Chiffrement

Mise au point sur le HTTPS

Note : 
Pas encore de vote

Nouveau : version pdf du billet ! :-)
Pour quel type de lecteur ?
Tout le monde


Introduction

À l’heure actuelle, n’importe quelle donnée est épiée, stockée, étudiée, analysée, triée, classée et utilisée contre nous. Le chiffrement de l’information est et restera le seul rempart pour protéger nos données secrètes (mots de passe, compte en banque, etc.), nos données privées (idées politiques, habitudes de consommations, etc.) et nos données personnelles (date de naissance, adresse physique, courriel, etc.).
La technique de chiffrement la plus connue est le SSL (Secure Sockets Layer) maintenant appelé TLS (Transport Layer Security) qui est utilisé pour chiffrer les communications entre notre ordinateur et un site Web. Celui-ci se reconnaît au https:// de l’URL du site que vous souhaitez visiter. Dans la conscience collective, la simple présence du cadenas que vous affiche votre navigateur vous certifie que tout est sûr et que personne ne lira les données qui transitent. Quand on voit une barre verte en plus, là on se dit que c’est le summum de la sécurité et qu’il n’y a rien de plus fiable. Même la NSA ne pourra pas les lire. Ouf ! Dans le cas où votre navigateur vous affiche une « Alerte de sécurité » sur un site en https:// soit les gens fuient en pensant se faire pirater soit ils cliquent sur « Je comprends les risques » sans les lire… A contrario, quand c’est juste noté http://, là on se dit que c’est pas chiffré et que tout le monde peut lire ce qui passe dans le Réseau (enfin j’espère que la plupart des gens pensent cela…). Donc le monde est divisé en deux options : http:// pas sécurisé, https:// sécurisé si pas d’alerte du navigateur, finalement c’est simple le chiffrement.

Seulement il y a un hic.

Lire la suite…

Catégorie: 

Nouveaux certificats SSL

Note : 
Pas encore de vote

Et voilà, cela fait déjà un an que j’ai créé mes premiers certificats SSL avec mon autorité de certification.
Par conséquent, avec une durée de validité de un an, j’ai eu a les renouveler. Comme le temps passe vite. :-)
Si vous avez ajouté mon autorité de certification à votre navigateur, nous ne verrez aucune différence (c’est justement le but de l’autorité :-)). Si vous avez accepté ponctuellement les certificats SSL, vous aurez par conséquent un message d’alerte de votre navigateur vous disant que l’autorité n’est pas reconnue. Vous avez alors plusieurs choix :

  • retourner sur le protocole non sécurisé (http://) ;
  • accepter une nouvelle fois le nouveau certificat (techniquement si vous avez l’alerte c’est que vous l’aviez déjà accepté l’année dernière) ;
  • ajouter mon autorité de certification à votre navigateur pour ne plus avoir ce genre de message.
Catégorie: 

La stéganographie, ou l’art du camouflage

Note : 
Pas encore de vote

Nouveau : version pdf du billet ! :-)
Pour quel type de lecteur ?
Tout le monde

Introduction

C’est en lisant un livre de Franck Thilliez, « Train d’enfer pour ange rouge », que j’ai eu l’idée d’écrire ce billet sur la stéganographie, technique que je connaissais déjà depuis longtemps mais que j’avais un peu oublié depuis.
D’un point de vue général, la stéganographie est une technique de dissimulation : cacher un message dans un autre pour que celui-ci passe inaperçu.
En informatique, cette technique s’est développée au travers de la dissimulation d’un fichier dans un autre, généralement un texte ou une image dans une image ou un fichier audio. L’intégration de l’information dans le fichier « couverture » se fait sur via la modification de bits de poids faible du fichier (certains pixels d’une image par exemple). De ce fait, celui-ci n’est quasiment pas altéré et donc la présence d’une information cachée est très difficilement détectable par l’homme.

