IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles ?
    Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles aujourd'hui ?

    Les réseaux privés virtuels (ou VPN, pour Virtual Private Network) sont actuellement largement utilisés de par le monde. Ils sont censés fournir une protection des données échangées entre deux réseaux locaux, en chiffrant les informations qu'ils échangent via un "tunnel". Les données transitent sur le Net en version cryptée et ne sont théoriquement décodables que par les réseaux locaux expéditeurs et destinataires, seuls possesseurs du code permettant de les déchiffrer.

    Des sites très populaires s'appuient sur des VPN basés sur le protocole PPTP pour garantir l'anonymat de leurs utilisateurs. Par exemple, le fameux IPREDator de The Pirate Bay.

    Récemment, un chercheur se faisant appeler "Agent Kugg", s'est attaqué à ce VPN, tout en précisant que les autres services du même type étaient également vulnérables aux failles qu'il a présentées.

    Donc, dans le cas de The Pirate Bay, il raconte avec quelle facilité il a pu casser la clé d'encodage des transmissions. Il lui a suffit de quelques minutes, "tout le monde peut le faire", ajoute-t-il.

    Il explique que comme le VPN est considéré comme un réseau local, il peut permettre à un autre utilisateur du même VPN de récupèrer le nom et l'adresse MAC de votre ordinateur.

    Ensuite, rien de plus facile pour l'individu, s'il est mal intentionné, que de récupérer votre identifiant et votre mot de passe VPN et d'accèder ainsi à toutes vos données partagées.

    Cette faille d'une simplicité extrême n'est pourtant pas la pire, d'après le chercheur.

    De plus grands risques encore viendraient des connexions via une IPv6. L'agent Kugg explique : en cas de connexion à un contenu hébergé en ligne avec une IPv6, si la machine est compatible (Windows Vista, 7, etc.) elle répondra en envoyant la véritable adresse IP de l'internaute ainsi que son adresse MAC.

    Cette technique est notamment utilisée sur Bit Torrent pour identifier les personnes coupables de téléchargements illégaux.

    Certaines firmes et agences gouvernementales exploitent ces failles pour obtenir l'identité de contrevenants ou de toute autre personne qu'ils ciblent. De quoi faire peur.

    Comment s'en prémunir ?

    La seule solution actuellement consiste à désactiver le support de l'IPv6 pendant le surf, explique le spécialiste tout en rappelant qu'un firewall local sera impuissant à contrer cette vulnérabilité, puisque le VPN et les données en provenant sont considérées comme dignes de confiance.

    Alors comment être anonyme sur le Net aujourd'hui ?

    Source : L'intervention de l'Agent Kugg lors de la Telecomix Cyphernetics Assembly en Suède (à partir de 2h17 dans la vidéo) : http://bambuser.com/channel/telecomix/broadcast/832366

    L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc.
    Toutes sont utilisées par les gouvernements. Que pensez-vous de l'utilisation de ces failles par les autorités ?

    Comment surfer et échanger des fichiers de manière anonyme et fiable ?

  2. #2
    Membre éclairé
    Avatar de buzzkaido
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juillet 2004
    Messages
    821
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2004
    Messages : 821
    Points : 734
    Points
    734
    Par défaut
    Si mes souvenirs sont bons, ce n'est pas la première fois que des failles sont découvertes sur le protocole PPTP.

    Par contre, je me demande bien ce qu'il en est du protocole OpenVPN ?

    L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc.
    Si on est connecté via un VPN qui fait bien son boulot, l'exploitation d'une faille FTP/Flash/autre renverra toujours l'identité du VPN, non ?

  3. #3
    Membre averti
    Avatar de alex61
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    Mai 2010
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Canada

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2010
    Messages : 378
    Points : 392
    Points
    392
    Par défaut
    Comment surfer et échanger des fichiers de manière anonyme et fiable ?
    proxy , non ?

  4. #4
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    proxy , non ?
    Proxy, I2P, TOR, VPN ou simple redirection de ports via ssh.

    Son argumentation sur IPV6 me parait douteuse.

    Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

    Quant à l'IPv6, le risque vient surtout du fait qu'on peut en attribuer une immuable par personne. Mais est-ce le cas actuellement ?

  5. #5
    Membre régulier
    Homme Profil pro
    IT in outer space
    Inscrit en
    Novembre 2006
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : IT in outer space

    Informations forums :
    Inscription : Novembre 2006
    Messages : 88
    Points : 96
    Points
    96
    Par défaut
    Je ne sais pas exactement comment marche un VPN mais si ça fonctionne comme un réseau local alors les adresses MAC sont diffusées sur le réseau privé virtuel. En tout cas ça dépend si on fait aussi transiter les requêtes ARP je pense. Mais bon c'est une hypothèse. J'en sais rien en fait.

  6. #6
    Invité
    Invité(e)
    Par défaut
    Je n'utilise pas de protocole d'échange crypté. Il me semble que les notions de protocole et de cryptage sont subtilement antinomiques. Si le protocole est vraiment incassable, on risque de se voir accusé de passer dieu sait quoi , si il est trop cassable, il ne sert à rien.

    Je transporte mes données sensibles sur clé usb après cryptage par AxCrypt au cas ou on ma clé se ferait détourner...

    Mais quid d'utiliser ce type de logiciel sur machine locale avant d'envoyer quoi que ce soit sur la ligne... Un serveur d'échange n'est-il pas par définition une passoire ??

