Logo journal du hacker middle
  1. 3

    Du coup si je comprends bien, dès lors qu’on se connecte à un wifi public, les protections de type TLS/SSL ne s’applique plus. Dans ce cas en quoi ajouter un VPN se basant sur les mêmes protocoles ajoute de la sécurité ? À moins que les VPN ne se basent pas sur TLS/SSL ? C’est possible d’expliciter la phrase «En conséquence, ils peuvent facilement accéder à toutes vos données lorsqu’elles passent par leur ordinateur.» ?

    1. 1

      L’aspect sécurité de l’article et effectivement très difficilement compréhensible. Pour moi c’est juste du verbiage sans aucun argumentaire technique. Et non les vilains pirates (de l’air) ne vont pas réussir à déchiffrer les flux HTTPS ;)

      1. 1

        Cet article ne contient pas de détails techniques, il s’agit simplement d’une approche “grand public” visant à sensibiliser le public. Logiquement une connexion TLS/SSL assure une certaine sécurité, mais reste loin d’être inviolable (cf les attaques SSL/TLS : https://korben.info/les-attaques-ssltls.html).

        1. 1

          Ces attaques que tu cites peuvent être menées sans avoir besoin d’un wifi public. Connecté à son wifi domestique (ou même via Ethernet :O ) on est tout autant vulnérable… Pour moi il s’agit de désinformation, un wifi public n’est pas extrêmement plus dangereux qu’un autre. Il peut être le vecteur d’attaques dans le cadre de connexions non sécurisés (en HTTP) ou également dans le cadre d’attaques plus sophistiquées (phishing ou Man in the middle) mais dans ce cas par exemple le certificat TLS présenté par le navigateur ne correspond pas et il demande la mise en place d’une exception (qu’il ne faut évidemment pas donner).

          Mais dire que se connecter à son site bancaire (sur le bon nom de domaine, en HTTPS, authentifié etc) via un wifi public est dangereux et qu’un vilain pirate va voler nos credentials, c’est juste faux. Si c’était le cas, on serait tout aussi vulnérable dans notre salon sur notre wifi domestique.

          Et pour finir, dire qu’ajouter un VPN permet de sécuriser une connexion via un wifi public, c’est bien pour les pubs NordVPN sur Youtube, mais pour un public technique et averti ça marche pas

          1. 1

            Merci pour ton retour constructif (et merci d’avoir pris le temps de l’écrire). J’ai tendance à trop simplifier, car la majorité des lecteurs du blog ne sont pas des techniciens. Ton commentaire m’a permis de revoir ma copie, en espérant que cette version réécrite sera moins de la “désinformation”.

    1. 2

      Ne pas oublier non plus que la longueur du mot de passe peut compenser la complexité : tant de formulaires réclament quand même un chiffre ou un caractère spécial quand on propose un mot de passe de 128 caractères… l’idéal serait d’exiger une entropie minimale, mais c’est utopique. Il n’empêche que cela permettrait à chacun de proposer des mots de passe forts, avec moins de contraintes (complexité ou longueur).

      1. 2

        Hello,

        Je suis en phase avec toi sur l’idée. Le souci est que les checks entropiques sont souvent coûteux en ressource, et je ne suis pas certain que ce soit simple à implémenter à l’échelle.

        Par contre, il est clair qu’il faut simplifier et donner plus de liberté aux utilisateurs sur le choix de leurs mots de passe :)

        1. 1

          Ça marche très bien ce genre de check https://github.com/dropbox/zxcvbn

          1. 1

            Je ne connaissais pas ce projet. Ça a l’air sympa !

            Merci pour le partage :)

      1. 2

        “Il y a quelques mois, j’avais écrit un billet indiquant l’importance de publier son contenu “chez soi” …”

        Heureusement qu’il y a des guillemets. Parceque les sources sont hébergées sur github, la génération est faite par github, le résultat est hébergé par scaleway… L’indépendance est loin d’être acquise ce que je trouve un peu dommage surtout dans le cas de l’hébergement d’un site statique.

        1. 2

          Hello,

          Comme je le dis dans le billet, le but est de montrer une manière de faire, mais de laisser les gens explorer ce qui leur convient plus ;)

          A aucun moment il est interdit de remplacer une brique par une autre. On pourrait faire le même excercice avec un GitLab autohébergé par exemple.

          Pour ma part, mon blog est hébergé sur un serveur dédié chez OVH, ce n’est pas parfait, mais ca me suffit.

          Après, je pourrais aussi faire un billet pour install httpd sur un Raspberry Pi et autohéberger chez soi, mais ne conviendra pas à tout le monde non plus ;)

          L’idée est aussi de montrer qu’il n’y a pas besoin de s’investir (et d’investir) énormément pour avoir son blog.

          1. 1

            C’est tout à fait vrai, pour l’hébergement d’un blog les possibilités sont grandes et c’est une bonne idée de montrer une de ces possibilités parmi d’autres. Mais je rejoins Lord, quand dans l’introduction il est dit que le but est de montrer une manière de créer et héberger un blog chez soi et que l’on voit que finalement le code est sur Github et l’infra c’est du Scaleway, on peut se demander ce qu’il peut bien rester chez soi…

            1. 1

              Je comprends le point de vue, j’ai fait ce choix pour éviter de trop complexifier et embarquer la partie “sauvegarde” (entre gros guillemets), vu que ce point est sur le repository :)

              L’idée sur le “héberger chez soi” est ce que j’avais décrit dans mon billet : reprendre la main sur son contenu, plutôt que publier sur Medium, LinkedIn etc. et en rester le propriétaire autant que possible.

              Je suis conscient que l’approche que j’ai choisie est loin d’être parfaite, et ce n’est pas le but, mais elle permet à beaucoup de mettre en ligne un blog de manière assez simple, tout en n’ayant pas besoin de gérer l’aspect sécurité/infrastructure de mettre à jour un CMS par exemple.

              J’ai déjà fait des billets par le passé pour expliquer comment déployer Ghost sur K3S par exemple, qui couvrent d’autres besoin, et donne une autre approche de l’auto hébergement :) (https://tferdinand.net/comment-mon-serveur-est-revenu-rapidement-en-ligne/)

              1. 1

                J’ai critiqué mais c’est déjà bien mieux que d’avoir son blog directement sur Wordpress.com ou tumblr ou plateforme du genre. C’est une indépendance vis-à-vis de ces plateformes :-)

                Et une fois qu’on a mis en pratique ce qui est dans ce blog, il plutôt facile dans un second temps d’effectivement héberger tout chez soit. Je voulais pas non plus te plomber, hein ;-)

                1. 1

                  Ca ne me pose pas de souci, j’aime échanger, même lorsqu’on est pas d’accord, c’est comme ça qu’on avance ;)

                  Mais je pense que j’aurais du parler d’indépendance, plutôt que “chez soi” ;)

        1. 2

          Petit ajout par rapport à l’article : Pour avoir Pass sur Android il est possible d’installer Password Store (en GPL-3, disponible sur F-Droid) avec OpenKeyChain pour la gestion des clés GPG (GPL-3, aussi disponible sur F-Droid). Password Store gère git et si on utilise une yubikey (comme suggéré dans l’article) on peut également l’utiliser avec l’application via NFC.

          1. 1

            J’ai effectivement pas creusé la partie mobile encore (j’utilise peu mon téléphone). En tout cas, merci pour le retour sur les outils, je vais tester ça !

            1. 1

              Merci pour les informations. Est-ce que Password Store propose un clavier alternatif comme Keepass4Android qui d’après ce que j’ai lu semble le plus sécurisé ? pass me semble intéressant mais les solutions proposées sur Android me semble moins bien intégrées. Merci.