Une bonne illustration de la stéganographie, c’est le camouflage de certaines espèces animales, passées maîtres en la matière :


Un Uroplatus phantasticus (source : 10 amazing animals avec ninja like camouflage).

Lire la suite…

Catégorie: 

Ajout d’un CA à Firefox OS

Note : 
Pas encore de vote


Introduction

Suite à l’achat récent d’un smartphone tournant sur Firefox OS, un Geeksphone Revolution, j’ai voulu ajouter mon autorité de certification SSL afin de naviguer sur mes différents sites web et utiliser certains de mes services dessus (agenda synchronisé, mails, etc).

Pour le moment, Firefox OS ne permet pas « facilement » d’importer une nouvelle autorité. Cette option est en cours de développement et sera intégrée à Firefox OS dans les prochaines mises à jour (et semble très prometteuse d’après ce qu’on m’a dit ^^).

En attendant, il existe une petite procédure à suivre pour le faire. Celle-ci est très bien expliquée par ici mais ayant rencontré quelques problèmes pour la réaliser, je vais expliquer ici la raison de mon soucis et la façon de le régler.

Lire la suite…

Catégorie: 

Création d’une autorité de certification et des certificats SSL

Note : 
Pas encore de vote

Nouveau : version pdf du billet ! :-)
Pour quel type de lecteur ?
Confirmé en informatique

Introduction

Suite à la très récente faille de sécurité, Heartbleed, du logiciel OpenSSL gérant le chiffrement du protocole https, j’ai été obligé de réactualiser mes propres certificats. Ceci afin d’assurer qu’ils n’aient pas été corrompus par une personne tierce en exploitant la faille sur mon serveur.
Par la même occasion, j’en ai profité pour renouveler mon autorité de certification afin d’y mettre les adresses mail de mon serveur mail que j’ai configuré après la création de ma première autorité.
Ce renouvellement de l’ensemble des certificats a été l’occasion de publier (enfin) un billet expliquant la méthodologie à suivre afin de créer sois même ces certificats et son autorité de certification.

La faille Heartbleed, découverte il y a deux jours par une équipe de Google, permet à n’importe qui d’avoir accès à la quasi-totalité des informations transitant, en théorie, de façon chiffrée à travers le protocole https. Les communications peuvent alors être facilement lisibles par des personnes extérieures. Pour faire simple, c’est comme s’il n’existait plus de chiffrement entre votre ordinateur et le serveur. L’ensemble de vos mots de passe, identifiants, discussions, numéros de carte bleu etc sont alors lisibles Plus d’informations sur cet article.

Les correctifs (des distributions libres) de Heartbleed sont apparus très rapidement, quelques heures après sa publication, afin d’empêcher le plus rapidement possible son exploitation. Cependant, pendant plusieurs heures, environ un million1 de sites web étaient vulnérables (y compris les miens) et à la merci des pirates en tous genres. Encore maintenant, il existe toujours des serveurs et sites web vulnérables. Pour savoir si un site que vous utilisez régulièrement est sûr, je vous invite à vous rendre sur cette page. ;-) Pour info, freezetux.net est protégé depuis hier matin : http://filippo.io/Heartbleed/#freezetux.net. :-)

Par conséquent, il est du devoir des administrateurs des serveurs (soucieux de la sécurité des utilisateurs de leurs services… malheureusement certains sont moins touchés que d’autres ou pas aussi rapidement :-/ ) de renouveler leurs certificats SSL afin d’assurer de nouveau un chiffrement total des communications de leurs utilisateurs.

La suite de cet article présente comment mettre en place sur son serveur une autorité de certification ainsi que des certificats SSL afin de proposer sur ses sites web une communication chiffrée en https.

1. https://www.schneier.com/blog/archives/2014/04/heartbleed.html

Lire la suite…

Catégorie: 

Passage en tout HTTPS

Note : 
Pas encore de vote

Pour quel type de lecteur ?
Tout le monde


Présentation

Chers internautes et visiteurs de mon blog,

Je vous annonce via ce billet le passage de tous mes sites en https://, ce qui vous assure une confidentialité et un chiffrement optimal des données transmises via mes sites.

