Salut,
Dude a écrit :Le HTTPS peut donc prévenir cette interception de données à condition que sa mise en œuvre soit assez forte. Ce protocole peut également empêcher le piratage comme par exemple le vol du cookie d'authentification sur des réseaux sans fil non sécurisés ou les attaques de type
XSS.
Mouais....
peut et parfois ne peut pas...
[MODE PARANO=ON]
Pour faire simple :
- https repose sur SSH/TLS et sur des autorités de confiance : tiens les soucis arrivent...
- un navigateur lamba va faire confiance à près de 600 autorités
accessoirement ces autorités sont mal sécurisés : quand tout est calme il y a au moins une autorité compromise tous les mois (aux heures de pointe, on dépasse les 15 : 27/10/2011)
une autorité compromise signifie qu'on peut usurper n’importe quel site quel que soit le navigateur utilisé
les-dites autorités, quand elles sont compromises, se voilent du sceau du secret, rendant difficile la mesure de l'étendue des dégâts
certaines de ces autorités étant par ailleurs sous contrôle d'états au travers d'agences spécialisées comme la star du moment
il existe des matériels pour intercepter les communications TLS utilisant des certificats foireux : condition = avoir accès à des certificats maîtres (y'a du monde qui peut y prétendre : cf la ligne ci-dessus...)
autre côté accessoire : les navigateurs permettent de passer outre la sécurité définie en autorisant les execptions et FF peut être paré de 3 extensions qui permettent beaucoup de choses...
Je veux bien admettre que ça peut limiter un peu la casse, mais faut pas rêver.
Après oon peut être d'accord sur
mise en œuvre forte, mais même forte, ça reste mou...
Quant au wifi, personnellement je pense, persiste et signe : on ne sécurise rien ou si peu...
Si on veut un peu de sécurité, il y a
- IPSEC (RFC 4301) qui a le mérité d'opérer en couche 3 et le rend indépendant des applications et qui fait qu'il n'y a rien à configurer par les utilisateurs. C'est peut-être un bon plan, non ?
TOR qui même s'il n'a pas la solidité théorique d'autres approches(dont https), mais qui a le mérite d'être moins gruyère...
Pour mémoire, le FBI a pu intercepter et lire sur TOR, mais grâce à une faille de FF, faille corrigée depuis et la NSA n'a pas pu casser TOR : elle reconnaît
- n'aura jamais les moyens de « désanonymiser » tous les utilisateurs de Tor à tout moment
L'analyse manuelle ne nous permet de désanonymiser qu'une très petite fraction des utilisateurs de Tor (comprendre en plaçant sur le réseau ses propres noeuds (nombreux) et en attaquant les logiciels vulnérables (ie par définition, FF ponctuellement)
jamais parvenue à trouver l'identité d'un utilisateur en réponse (à une demande spécifique)
et peut-être quelques trucs comme BleachBit, TrueCrypt, Silent Circle et quelques autres
certains avancent GPG, perso je reste plus dubitatif.
[MODE PARANO=OFF]
J'arrête là, mais il y aurait tant à dire (et souvent à redire)...
Conclusion
https c'est mieux que rien, comme l'AV de Bilou ou de Norton (encore que Bilou a fait des progrès), ou le FW de Norton...
ecoutes_telephoniques.gif
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.