              1. 1

                Le clavier est requis pour taper la passphrase de sa clé GPG (demandé par l’application OpenKeyChain). C’est le clavier du système qui est utilisé mais libre à chacun d’installer un autre clavier sur son smartphone (perso j’utilise Anysoft Keyboard mais il en existe peut-être de meilleurs). Password Store et OpenKeychain me semblent tout à fait intégrés pour une utilisation mobile (j’utilise pass depuis au moins 5 ans et les applis mobiles depuis facilement 3 ans).

            1. 2

              Voir aussi ce journal sur linuxfr.org : https://linuxfr.org/users/rodhlann/journaux/des-basheries

              1. 2

                Bonjour à tous,

                Je vois que ça argumente des deux côtés, je vois aussi qu'il y a un risque de dérapage. Pas d'attaque personnelle, on reste respectueux et si on n'apprécie pas l'échange, on passe à autre chose.

                Merci, Tcho !

                1. [Comment from banned user removed]

                  1. 2

                    Plus verbeux ? J'ai repris ici, et énoncé plus clairement, les arguments que j'ai maladroitement résumés en 280 caractères sur Twitter. De mon point de vue, l'appellation “putaclic” peut se comprendre puisque le titre de l'article est beaucoup plus “sensationnel” que le contenu lui-même, dont j'ai essayé de faire comprendre où il pêchait. Établir une équivalence entre “Bing retourne plus de résultats pour X sur deux sites français que le nombre de serveurs l'utilisant d'après un site anglais”, et “la blogosphère francophone est totalement biaisée” avec une morale (?) sur le fait que “le monde est différent de ce qu'il y paraît”… Euh… Je veux bien faire preuve de bonne volonté, mais je ne vois pas le rapport.

                    1. [Comment from banned user removed]

                      1. 2

                        Au mieux, ce que ton billet indique, c'est qu'en cherchant sur deux sites francophones, Bing retourne plus de résultats avec Debian+Ubuntu qu'avec RedHat+Fedora+CentOS.

                        1. [Comment from banned user removed]

                          1. 2

                            Alors peut-être s'agit-il d'évidences pour toi, mais il faudrait que tu expliques par quel raisonnement tu pars du nombre de matches dans Bing pour arriver à la conclusion contenue dans le titre. Juste pour que ce soit complet.

                            1. [Comment from banned user removed]

                              1. 3

                                Je suis d'accord, personne ne devrait se faire avoir. Confondre “plus de sujets Debian Ubuntu que Red Hat” sur les blogs francophones avec le taux des GNU/Linux installés sur les serveurs au niveau mondiale (ou au moins anglophone). Faut pas prendre les gens pour des cons.

                    2. 1

                      J'ai vu et lu le lien Twitter mais je n'y suis pas modérateur, ici il faut rester dans les clous.

                      En général des échanges comme ça n'avancent pas, chacun reste sur ses positions et finalement tout le monde s'énerve.

                      Tcho !

                      1. [Comment from banned user removed]

                        1. 1

                          Non plus. Je suis même très embêté que mes arguments soient pris pour des attaques personnelles plutôt que comme des pistes et encouragements à améliorer la qualité de l'article.

                          1. [Comment from banned user removed]

                            1. 1

                              C'est le titre, et non “l'éditeur” qui est qualifié de putaclic, et il s'agit d'appeler un chat un chat. Le titre présente une exagération de ce qui est décrit dans le contenu de l'article.

                              1. [Comment from banned user removed]

                                1. 3

                                  Encore une fois, ce n'est pas un problème personnel, c'est un problème de contenu : le titre sur-vend le contenu de l'article. L'article, pardon, le “billet”, ne démontre aucunement qu'il y a un tropisme dans la blogosphère française (cf ma phrase qui commence par “au mieux” un peu plus bas). C'est tout ce que je lui reproche. Toi je ne reproche rien. Du moins pas encore :-p

                                  1. [Fil supprimé par le modérateur carlchenet : Attaque personnelle sans rapport au sujet du lien - merci de continuer ailleurs que sur le Jdh votre confrontation. Cordialement, Carl Chenet]