[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

Steven Le Roux steven at le-roux.info
Mar 30 Juin 13:17:54 UTC 2009 

2009/6/30 Emilie Laffray <emilie.laffray at gmail.com>

>
>
> 2009/6/30 David MENTRE <dmentre at linux-france.org>
>
>> Salut Vincent,
>>
>> Le 30 juin 2009 12:21, Vincent MEURISSE<osm-talk-fr at meurisse.org> a écrit
>> :
>> > Sinon c'est quoi l'intérêt de https pour toi ?
>>
>> Je pense que *tout* le trafic web devrait être en HTTPS : banque,
>> achats, blogs, OSM, Wikipédia ou autre. Ne serait-ce que pour éviter
>> que mon employeur, mon ISP[1], le gouvernement ou mon voisin de
>> hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que
>> j'achète.
>>
>
> Oui, enfin, tu as plutôt intérêt a avoir des serveurs plus puissants alors,
> parce que utiliser https n'est pas gratuit. A la limite, tu peux acheter un
> serveur avec des offloads SSL mais bon ce n'est plus tout a fait le même
> prix. De plus, récemment, il y a eus des attaques man in the middle sur SSL
> lie a la fonction de hash.
>

Oui enfin un exploit sur md5... ça fait qq années qu'on sait qu'il y a
mieux... et quand tu génères un ca aujourd'hui, tu ne le fais pas avec md5.


>
> Le proxy que j'utilise au boulot est capable justement d'intercepter le
> https et de signer avec son propre certificat. C'est hyper pratique pour
> debugguer. Tu n'as aucune garantie qu'a terme ce genre de chose ne se
> généralise. Tu sauras juste que le certificat est remplace. De plus, avec la
> loi Francaise, il est tout a fait possible pour l'Etat (je généralise toutes
> les différentes administrations) demandent la clé pour déchiffrer ce qu'ils
> veulent. Donc si tu écris sur un site particulier, et qu'ils veulent suivre
> ça, ils pourront s'ils en font la demande au site.
> Et puis sincèrement mettre https sur un blog, c'est vraiment n'importe
> quoi. Ils seront toujours capables de savoir ce que tu lis. Il existe une
> chose nommée url qui généralement donne beaucoup d'information sur le site
> sur lequel on va même si c'est en https......
>


Je pense que ce qu'il sous-entendais là c'était chiffrer la partie login
pour commenter un billet, pas vraiment la lecture d'un post.
Sachant que 98% des utilisateurs mettent le même passwd partout, je ne
trouve pas ça si déconnant...



>
>
>
>>
>> Partiellement d'accord. Oui les certificats auto-signés c'est pas la
>> panacée. Mais c'est mieux que de tout passer en clair. C'est quand
>> même incroyable qu'il soit plus facile de passer un mot de passe en
>> clair (l'authentification dans OSM par exemple) qu'avec une connexion
>> chiffrée avec un certificat auto-signé !
>
>
> Il est clair que le fait qu'OSM n'utilise pas un certificat pour se logger
> est léger.
>
>
>>
>> Et si ta banque a un certificat auto-signé, change de banque. ;-)
>> (même si, sur le fond, je ne trouve pas un certificat Verisign
>> beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié
>> l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y
>> comprend que dalle et ne fait même pas la distinction entre HTTP et
>> HTTPS.
>
>
> Tout dépend de la fonction de Hash que tu utilises :) Firefox a un
> mechanisme pour détecter certaines incohérences sur les certificats qui a
> tendance a repérer certains certificats auto signes.
>

Je ne suis pas tout à fait d'accord :)
Mde Michu a appris à regarder le petit cadenas et la barre d'URL jaune
lorsqu'elle fait ses achats en ligne je pense. Ce qui se cache derriere,
effectivement elle n'a pas à le savoir. Aujourd'hui on va plus loin en
affichant l'autorité avec les CA SSL E.


>
>
>
>>
>> Sur le fond, la bonne solution sera peut-être d'authentifier les
>> certificats par le DNS, une fois que DNSSEC sera répandu.
>>
>
> On verra. Sincèrement, si tu veux de la crypto forte, utilise les GPG (ou
> PGP) distribues par le DNS :) D'ailleurs il va falloir que je trouve un
> script pour rajouter le support GPG sur gmail.
>

FireGPG.

Mais, ne l'utilise que de puis un client en IMAP... car FireGPG chiffre et
signe à l'envoie, donc ton mail est en clair dans la partie Draft et
autosaved de gmail.



>
>
>
>>
>> [1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et
>> analysent quelques connexions IP noyées dans un flux au gigabit.
>>
>
> Le DPI est la parmi nous pour y rester.
>
> Emilie Laffray
>
> _______________________________________________
> Talk-fr mailing list
> Talk-fr at openstreetmap.org
> http://lists.openstreetmap.org/listinfo/talk-fr
>
>


-- 
Steven Le Roux
Jabber-ID : Steven at jabber.fr
0x39494CCB <steven at le-roux.info>
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20090630/e551d5cf/attachment.htm>

Plus d'informations sur la liste de diffusion Talk-fr