtout, ce n'est pas le SSL ou le TLS qui étaient faillibles : c'est leurs implémentations (OpenSSL pour ne citer que lui). Le protocole de base en terme de design est sûr. Par contre le fait d'avoir utilisé des clés faibles en longueur permettait de les péter facilement (merci l'évolution des cartes graphiques et des cloud pas cher utilisable à l'heure).

Let's Encrypt est certes américain, mais c'est une société à utilité publique soutenue par la Fondation Linux, et maintenue aussi par l'EFF (Electronic Frontier Foundation, qui ne sont pas réputés être les plus doux envers les gouvernements ou les grosses boîtes).

On peut dire ce qu'on veut, mais grâce à ce genre d'intiative, le Web est malgré tout plus sûr qu'il y a une dizaine d'année, où il suffisait pour un gars lambda de se connecter sur un réseau Wifi public et choper à tour de bras des cookies de session ...
Il y a 4 ans
+ 0 -

_pepe_ En réponse à AlexKevler

Comme on parle de CloudFlare, il s'agissait bien d'OpenSSL.

J'ai peut-être fait trop de raccourcis en cherchant à évoquer le problème sans en écrire une tartine. Il n'empêche que HTTPS est actuellement mis à profit pour effectuer des recoupements entre les sites visités et leurs visiteurs de façon plus efficace et systématique que pour les connexions non sécurisées, et que le système étant majoritairement aux mains des Américains, ce sont eux qui récupèrent généralement ces informations. Quoi qu'il en soit, plusieurs affaires dans lesquelles ils ont dû avoir recours à l'espionnage de connexions sécurisées ont démontré qu'ils l'ont bien fait. La dernière version du protocole est censée interdire cela, et c'est d'ailleurs la raison invoquée par les autorités chinoises pour refuser de l'adopter (bien que ce ne soit probablement pas la seule vraie raison ; de plus, si les Américains trouvent intérêt à mettre fin à cette possibilité, c'est certainement parce qu'ils ont déjà trouvé d'autres astuces pour continuer à récupérer ces mêmes infos).

Je ne parlais pas d'aller jusqu'à récupérer et déchiffrer le contenu du trafic, mais il est un fait que la possession de parties essentielles de l'infrastructure Internet par des entreprises américaines (particulièrement dans des pays comme la France) leur offre de nombreuses possibilités pour faire du Man in the Middle. Plus généralement, les firmes américaines sont les principales pourvoyeuses de moyens logiciels et matériels (au moins pour leur conception) qui permettent à leur pays d'observer et d'agir à distance pratiquement partout dans le monde.

Contrairement à ce que tu penses, Internet n'est pas plus sûr qu'il y a dix ans, même s'il est devenu plus difficile pour le premier clampin venu de s'improviser pirate. Ce qui a changé c'est que, d'un côté, l'usage d'Internet a été rendu beaucoup plus incontournable et les moyens d'y accéder plus spécifiques, et que de l'autre, ceux qui en ont le contrôle mettent tout en œuvre pour être les seuls à en exploiter les failles. En fait, pour les grandes puissances, Internet est devenu un champ de bataille qu'aucune ne souhaite sécuriser ni pacifier, parce qu'elles y trouvent un moyen d'atteindre leurs adversaires, leurs propres populations et celles des autres. Face à cela, même les fondations et les associations les plus honnêtes ne font pas le poids.
Il y a 4 ans
+ 1 -

shikamo En réponse à _pepe_ Vermisseau

Perso, ce qui m'interroge le plus, c'est les méthodes qu'il présente pour faire de l'aléatoire. Le côté aléatoire des "lava lamps" est intuitivement convaincant, mais on a parfois des mauvaises surprises statistiques. Idem pour le bruit des caméras dont on sait qu'il est très généralement gaussien. Sans parler du fait que c'est super lent comme processus. Je me demande si ses lampes passent les Diehard tests ( https://en.wiki...i/Diehard_tests ).
Il y a 4 ans
+ 0 -

_pepe_ En réponse à shikamo

La question est très pertinente.

Malheureusement, il faut craindre que, s'il a effectivement une possibilité de prévoir (dans une certaine mesure) les résultats de ce type de générateur aléatoire, certains en profitent pour mettre à mal la sécurisation qu'il est censé procurer au lieu d'en révéler les failles.

L'histoire regorge de systèmes de cryptographie qui, présentés comme inviolables, ont continué à être utilisés après avoir été cassés. On a aussi connu nombre d'entreprises œuvrant dans le domaine de la sécurisation qui étaient en fait des antennes de services d'espionnage.

On en a encore eu quelques exemples récemment :
https://www.jou...uisse-cryptage/
https://www.zdn...ia-39913885.htm
Il y a 4 ans
+ 3 -

Pigeon35 Jeune lombric

Donc finalement c'est pas du bullshit cet épisode de NCIS ?
Il y a 4 ans
+ 0 -

Kyara En réponse à Pigeon35 Vermisseau

Jme suis dit pareil x)
Il y a 4 ans
+ 3 -

Peevee LoMBriK addict !

Image de Peevee
Il y a 4 ans
+ 1 -

Snark LoMBriK addict !

Bonjour la consommation pour simplement générer de l'aléatoire...
Ca fait longtemps qu'il existe des générateurs de nombre aléatoire matériel, se basant sur une multitude de phénomènes physique... Et ça coute certainement moins cher.
Il y a 4 ans
+ 1 -

Gu0sur20 En réponse à Snark Vermisseau

Laisse tomber, c'est pour la télévision française
Image de Gu0sur20
Il y a 4 ans
+ 0 -

TheMetroidPrime Verxit

Vu la taille de la boite, ça m'étonne qu'ils n'aient pas de générateurs de nombres aléatoires basés sur des phénomènes quantiques.
C'est pourtant vraiment pas difficile. Vous pouvez le faire vous-même avec un simple compteur Geiger branché sur un PC.
Il y a 4 ans
+ 1 -

capitaine_rectum Vermisseau

c'est carrément glucose
Il y a 4 ans
Inscrivez-vous ou Connectez-vous pour envoyer un commentaire
54