En effet, je me suis intéressé dernièrement sur la méthode pour générer soi-même son certificat et depuis ce matin tous mes sites en sont équipés. Ne vous inquiétez pas : les raccourcis URL automatiques ne seront pas perdus : en effet aucune redirection des liens http:// a été faite sur les liens https://, par conséquent vous n’avez pas à modifier vos habitudes si vous voulez rester en http. ;-)

De plus, comme je ne fais pas les choses à moitié (ce qui m’a d'ailleurs couté beaucoup de temps, prises de têtes et “rage quit” pendant plus d’un mois), je suis désormais une autorité de certification au même titre que VeriSign par exemple. Vous pouvez donc ajouter l’autorité à votre navigateur web via ce lien. Si votre navigateur ne le reconnait pas vous pouvez enregistrer le fichier root.pem et l’importer dans la liste des autorités manuellement. Sur Firefox :
Firefox ⇒ Préférences ⇒ Avancé ⇒ Certificats ⇒ Afficher les certificats ⇒ Autorités ⇒ Importer.

Sur les autres navigateurs, je n’en sais rien, cela ne doit pas être très différent. ;-)
Cela permettra à votre navigateur d’aller sur tous mes sites (et ceux d’autres personnes que je pourrai peut être un jour certifier) sans vous afficher une alerte disant que la connexion n’est peut-être pas sûre.

Si vous ne souhaitez pas utiliser le https://, toutes les pages du blog sont disponibles en http://, il vous suffit donc de retirer le s de l’URL. Plus d’informations par ici.

Have fun,

freetux

PS : Un prochain article est prévu pour la configuration du serveur pour le passage au https, mais je ne sais pas encore trop quand. Je suis pas mal occupé en ce moment.

Édit : article présent ici. ;-)

Catégorie: 

Méta moteur de recherche Seeks

Note : 
Pas encore de vote

Pour quel type de lecteur ?
Tout le monde


Introduction

Il y a maintenant quelque jours je me suis lancé dans l’installation de Seeks en tant que serveur web en suivant l’article de Casper sur son blog détaillant les étapes de l’installation sur un serveur tournant sur Fedora 18.

Après quelques galères pour l’installer (les raisons sont expliquées plus bas pour les plus confirmés), vous pouvez désormais vous rendre sur cette page pour faire vos recherches. ;-)

Lire la suite…

Catégorie: 

Le chiffrement des mails par PGP

Note : 
Pas encore de vote

Pour quel type de lecteur ?
Tout le monde


Introduction

Cet article a pour vocation de faire prendre conscience aux gens de l’intérêt, voire de la nécessité, de chiffrer ses mails. En effet, bien que cela puisse paraître inutile à première vue et pour beaucoup de gens, en transposant cette action à la vie de tous les jours elle parait évidente.
Ce comportement montre bien la schizophrénie que l’on retrouve dans notre société actuelle d'un point de vue de la sécurité entre la vie de tous les jours et la vie informatique des personnes. Tout le monde met des alarmes pour protéger sa maison aussi bien que la maison blanche, mais les gens laissent leurs ordinateurs aussi sécurisés qu’une cabane en bois… Il y a pourtant des données dans les ordinateurs aussi importantes que des objets dans une maison, voire plus : une télévision se remplace, trois années de photos de vacances de vos enfants c'est déjà plus difficile.
Peut-être un manque de formation des utilisateurs, peut être aussi un manque d’information à ce sujet. C’est justement dans l’étape d'information que ce billet trouve son intérêt.
Dans une seconde partie, je détaillerai la méthode à suivre pour pouvoir envoyer des mails sécurisés sur un exemple concret avec le logiciel Thunderbird pour tout type de systèmes d’exploitation.

Lire la suite…

Catégorie: 
S'abonner à Chiffrement