[OSM-talk-fr] [HS] Certificats & Co (was: Ajout sur planet.openstreetmap.fr ?)

Vincent MEURISSE osm-talk-fr at meurisse.org
Mar 30 Juin 15:27:18 UTC 2009 

> Je pense que *tout* le trafic web devrait être en HTTPS
D'ailleurs je me balade dans la rue avec une cagoule pour pas qu'on me 
reconnaisse. Chiffrer c'est bien, chiffrer n'importe quoi c'est mal. 
Il vaux mieux passer du temps à sécuriser ce qui à besoin de l'être que se 
dire on chiffre tout comme ça on est tranquille. C'est le meilleur moyen de le 
faire n'importe comment. (D'ailleurs chiffré n'est pas synonyme de sécurisé) 

> Ne serait-ce que pour éviter
> que mon employeur, mon ISP[1], le gouvernement ou mon voisin de
> hotspot wifi sache ce que je regarde, ce qui m'intéresse ou ce que
> j'achète.
Tout ces gens savent déjà les sites que tu regarde par les requêtes DNS que 
t'envoies. Pour ton FAI t'es obligé de lui faire confiance. Sinon il peut très 
bien te fournir un firefox avec des certificats en plus lorsque tu le télécharge 
ou bien modifier tous les auto-signés et de remplacer par le sien. Le 
gouvernement t'es aussi obligé de lui faire confiance puisqu'il à les moyens de 
récupérer la clé secrète de tout certificat.
(Et qui te dis que google n'envoie pas tous tes mails à la NSA. Quitte à être 
parano utilise ton propre serveur de mail dans un coffre fort chez toi)

> C'est quand
> même incroyable qu'il soit plus facile de passer un mot de passe en
> clair (l'authentification dans OSM par exemple) qu'avec une connexion
> chiffrée avec un certificat auto-signé !
Le problème est qu'un auto-signé te donne une fausse impression de sécurité.

> Et si ta banque a un certificat auto-signé, change de banque. ;-)
Ta banque utilise un auto-signé le jour où un vilain pirate te redirige vers 
un autre site. (c'est très facile. tape DNS spoofing dans google si tu sais pas 
faire). Si madame michu à appris à accepter ces certificats, elle acceptera 
celui la comme un autre.
> (même si, sur le fond, je ne trouve pas un certificat Verisign
> beaucoup plus sûr qu'un certificat dont j'aurais moi-même vérifié
> l'empreinte) Quand à Mme Michu, certificat auto-signé ou pas, elle n'y
> comprend que dalle et ne fait même pas la distinction entre HTTP et
> HTTPS.
Madame Michu, on peut lui apprendre à vérifier le cadenas. Si on commence à lui 
parler d'autorité de certification, de certificat auto-signés et tout le bardas 
elle risque d'avoir du mal.

> Sur le fond, la bonne solution sera peut-être d'authentifier les
> certificats par le DNS, une fois que DNSSEC sera répandu.
DNSSEC ne résout rien. Il faut un moyen de vérifier la clé du DNS comme il faut 
un moyen de vérifier celle du certificat.

> Je m'en fiche un peu beaucoup mais, sur le principe, je trouve que tu
> ne devrais pas bidouiller les URL que *je* choisis. Si mon blog est
> illisible, c'est mon problème. :-) Mais merci de le rendre lisible !
En fait les URL que *tu* choisi je m'en fout un peu. Ce qui me gène c'est les 
images contenues dans le flux qui obligent les utilisateurs du planet à 
accepter ton certificat. Mais si t'aimes les url en https, je peu faire en 
sorte de modifier uniquement les url des images. Après je ne suis pas 
responsable si madame michu ne va pas sur ton blog parce qu'elle est incapable 
d'ajouter une exception (Ce qui est très bien à mon avis). D'ailleurs dans 
ff3.5 ils ont rajouté un clic. dans le process.

> [1] C'est pas de la parano. J'ai programmé des joujoux qui suivent et
> analysent quelques connexions IP noyées dans un flux au gigabit.
C'est dommage de les coder. Il existe des logiciels libres très bien pour ça 
:) (Du moment qu'on comprend le pourquoi du comment et qu'on joue pas à clique 
bouton)

-- 
Vincent MEURISSE

Plus d'informations sur la liste de diffusion Talk-fr