    Si ça se trouve, le pirate possède le sniffeur qui décrypte automatiquement le protocole machin bidule, pas de pot !! Si ça se trouve, il n'a jamais entendu parler de cryptage et il ne sait pas que ça existe, il utilise juste le BON sniffeur

    La sécurité est un sujet bizarre qui révèle souvent la personnalité de ceux qui en parlent. L'internet n'est PAS sûr !! il ne l'a jamais été et ne le sera jamais. Le disque dur d'une machine connectée à l'internet est un poil plus sûr mais pas de beaucoup, à condition d'avoir installé des suites de sécurité qui sont -du moins je l'espère- franchissables par les services de MON gouvernement (le mien à moi). Pour être vraiment peinard , il faut une machine protégée et déconnectée sur laquelle on peut décrypter les fichiers, bosser avec , ré-encrypter.
    Le reste est un peu du vent.
    Ou bien la sécurité des échanges relève d'une hierarchie qui dit : encrypte avec xyz.exe car tout le monde le fait. Dans ce cas, je suis déresponsabilisé du problème et si des données vont là où il faut pas, je me contenterai de dire que j'ai suivi la "procédure"...
    Mais voilà, personne ne veut en parler et encore moins prendre une responsabilité en cas de problème. Donc , la procédure , c'est @minima et si possible , elle provient d'un livre qui permettra à l'admin de dire qu'il a "appliqué la procédure du livre"..

    Il y a ce vieux truc du gars qui roule sur un vieux bicloune pourri pour ne pas se le faire piquer. Profil bas. L'air de rien. S'il est une politique de sécurité qui fonctionne , elle passe en tous cas par un minimum de discrétion..

    La paranoïa n'est pas une façon de vivre. Aussi faut il réfléchir à tout cela un bon coup, appliquer les règles et ne plus y penser.. jusqu'à ce qu'on les change
    Dernière modification par Invité ; 24/06/2010 à 15h04.

  7. #7
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Firwen Voir le message
    Proxy, I2P, TOR, VPN ou simple redirection de ports via ssh.

    Son argumentation sur IPV6 me parait douteuse.

    Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

    Quant à l'IPv6, le risque vient surtout du fait qu'on peut en attribuer une immuable par personne. Mais est-ce le cas actuellement ?
    Pas dans un avenir prévisible, il faudrait s'enregistrer en préfecture au service des cartes grises IP Alors l'adresse v6 vous serait attribuée à vie et tamponnée sur le permis de respirer ...

    Quel que soit l'argument il faudra des lustres pour que notre administration comprenne les subtilités d' ipv6.

    Anyway, il faudrait changer de profil pour chaque utilisateur d'une machine, ce qui suppose une identification à chaque accès ou un changement drastique de la quincaillerie informatique actuelle. L'ironie du sort est qu'on utilise ipV6 en s'iposant les mêmes contraintes qu'avec V4 , DHCP etc..

    L'attribution dynamique d'ip est tellement entrée dans les moeurs que toutes les procédures gouvenementales s'appuient dessus. Il faudrait un electrochoc terrible pour que ça évolue. En attendant V6 offre un surcroit d'adresses que les pro pourront exploiter en donnant un ip fixe à tous les devices.. Pour les humains , il faudrait mettre à jour l'administration , quand je vois le temps qu'il a fallu pour que les sites web ne relèvent plus de la loi sur le dépôt légal datant de François Premier.... V6 restera un havre pour les éditeurs, les geeks et peut être les pirates ! (qui bossent aussi parfois je suppose)
    Dernière modification par Mejdi20 ; 24/06/2010 à 16h50.

  8. #8
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    Pas dans un avenir prévisible, il faudrait s'enregistrer en préfecture au service des cartes grises IP Alors l'adresse v6 vous serait attribuée à vie et tamponnée sur le permis de respirer ...
    C'est pas si simple, de nos jours les pc ont une IP, les téléphones ont une IP, les box TV ont une IP, même certaines voitures ont une IP.

    Une attribution une IP par personne est impossible, une pool d'ip par personne serait déja plus envisageable.
    Mais une attribution pareil serait un magnifique nid à problème :
    Comment faire lorsque le pc change d'utilisateur ? dans le cas d'un device mobile ? d'un device partagé ( TV, auto, etc) ? ou comment identifier un pc qui se connecte à une borne ?
    Sans parler des problèmes en cas d'utilisation d'une Ip qui n'est pas la notre .

    Ah moins que nos brillants dirigeants decident de perséverer dans la stupidité ( Hadopi... ), l'allocation dynamique reste la meilleure solution même en V6.

  9. #9
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Mai 2002
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2002
    Messages : 258
    Points : 610
    Points
    610
    Par défaut
    Citation Envoyé par Firwen Voir le message
    Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.
    Le problème c'est que l'adresse MAC de la machine est utilisée pour former l'adresse IPv6 (cf Wikipédia), donc l'adresse MAC risque de se retrouver également sur la couche réseau .

  10. #10
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    Le problème c'est que l'adresse MAC de la machine est utilisé pour former l'adresse IPv6 (cf Wikipédia), donc l'adresse MAC risque de se retrouver également sur la couche réseau
    Merci j'avais zappé cette possibilité.

    Ceci dit, ce n'est pas une obligation de générer les adresses v6 à partir du MAC de la carte réseau, c'est juste une possibilité.

Discussions similaires

  1. Quitter une entreprise avec des données confidentielles est-il un délit ?
    Par Stéphane le calme dans le forum Actualités
    Réponses: 126
    Dernier message: 23/07/2013, 21h30
  2. Réponses: 1
    Dernier message: 08/10/2008, 16h30
  3. Réponses: 3
    Dernier message: 04/07/2007, 22h00
  4. comment concevoir un etat à partir des données d'une base de données
    Par lylyagloire dans le forum Interfaces Graphiques en Java
    Réponses: 1
    Dernier message: 26/03/2007, 20h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo