All about beaucoup

Reims : 3 SDF en garde à vue après la découverte d'un corps démembré

Il y a deux ans décédait Arthur Clarke, auteur de « 2010 : Odyssée 2 »

Cinq bonnes raisons d'enfoncer le clou

OS X : Charlie Miller dévoilera 20 failles 0-day à la fin du mois

J’Y SUIS J’Y RESTE JE NE PARTIRAI PAS !

LaTéléLibre.fr

- 12 hours and 9 minutes ago

Supprimer le Ministère de Monsieur Besson... L’appel de vingt chercheurs en sciences humaines lancé en décembre dernier a donc été entendu et a pris de l’ampleur. Plusieurs dizaines d’associations ainsi que tous les partis de gauche étaient présent samedi 27 février place de la Bourse à Paris pour dénoncer la tournure du débat lancé par Nicolas Sarkozy et réclamer la suppression du Ministère de l’identité nationale et de l’immigration.

Les manifestants ont pris le chemin du Ministère à 15 heures sous un ciel gris, mais dans la bonne humeur. Ils étaient 7 000 selon les organisateurs, 1 600 selon la police. Tous ont dénoncé l’action du Ministère. Plusieurs banderoles portaient des messages comme « Sortir du Colonialisme » ou encore « Supprimons le Ministère de la Honte ».

Il l’avait annoncé pendant sa campagne, Nicolas Sarkozy à donc tenu parole lors de sa prise de fonction et à crée un Ministère avec un but clair « lutter contre l’immigration irrégulière, organiser l’immigration légale en favorisant le développement des pays d’origine afin de réussir l’intégration et de conforter l’identité de notre Nation » (source site du Ministère). Mise en place sous son impulsion et celle du premier ministre François Fillon, le Ministère de l’identité nationale et de l’immigration est aujourd’hui sur la sellette et crée une honte chez beaucoup de français. Avec un budget de plus de 500 millions d’euros, ce Ministère est qualifié de totalement « inutile » par l’ensemble des participants.

Un débat jugé « raciste » et prenant des « relents vichystes » par tous les manifestants. Avec en tête de cortège Anne Leclerc, tête de liste NPA à Paris, Martine Billard, et Cécile Duflot, d’Europe Écologie, les manifestants ont battus le pavé une bonne partie de l’après midi. La date du 27 février à été choisi car elle entre dans le cadre de la “5e semaine anticoloniale”.

De nombreux sans papiers étaient présents pour dénoncer la politique du gouvernement en terme de régularisation de ces travailleurs et travailleuses. De nombreuses associations de défenses des droits de l’homme ont rejoint le cortège. Vers 18 heures, arrivés rue de Grenelle ou siège Eric Besson, les manifestants se sont retrouvés nez à nez avec plus d’une vingtaine de CRS et n’ont donc pas pu atteindre les portes du 101 rue Grenelle. La foule s’est dissipée sans mal et dans une ambiance calme.

Le combat n’est pas finit pour faire disparaitre ce que certains appellent « le Ministère de la Honte ».

Nadine Achoui-Lesage
Julien Boluen
Anthony Santoro

Add a comment

1,7,paris,faires,politiques

Dolphin 2.0 RC1 : Emulateur GameCube et Wii

Sony Ericsson : les nouveautés 2010 (fredzone)

BELGIQUE: Fiscalité : la Belgique va lever le secret bancaire

Bloguer et casser des oeufs

Le techno-blogue à Steph!

- 14 hours and 41 minutes ago

Depuis que je blogue, il m’est arrivé plusieurs fois de me faire reprocher certains propos incisifs. Des fois avec raison peut-être. Comme n’importe quel media où un individu exprime une opinion, le blogue n’est pas à l’abri des critiques. Et je suis de ceux qui pensent qu’on ne fait pas de bonnes omelettes sans casser d’Å“ufs. Mais est-ce que j’abuse des Å“ufs?

Bloguer pour provoquer

Mon blogue, c’est mon outil de promotion et de réseautage depuis 4 ans. Et ça fonctionne très bien. Je ne blogue pas pour me faire des amis. Je blogue pour promouvoir mon domaine, débattre, échanger des idées, provoquer des réactions. Bloguer, c’est une game, voire un show. Comme n’importe quel média (Oui, oui, les médias présentent l’info pour vendre!). Et froisser des gens, involontairement ou non, fait parti de la game quand on donne son opinion.

Le cas Michelle Blanc

Michelle Blanc a le blogue d’affaires le plus connu au Québec et est très populaire dans la francophonie. Pourtant, elle manie la délicatesse des mots comme un chirurgien avec un couteau de boucher. Ses coups de gueule n’empêchent pas plusieurs personnes, dont moi, de lui vouer une estime et un respect professionnel. D’ailleurs, Michelle est l’influence majeure qui m’a incité à bloguer. Le blogue d’affaires à l’eau de rose, très peu pour moi.

Le cas Prospection

Dernièrement, c’était le billet sur Prospection qui a fait jaser. Ok, c’était sévère, mais j’assume. Leur affirmation sur les logs m’a fait grimper aux rideaux. Moi qui est zen comme pas possible pourtant. C’est un peu l’équivalent Web analytique d’affirmer que la terre est plate et qu’on tombe dans le néant si on va trop loin. Sinon, je suis du genre à encourager la compétition. Meilleure est l’offre, mieux se portera notre industrie.

Dans les faits

Mais sortons notre p’tit côté analyste. Quand on regarde de plus près, sur 1 028 billets, combien sont des coups de gueules ou des critiques? Combien sont même des opinions? Et Combien servent à promouvoir mon domaine d’une façon positive? On peut me reprocher mes critiques, mais de là à dire que je suis un mangeur d’enfants...

Et le 2e degré?

Faut pas oublier de mettre un bémol dans l’interprétation de l’écrit. Je fais de mon mieux pour exposer mes idées clairement, mais ça arrive que ça sorte tout croche ou que ça ne soit pas comme ce que j’avais en tête. De plus, je fais beaucoup d’humour au 2e degré. Chose qui est difficile à comprendre quand on ne connaît pas le personnage. En fait, je blogue comme je jase à mes potes dans mon salon avec une grosse bière et des crottes de fromage. Aimez-vous les crottes de fromage?

Bref, c’est peut-être le pote Clotaire Rapaille qui a raison. Je fais parti du complexe sado-maso des habitants de la ville de Québec. Pire, je suis une source du problème avec mon blogue-poubelle où il n’y a de la place que pour la démolition et la destruction. (Hého, c’est du 2e degré ici)

Add a comment

4,1,faires,medias,terres

Youtube accuse Viacom d'envoyer lui-même des vidéos protégées

Vidéo : Naughty Bear-Vilain cauchemar - partie 1 - 360 - PS3

Le Roi Lion en Blu-ray : octobre 2011 ?

No More Heroes 2 : jaquette française et images

LiveWii RSS FEED

- 15 hours and 53 minutes ago

Dans un peu plus d'un mois, les joueurs Wii seront partagés en deux clans : ceux qui traqueront du monstre sur Monster Hunter 3 et ceux qui monteront un traque aux tueurs dans No More Heroes 2 : Desperate Struggle. Il n'y a aucune raison de se plaindre, bien au contraire. D'ailleurs, Namco Bandai annonce dès aujourd'hui la couleur avec un communiqué de presse que nous vous relatons dans notre plus grande bonté accompagné de nouvelles images du jeu et d'une jaquette frenchie définitive. Regardez bien d'ailleurs comment on insiste sur la notion de jeu non censuré... Plus sérieusement, voilà le topo de l'histoire pour ceux qui reviendrait d'un voyage en Laponie et qui auraient "légèrement" l'actu Wii : 2 ans après la virée d'enfer qui l'a propulsé en tête du classement de l'UAA (United Assassins Association), Travis Touchdown, otaku, fan de catch et ex-assassin professionnel a tourné le dos au stress et aux combats sans fin que lui imposait la place de nÂ°1. Mais en son absence, la compétition est loin de s'être arrêtée...Fini le coté underground du métier d'assassin : la profession est maintenant devenue furieusement tendance et attire toute une bande de décérébrés en mal de sensations fortes dont beaucoup ont des comptes à régler avec Travis. Le nombre de cadavres au compteur va grimper en flèche dans cette nouvelle odyssée sanglante furieusement punk qui a le bon ton d'être disponible en version non censurée. Les combats au katana laser, votre arme de prédilection, sont plus funs que jamais et se vivent pleinement grâce à la télécommande Wii et au Nunchuk. L'humour est toujours aussi savoureux et fera kiffer les fans de manga lors de scènes tout simplement anthologiques. La geek attitude est célébrée grâce à des références permanentes dont la pertinence fait mouche à chaque fois. Si les mots "kiffer", "geek", "katana" ou "underground" vous bottent, alors sachez que le 30 avril sonnera le retour de Travis Touchdown.Â

Add a comment

3,2,images,wii,traque

Opera Mini en représentation au CTIA

Les disques durs 1.8 pouces auraient un avenir.

Voter?

Lady Gaga : un producteur lui réclame 30,5 millions de dollars

Fogiel fait subir "le jeu de la mort" à Bourdin - Ecoutez

Info - Fragile : le jeu sort aujourd'hui !

Notre visite à la chocolaterie de Virginie

SckyzO : Et pourquoi pas ?

Planet Libre

- 1 days and 1 hours ago

Dernièrement je réfléchissais au moyen le plus simple pour faire connaitre des distributions linux aux utilisateurs.
Il est vrai que Linux est de plus en plus installé sur des ordinateurs, mais il reste encore trop méconnu. Alors je me disais qu’il serait bien que les constructeur abordent une certaine neutralité.
Pourquoi n’utilisent-ils pas leur statut justement de constructeurs pour offrir aux utilisateurs un choix. Comme EU l’a fait adopter dernièrement a Microsoft, les constructeurs devraient opter pour une mise à disposition d’un DVD MultiBoot avec leurs ordinateurs. Un jour ou l’autre, la lois Européenne les mettra au tapis, mais en attendant, j’aimerai bien voir cela un jour, et rapidement serait le mieux.

En regardant de plus prêt, si un constructeur tel que Dell, ou bien Acer, IBM ... Offraient aux utilisateurs qui achètent leurs ordinateurs un DVD MultiBoot offrant un choix d’installation entre Windows et Linux. Je me limite pour l’instant à ces deux choix seulement, car les distributions tel que OpenSolaris, les BDS, etc ne sont pas encore assez simple d’utilisation selon moi.
Un utilisateur lambda quiÂ insèrerait le DVD aurait à l’écran un choix aléatoire entre Microsoft Windows et par exemple Ubuntu. Un écran simple, mais qui afficherait les 2 jaquettes des OS, avec un texte descriptif dessous. En cliquant dessus, l’utilisateur pourrait essayer l’un comme l’autre, et l’installer simplement tel que peuvent le faire tous les systèmes d’exploitation maintenant (tout en préservant notre petit Grub serait bien aussi ...)

Je suis sur qu’il existe déjà beaucoup de solutions plus ou moins «Â artisanalesÂ », mais je suis quasiment sur qu’il n’existe pas de DVD tel que je le décris, et «Â offertÂ » par les constructeurs.

Je suis certain qu’a partir de ce moment là on verra s’agrandir petit à petit les communautés sur Linux. Cela sensibiliserait d’avantage de personnes, et LinuxÂ percera enfin ...

Malheureusement, ce temps là n’existe pas encore, nous pouvons en parler au futur et y croire, un jour ou l’autre on verra ça.

Billet original de SckyzO.Votez pour cet article sur le Planet Libre.

Add a comment

2,faires,futurs,acer,microsoft

Choisir ses aliments, c'est manger mieux

Emilie Autumn : Opheliac

Remplacer encore plus facilement le disque dur de son Apple TV

PhoenixJP.News

- 1 days and 4 hours ago

Apple a toujours eu dans sa gamme un vilain petit canard. Pendant longtemps ce rôle a été dévolu au Mac mini qui n'évoluait pas. Maintenant qu'il est de nouveau prisé par la société, le nouveau mal aimé est sans aucun doute l'Apple TV qui n'a pas changé depuis sa sortie. Il n'a d'ailleurs même plus droit aux faveurs de l'Apple Store et se trouve facilement sur le Refurb à 229€). Pour beaucoup, son disque dur de 160 Go est étriqué. Nous avons à plusieurs reprises expliqué comment en changer son disque PATA et même utiliser un disque SATA.
La principale difficulté restait de devoir cloner de manière très particulière son disque dur sur le nouveau. Sachez qu'un logiciel compatible Leopard et Snow Leopard s'acquitte maintenant de cette tâche en (presque) simplicité.
ATVCloner va se charger de sauvegarder les 3 partitions du disque d'origine:

Pour ça, branchez le disque d'origine de l'Apple TV sur votre ordinateur avant de lancer le logiciel. Localisez le disque de l'Apple TV et rentrez son identifiant dans le champ source, ici /dev/disk1. Choisissez une destination ayant environ de 2 Go de RAM et cliquez sur le bouton Image Source Partitions. Il va en quelques minutes récupérer les partition boot, efi et recovery. c'est rapide parce qu'il ne récupèrera pas la grosse partition de données (il faudra donc de nouveau remplir votre Apple TV).

Cliquez ensuite sur le bouton Partion New Drive, indiquez le chemin des 3 partitions enregistrées au préalable, et celle du disque de destination (pensez à rafraîchir leur liste après avoir branché le nouveau disque !). Cliquez sur Prepare New Drive au au bout de quelques minutes le nouveau disque sera prêt à installer dans l'Apple TV. Nous avons testé avec succès la manipulation qui nous a permis de remplacer le disque d'origine par un 500 Go.
Si vous aviez patché le système de votre Apple TV comme nous l'avions détaillé dans cet article, vous n'aurez pas à le refaire, le système étant alors conservé en l'état.

Add a comment

3,2,images,store,logiciels

Remplacer encore plus facilement le disque dur de son Apple TV

MacBidouille.com

- 1 days and 4 hours ago

Apple a toujours eu dans sa gamme un vilain petit canard. Pendant longtemps ce rôle a été dévolu au Mac mini qui n'évoluait pas. Maintenant qu'il est de nouveau prisé par la société, le nouveau mal aimé est sans aucun doute l'Apple TV qui n'a pas changé depuis sa sortie. Il n'a d'ailleurs même plus droit aux faveurs de l'Apple Store et se trouve facilement sur le Refurb à 229€). Pour beaucoup, son disque dur de 160 Go est étriqué. Nous avons à plusieurs reprises expliqué comment en changer son disque PATA et même utiliser un disque SATA.
La principale difficulté restait de devoir cloner de manière très particulière son disque dur sur le nouveau. Sachez qu'un logiciel compatible Leopard et Snow Leopard s'acquitte maintenant de cette tâche en (presque) simplicité.
ATVCloner va se charger de sauvegarder les 3 partitions du disque d'origine:

Pour ça, branchez le disque d'origine de l'Apple TV sur votre ordinateur avant de lancer le logiciel. Localisez le disque de l'Apple TV et rentrez son identifiant dans le champ source, ici /dev/disk1. Choisissez une destination ayant environ de 2 Go de RAM et cliquez sur le bouton Image Source Partitions. Il va en quelques minutes récupérer les partition boot, efi et recovery. c'est rapide parce qu'il ne récupèrera pas la grosse partition de données (il faudra donc de nouveau remplir votre Apple TV).

Cliquez ensuite sur le bouton Partion New Drive, indiquez le chemin des 3 partitions enregistrées au préalable, et celle du disque de destination (pensez à rafraîchir leur liste après avoir branché le nouveau disque !). Cliquez sur Prepare New Drive au au bout de quelques minutes le nouveau disque sera prêt à installer dans l'Apple TV. Nous avons testé avec succès la manipulation qui nous a permis de remplacer le disque d'origine par un 500 Go.
Si vous aviez patché le système de votre Apple TV comme nous l'avions détaillé dans cet article, vous n'aurez pas à le refaire, le système étant alors conservé en l'état.

Add a comment

3,2,images,store,logiciels

BusyCal: un iCal... en beaucoup mieux!

Marty : Créer un serveur OpenVPN

Planet Libre

- 1 days and 6 hours ago

Article publié le 23/09/2009

Depuis quelques mois, les solutions de VPN payant type Ipredator ont fleuri sur la toile. Ces solutions d'anonymat, séduisantes au premier abord, possèdent un gros point noir : qui se cache réellement derrière ces VPN ? N'y a-t-il pas un risque que ces « bienfaiteurs de l'Internet libre » ne revendent un jour toutes les données collectées ? Comme on n'est jamais mieux servi que par soi-même, nous allons voir comment monter son propre serveur VPN grâce à OpenVPN. Par ailleurs, ce VPN pourra aussi vous servir à passer les éventuelles restrictions mises en place sur votre lieu de travail, ou sécuriser votre connexion lorsque vous devez vous connecter sur des réseaux publics peu sécurisés.

Configuration du serveur

Avant toute chose, vous devez avoir accès à un serveur, si possible avec une bande passante suffisante. En effet, ce serveur va servir de relai entre vous et la cible distante : la bande passante en upload du serveur deviendra votre bande passante en download maximale. Dès lors, mieux vaut se tourner vers un service professionnel, offrant souvent une bande passante allant jusqu'à 100 Mb/s (environ 12 Mo/s). Cherchez donc du côté des VPS (Virtual Private server) : vous aurez toutes les possibilités d'un serveur dédié, mais à prix (et performances) réduit. Un serveur OpenVPN est très léger, donc 128 Mo de RAM devraient être suffisants. En France, Gandi, OVH ou LWS ont des offres intéressantes à moins de 15 â‚¬ par mois. Partagée entre 2 ou 3 personnes de confiance, cette solution est rapidement plus avantageuse qu'une solution type Ipredator. Attention tout de même car beaucoup de VPS promettent une bande passante de 100 Mbits/s, mais en pratique ce n'est pas le cas. La bande passante n'est pas partagée de manière équitable entre les différentes machines virtuelles, et résultat les performances laissent à désirer (j'ai déjà eu le cas avec du 100 Mbits/s qui en pratique approchait péniblement le 100 kbits/s...). Cherchez donc des solutions où la bande passante est moindre, mais assurée (comme Gandi le propose).

Avant de mettre en place votre VPN, pensez à sécuriser votre serveur. Une machine avec IP fixe accessible 24h/24 sera irrémédiablement la cible d'attaques.

Installation de OpenVPN et création des clés et certificats

Installez tout d'abord OpenVPN, bien souvent disponible dans les dépôts de base de votre distribution :

marty@server:# apt-get install openvpn

OpenVPN peut fonctionner avec plusieurs types d'authentification. Nous utiliserons l'authentification par clés et certificats, plus sûre que le classique login/mot de passe. Pour générer les clés et certificats nécessaires, des scripts ont été créés et se situent, sous Ubuntu 9.04, dans le dossier /usr/share/doc/openvpn/examples/easy-rsa/2.0. Commençons par copier tout ceci dans un répertoire de travail (tout le processus doit s'effectuer en tant que root) :

marty@server:# cd /etc/openvpn marty@server:# cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn marty@server:# mv 2.0/ easy-rsa/ marty@server:# cd easy-rsa/

Modifiez tout d'abord les variables du fichiers vars :

export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL="me@myhost.mydomain"

Initialisez-le via la commande :

marty@server:# . ./vars

(vous devez bien écrire point/espace/point, ce n'est pas une erreur).

On efface les éventuelles clés présentes :

marty@server:# ./clean-all

On crée le certificat et la clé de l'Autorité de Certification (CA) :

marty@server:# ./build-ca

Les fichiers ca.crt et ca.key sont alors créés dans le dossier keys, et les variables précédentes devront être confirmées. Ces fichiers sont les fichiers centraux de la sécurité de votre serveur OpenVPN. La clé vous servira à signer les clés du (des) serveur(s) ainsi que des différents clients, et le certificat servira de « carte d'identité » à laquelle serveur(s) et clients se réfèreront.

On crée le certificat et la clé pour le serveur :

marty@server:# ./build-key-server server

Laissez toutes les options par défaut (y compris la demande de mot de passe), et répondez « yes » à la question de la signature :

Certificate is to be certified until Sep 5 14:02:19 2019 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y

Le certificat du serveur sera alors signé avec la clé de l'Autorité de Certification. Les fichiers server.crt et server.key seront créés.

On crée le certificat et la clé pour le client :

marty@server:# ./build-key client1

De la même manière que pour le serveur, on laisse toutes les options par défaut et on accepte la signature par avec la clé de la CA. Les fichiers client1.crt et client1.key seront créés. Il est recommandé de créer une paire certificat/clé par client, de manière à pouvoir les révoquer par la suite si nécessaire (au cas où le client les perdrait).

Pour que notre serveur fonctionne, nous auront également besoin des paramètres de Diffie-Hellman :

marty@server:# ./build-dh

Le fichier dh1024.pem est créé. J'avoue, je n'ai pas compris à quoi cela servait précisément dans le cas de OpenVPN...

Finalement, nous augmentons encore la sécurité de notre serveur grâce à tls-auth :

marty@server:# openvpn --genkey --secret keys/ta.key

Le fichier ta.key est créé.

Résumé des fichiers créés

Au terme dela génération de ces diverses clés et certificats, nous obtenons les fichiers suivants :

ca.crt : certificat de l'Autorité de Certification
ca.key : clé de l'Autorité de Certification
server.crt : certificat du serveur
server.key : clé du serveur
client1.crt : certificat du client1
client1.key : clé du client1
dh1024.pem : paramètres de Diffie-Hellman
ta.key : clé utilisée pour tls-auth

En vert, les fichiers qui ne sont pas secrets, en rouge les fichiers secrets. Attention toute particulière au fichier ca.key qui sert à signer tous les certificats. Il permet d'autoriser ou non un client, et il est donc fondamental qu'il soit gardé secret !

En pratique, les fichiers nécessaires sont :

serveur : ca.crt, server.crt, server.key, dh1024.pem et ta.key
client1 : ca.crt, client1.crt, client1.key et ta.key

Notez bien que le fichier ca.key n'est nécessaire ni sur le serveur, ni chez aucun client ! Gardez-le en lieu sûr ;-)

Fichier de configuration serveur

Toute la configuration s'effectue dans un fichier quelconque, ci-après server.conf. Voilà un exemple typique :

#Configuration serveur mode server # c'est le fichier de configuration du serveur proto tcp # protocole TCP port 443 # port 443 (https) dev tun # mode routé #Clefs ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem tls-auth keys/ta.key 0 # 0 pour le serveur cipher AES-256-CBC # algorithme de chiffrement #Configuration VPN #client-to-client # permet la connexion entre clients server 10.8.0.0 255.255.255.0 # adresse IP attribuées sur le VPN push "redirect-gateway def1 bypass-dhcp" # redirection du flux de données push "dhcp-option DNS 208.67.222.222" # utilisation de DNS alternatifs push "dhcp-option DNS 208.67.220.220" keepalive 10 120 # ping toutes les 10 secondes, # considéré comme down après 120 secondes sans réponses #Divers user nobody # on passe de l'utilisateur root à nobody group nogroup # nogroup est typique d'Ubuntu, groupe nobody pour les autres chroot /etc/openvpn/ovpn_jail # chroot de openvpn persist-key # n'accède plus à certaines options, persist-tun # car réduction des privilèges utilisateur comp-lzo # compression des données #Log verb 3 # verbosité du log (1-9, 4 recommandé) mute 20 # ne répète pas plus de 20 fois un message status openvpn-status.log # fichier de statut log-append /var/log/openvpn.log # fichier de log

Tout d'abord, le port utilisé (443) a été choisi parce qu'il n'est jamais bloqué (port https). Vous pouvez utiliser un autre port plus aléatoire si vous ne devez pas contourner de blocages quelconques.

Le mode routé (dev tun) est préféré au mode bridgé pour sa plus grande simplicité de configuration. Si vous avez une utilisation « basique » du VPN, ne vous préoccupez pas de ça.

De nombreux algorithmes de chiffrement sont disponibles. Nous choisissons ici le chiffrement AES 256 bits, qui est assez élevé. Si votre serveur rame, tentez de passer à du 128 bits.

client-to-client permet à deux clients de se connecter l'un à l'autre, par exemple via un serveur NFS. Dans notre cas, cette ligne est commentée.

server 10.8.0.0 255.255.255.0 définit le range d'adresses IP locales qui seront attribuées. Le serveur prendra l'adresse 10.8.0.1, et les clients 10.8.0.2, 10.8.0.3, 10.8.0.4... Attention : cette adresse ne doit rentrer en conflit avec aucune autre. Évitez donc d'utiliser les habituelles 192.168.x.x ou 10.108.x.x.

La ligne contenant « redirect-getaway » spécifie que tout le flux doit être redirigé vers le VPN. Attention à cette ligne qui peut différer d'une version à l'autre. Il semble que sous CentOS, il ne faille pas mettre les mots clés « def1 bypass-dhcp », alors que sous Ubuntu 9.04 cela est obligatoire.

Par la suite, la sécurité est améliorée en diminuant les privilèges du programme (« user nobody », « group nogroup ») et en effectuant un chroot (le dossier spécifié doit être créé). De cette manière, une éventuelle faille d'OpenVPN ne pourra être exploitée qu'en tant qu'utilisateur restreint, dans un environnement restreint.

Vous pouvez faire un premier test, en commentant la ligne « log-append » pour que le log s'affiche directement dans le terminal. Pour cela, on lance (en root, dans le dossier où se trouvent le fichier server.conf ainsi que le répertoire keys) :

marty@server:# openvpn server.conf OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Mar 9 2009 Diffie-Hellman initialized with 1024 bit key /usr/bin/openssl-vulnkey -q -b 1024 -m Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication TLS-Auth MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ] ROUTE default_gateway=XXX.XXX.XXX.XXX TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ] chroot to '/etc/openvpn/ovpn_jail' and cd to '/' succeeded GID set to nogroup UID set to nobody Listening for incoming TCP connection on [undef]:443 Socket Buffers: R=[87380->131072] S=[16384->131072] TCPv4_SERVER link local (bound): [undef]:443 TCPv4_SERVER link remote: [undef] MULTI: multi_init called, r=256 v=256 IFCONFIG POOL: base=10.8.0.4 size=62 MULTI: TCP INIT maxclients=1024 maxevents=1028 Initialization Sequence Complete

La première ligne en gras indique que l'interface tun0 a bien été créée (c'est le réseau virtuel), et les 3 autres que le chroot ainsi que le changement de propriétaire ont bien fonctionné. Dans un autre terminal, le ifconfig donne :

eth0 Link encap:Ethernet HWaddr 00:16:3e:51:5f:e9 inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.255 Mask:255.255.252.0 inet6 addr: fe80::216:3eff:fe51:5fe9/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:162377096 errors:0 dropped:0 overruns:0 frame:0 TX packets:153812357 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4278174076 (4.2 GB) TX bytes:2956197161 (2.9 GB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:127075 errors:0 dropped:0 overruns:0 frame:0 TX packets:127075 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:77312107 (77.3 MB) TX bytes:77312107 (77.3 MB) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

L'adresse IP du serveur sur le réseau virtuel (tun0) est bien 10.8.0.1.

En l'état, votre serveur ne fonctionnera pas. Pourquoi ? Parce que le firewall n'a pas été configuré bien sûr ;-)

Configuration du firewall

Avant toute chose, on s'assure que le forwarding est activé en tapant dans un terminal (en root) :

marty@server:# echo 1 > /proc/sys/net/ipv4/ip_forward

Comme dans la section précédente, nous utiliserons Webmin pour configurer le firewall.

Dans la section Packet filtering, on ajoute les règles :

Incoming packets (INPUT) Accept If protocol is TCP and destination port is 443 Accept If input interface is tun0 Forwarded packets (FORWARD) Accept If input interface is tun0 Accept If output interface is tun0

Et dans la section Network address translation :

Packets after routing (POSTROUTING) Masquerade If source is 10.8.0.0/24 and output interface is eth0

Adaptez évidemment en fonction du protocole, port et adresse IP choisis.

Avec Iptables, cela donne :

iptables -A INPUT --dport 443 -p tcp iptables -A INPUT -i eth0 iptables -A FORWARD -i tun0 -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ces règles sont peut-être un peu trop permissives, il est surement possible de les améliorer.

Configuration du client

Configurer un client est très simple, car cela repose sur la création dun fichier client.conf, à la manière du server.conf. Voilà le fichier client.conf associé au server.conf précédent :

#Configuration client client # mode client dev tun proto tcp-client remote XXX.XXX.XXX.XXX 443 #Remplacer XXX par l'adresse IP ou le nom d'hôte resolv-retry infinite nobind persist-key persist-tun #Clefs ca keys/ca.crt cert keys/client1.crt key keys/client1.key tls-auth keys/ta.key 1 #1 pour le client cipher AES-256-CBC #Ces 3 lignes sont inutiles si spécifié dans la configuration du serveur #redirect-gateway def1 bypass-dhcp #dhcp-option DNS 208.67.222.222 #dhcp-option DNS 208.67.220.220 comp-lzo verb 3

Il faut bien s'assurer que les options sont identiques entre client et serveur (compression, port, protocole, chiffrement...), car une seule erreur et ça ne fonctionnera pas. Après avoir fourni les clés fichiers nécessaires (voire section précédente) ainsi que le fichier client.conf au client concerné, installé OpenVPN sur la machine cliente, il suffit de lancer dans un terminal (après avoir préalablement lancé OpenVPN sur le serveur):

marty@client:# openvpn client.conf OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on May 8 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. /usr/bin/openssl-vulnkey -q -b 1024 -m Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication LZO compression initialized Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ] Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ] Local Options hash (VER=V4): '2f2c6498' Expected Remote Options hash (VER=V4): '9915e4a2' Attempting to establish TCP connection with XXX.XXX.XXX.XXX:443 [nonblock] TCP connection established with XXX.XXX.XXX.XXX:443 Socket Buffers: R=[87380->131072] S=[16384->131072] TCPv4_CLIENT link local: [undef] TCPv4_CLIENT link remote: XXX.XXX.XXX.XXX:443 TLS: Initial packet from XXX.XXX.XXX.XXX:443, sid=4421b77a 4dc14e71 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=Fort-Funston_CA/emailAddress=me@myhost.mydomain VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=server/emailAddress=me@myhost.mydomain Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA [server] Peer Connection Initiated with XXX.XXX.XXX.XXX:443 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' OPTIONS IMPORT: timers and/or timeouts modified OPTIONS IMPORT: --ifconfig/up options modified OPTIONS IMPORT: route options modified OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500 route add -net XXX.XXX.XXX.XXX netmask 255.255.255.255 gw 192.168.1.1 route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.5 route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.5 route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5 Initialization Sequence Complete

et ça devrait fonctionner ! Pour vérifier, on tente d'abord un ifconfig qui devrait renvoyer quelque chose de similaire à ce qui s'affiche sur le serveur, et vérifier son adresse IP sur http://checkip.dyndns.com. Vous devriez alors avoir l'adresse IP du serveur. Par ailleurs, vérifiez également que vos DNS ont été changés (allez sur le site http://www.opendns.com/, et si c'est le cas « You're using OpenDNS » devrait être indiqué). Si ce n'est pas le cas, changez-les manuellement dans le fichier /etc/resolv.conf ou via l'applet de configuration réseau.

Un peu d'automatisation...

Côté serveur, on peut lancer OpenVPN grâce à la commande :

marty@server:# nohup openvpn server.conf &

nohup permet de ne pas terminer la commande (en l'occurence, openvpn) lorsqu'on coupera la connexion SSH. Selon la distribution utilisée, il est possible qu'OpenVPN se lance automatiquement au démarrage.

Côté client, il vous faudra installer le paquet network-manager-openvpn pour pouvoir effectuer la configuration depuis l'applet réseau. Avec les versions récentes de ce dernier, il suffit de glisser-déposer le fichier client.conf dans l'onglet VPN pour que la configuration soit automatique. On activera/désactivera alors simplement la connexion via l'applet réseau.

Conclusion

En principe, tout devrait être fonctionnel. Si ce n'est pas le cas, n'hésitez à pas demander de l'aide au support de votre hébergeur, certains nécessitant une configuration supplémentaire pour fonctionner.

Vous pouvez également vérifier le trafic réseau grâce à Wireshark (à lancer en root). Allez dans Capture â†’ Options, puis cliquez sur Start. Dans la colonne Info, vous devriez voir la mention « Encrypted data » de nombreuses fois, et des transferts vers le port https (si vous avez choisi le port 443, évidemment). Si c'est le cas, c'est que ça fonctionne !

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Add a comment

6,4,1,3,2

Marty : SSH : la connexion à distance sécurisée

Planet Libre

- 1 days and 6 hours ago

Article publié le 27/08/2009

Dans cet article, nous aborderons la connexion à distance vers un PC sous GNU/Linux. L'intérêt premier est évidemment l'administration d'une machine à distance, mais cela peut également être utile pour la récupération de fichiers lors de voyages à l'étranger. Outre la mise en place d'un serveur SSH, nous traiterons de la gestion firewall, du routeur éventuel ainsi que de l'adresse IP dynamique.

Configuration du serveur

Le serveur est la machine à laquelle vous voulez vous connecter, et qui retiendra la majorité de notre attention. Cette machine devra être équipée d'une distribution GNU/Linux quelconque. Une installation sous Windows est possible, mais semble être plus du bricolage qu'autre chose.

IP fixe sur le LAN

Par défaut, l'attribution de l'adresse IP sur le réseau local (LAN) se fait par DHCP, et est donc variable. Cela peut poser des problèmes lorsque, par exemple, le routeur devra transférer les données vers votre serveur. La première chose à faire est donc d'attribuer une IP fixe à votre serveur. Pour cela, vous devez connaitre l'adresse IP de votre passerelle ainsi que la gamme d'adresses IP attribuées. Par exemple, chez la passerelle est 192.168.1.1 et les IP sont attribuées entre 192.168.1.2 et 192.168.1.254. La configuration à appliquer dans votre système devra ressembler à ça :

Configuration en IP fixe

Cette fenêtre varie d'une distribution à l'autre, mais elle est souvent accessible via un clic sur l'applet de connexion réseau. Vous devrez peut-être aussi indiquez les serveurs DNS (permettant de faire le lien entre une adresse IP et le nom de domaine) ; indiquez ceux d'OpenDNS, à savoir 208.67.222.222 et 208.67.220.220.

Installation du serveur SSH

Installons tout d'abord le serveur SSH, à savoir OpenSSH. Sous debian/Ubuntu :

marty@serveur:~$ sudo apt-get install openssh-server

À ce stade, le serveur est déjà opérationnel, mais allons tout d'abord faire un tour dans les options de configuration du fichier /etc/sshd.conf. La majorité des options par défaut sont bonnes, mais nous allons en modifier quelques unes. Tout d'abord le port d'écoute, par défaut 22, peut être modifié :

Port 12345

Changer le port par défaut permet de réduire les tentatives de connexion par des robots. Évidemment, une personne physique effectuant un scan de port complet pourra facilement trouver les ports ouverts. Ensuite, s'assurer que la connexion en root est impossible :

PermitRootLogin no

Root est le seul utilisateur commun à toutes les distributions (excepté Ubuntu, pour lequel il est désactivé par défaut et remplacé par sudo). Par conséquent, interdire la connexion à root obligera un attaquant éventuel à trouver un nom d'utilisateur existant. Et finalement, désactiver l'authentification par mot de passe :

PasswordAuthentication no UsePAM no

Comment allons-nous nous connecter au serveur ? Et bien en utilisant ce que nous avons appris précédemment, à savoir une paire de clés ! De manière similaire à ce que nous faisions avec GnuPG, nous génèrerons une paire de clé sur chaque client, et nous fournirons la clé publique au serveur. De cette façon, seuls les clients ayant une clé enregistrée sur le serveur pourront s'y connecter. Notez que dans un premier temps, vous devrez avoir un accès physique au serveur pour copier la clé publique. Si ce n'est pas le cas, laissez les paramètres précédents sur « yes » le temps d'enregistrer votre clé.

Quand ces modifications ont été appliquées, relancez le démon ssh :

marty@serveur:~$ sudo /etc/init.d/ssh restart Routeur et configuration du firewall via Webmin

Si vous êtes derrière un routeur, et que votre serveur doit être accessible depuis d'extérieur de votre LAN, vous devez transférer le port choisi vers votre serveur. Concernant le firewall, si vous savez comment configurer le votre, ouvrez simplement le port que vous avez attribué, sous le protocole TCP. Si ce n'est pas le cas ou que vous voulez découvrir Webmin, lisez donc la suite ;-)

Tout bon serveur qui se respecte se doit d'avoir un firewall bien configuré. Sous GNU/Linux, le firewall intégré au système est Netfilter. Il existe plusieurs possibilités pour le configurer :

en ligne de commande, grâce à iptables ou shorewall
en utilisant le firewall Firestarter
grâce à Webmin, un outil d'administration graphique assez général

Si Firestarter reste la solution la plus simple, c'est aussi la moins « propre » vu ses possibilités limitées et sa configuration basique. Iptables requiert quant à lui un peu d'expérience pour être manipulé correctement. Reste alors Webmin, assez simple d'accès tout en proposant des possibilités de configuration poussées. C'est celui-ci que nous allons utiliser. Notez que les firewalls graphiques n'enregistrent pas leur configuration directement dans Netfilter : ils ont besoin d'être lancés pour que les règles soient appliquées. En outre, si deux firewalls fonctionnent en même temps, ce sont les règles du dernier ayant été lancé qui seront appliquées. Veillez donc à n'avoir qu'un firewall bien configuré sur votre machine pour éviter les embrouilles ;-)

Procurez-vous tout d'abord Webmin, celui-ci étant disponible pour de nombreuses distributions. Après installation, rendez vous sur la page https://localhost:10000/ via votre navigateur web. L'utilisateur est root, et votre mot de passe est votre mot de passe root. Pour les utilisateurs d'Ubuntu, veuillez vous référer à cette page pour activer le compte root. Rendez à la page Networking â†’ Linux Firewall.

Dans la partie Incoming packets (INPUT), voici les 5 règles de base à appliquer :

Accept If state of connection is ESTABLISHED,RELATED Accept If source is 127.0.0.1 and input interface is lo Accept If protocol is ICMP Log packet Always Drop Always

La règle « Log packet » va, comme son nom l'indique, établir un log des paquets qui seront rejetés dans /var/log/messages. Pour les retrouver facilement, je conseille d'ajouter dans la case « Additional parameters » (lors de la création de la règle) l'instruction :

--log-prefix "[IPTABLES DROP]: "

Dans la partie Forwarded packets (FORWARD), on refuse tout :

Drop Always

Je laisse la partie Outgoing packets (OUTPUT) vide, ce qui signifie que toutes les connexions sortantes sont autorisées. Vous devriez trouver assez facilement comment créer ces règle, ce n'est pas bien compliqué. Veillez tout de même à sélectionner « Equals » au lieu de « Ignored » pour les cases modifiées. L'ordre des règle est très important : elles seront appliquées de haut en bas. Il faut donc toujours que la règle « Drop Always » soit la dernière !

Pour SSH, la règle à appliquer dans Incoming packets (INPUT) est :

Accept If protocol is TCP and destination port is 12345

Nous parlons bien de port de destination. En effet, comme ce sont les paquets entrant, leur destination est bien notre serveur. 12345 est évidemment à remplacer par le port que vous avez choisi. Cliquez finalement sur « Apply Configuration », et choisissez « Yes » pour « Activate on boot ».

Protection contre les attaques « brute force » : fail2ban

Une attaque par « force brute » est une attaque tout ce qu'il y a de plus basique. Elle consiste à essayer toutes les combinaisons possibles de lettres/chiffres jusqu'à trouver le bon mot de passe. Elle est souvent combinée à une attaque par dictionnaire pour améliorer la vitesse de cassage. On comprend facilement que l'efficacité de ce type d'attaque dépend de la solidité du mot de passe choisi : « banane76â€³ risque d'être découvert beaucoup plus rapidement que « a0Dâ‚¬8È}~v£2%ï2â€³.

Pour se prémunir d'une telle attaque sur son serveur SSH, les précautions précédentes (pas de connexion en root, changement du port pour limiter les attaques par des robots) permettent déjà de limiter les risques. Si la connexion par mot de passe est désactivée, ces attaques seront totalement inefficaces. Cependant, on peut vouloir laisser cette possibilité active pour une raison ou une autre. Fail2ban va nous aider à nous protéger contre les attaquants éventuels (et n'ayez crainte, vous devrez y faire face très rapidement). Le principe est simple : bannir les adresses IP qui ont effectué trop de tentatives infructueuses de connexion, via une règle dans le firewall.

Tout d'abord, installer fail2ban :

marty@serveur:~$ sudo apt-get install fail2ban

Ouvrez ensuite le fichier /etc/fail2ban/jail.conf, et cherchez les parties suivantes :

[DEFAULT] ignoreip = 127.0.0.1 bantime = 900 findtime = 600 maxretry = 3 [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6

La partie [DEFAULT] contient les options par défaut, alors que la partie [ssh] les options propres à SSH (sans déconner !). Passons-les en revue :

ignoreip permet d'ignorer les connexions venant d'une certaine adresse IP, ici l'adresse IP locale
bantime est la durée de bannissement d'une adresse attaquant
findtime est le laps de temps pendant lequel les connexions d'une même IP vont être analysée
maxretry est le nombre maximum de tentative de connexions infructueuses avant bannissement

Dans mon cas, si le serveur reçoit 6 connexions infructueuses (maxretry) en moins de 10 minutes (findtime), l'adresse IP sera bannie 15 minutes (bantime). Dans le cas de SSH, un mot de passe est demandé 3 fois à chaque connexion, ce qui fait au maximum 72 essais par heure et par adresse IP.

Après configuration, relancez fail2ban :

marty@serveur:~$ sudo fail2ban-client reload

Vous pouvez également vérifier s'il fonctionne correctement :

marty@serveur:~$ sudo /etc/init.d/fail2ban status

Voilà, avec ça vous devriez être tranquille.

Adresse IP dynamique

Si votre FAI vous attribue une adresse IP dynamique (adresse IP de votre ordinateur sur Internet, pas sur le réseau local !), vous aurez besoin d'un service comme DynDNS. Celui-ci vous permettra d'associer à votre serveur un nom de domaine, et ce gratuitement. L'adresse IP sera mise à jour grâce au logiciel ddclient que nous installerons plus tard.

Vous devez tout d'abord vous créer un compte sur le site de DynDNS. Allez ensuite sur la page « Host Services », et cliquez sur « Add New Hostname ». Choisissez un nom de domaine, sélectionnez « Host with IP address » et indiquez votre adresse IP. Pour mettre à jour l'IP, trois possibilités :

le faire manuellement via l'interface de DynDNS (peu pratique)
via l'interface de votre modem/routeur/*box : certains appareils disposent en effet de la possibilité d'enregistrer un compte et de mettre à jour votre IP automatiquement
en installant ddclient

Installez ddclient :

marty@serveur:~$ sudo apt-get install ddclient

La configuration du fichier /etc/ddclient.conf devrait ressembler à ceci :

## ddclient configuration file daemon=300 # check every 300 seconds syslog=yes # log update msgs to syslog pid=/var/run/ddclient.pid # record PID in file. ssl=yes ## Detect IP with our CheckIP server use=web, web=checkip.dyndns.com/, web-skip='IP Address' ## Default options protocol=dyndns2 ## DynDNS username and password here server=members.dyndns.org login=YYYYYYYY password='XXXXXXXX' ## Dynamic DNS hosts blablabla.tatata.com

Indiquez votre login, mot de passe (entre guillemets simples) ainsi que le(s) nom(s) de domaine. J'ai choisi de faire la mise à jour toutes les 5 minutes.

Configuration du client

Côté client, la configuration est très simple. Après installation du paquet openssh-client, connectez-vous grâce à la commande :

marty@client:~$ ssh -p 12345 login@blablabla.tatata.com

où login est votre login sur le serveur et 12345 à remplacer par le port choisi. Notez que si vous vous connectez depuis votre réseau local, il y a de fortes chances pour que l'utilisation du nom de domaine ne fonctionne pas. Il faudra plutôt utiliser l'adresse IP fixe du serveur. Si vous avez laissé le port par défaut (22), l'option -p est inutile.

Authentification par clé publique/privée

Rappelez-vous : nous devions utiliser la connexion par clé publique/privée ! Dans le cas où la connexion via mot de passe est désactivée, cette commande ne fonctionnera pas. Générons la paire de clé :

marty@client:~$ ssh-keygen -t dsa

Laissez les options par défaut, et indiquez une phrase de passe. Ensuite, vous devrez copier le contenu du fichier ~/.ssh/id_dsa.pub dans le fichier /home/login/.ssh/authorized_keys de votre serveur. Si la connexion par mot de passe n'est pas désactivée, vous pouvez utiliser la ligne :

marty@client:~$ ssh login@blablabla.tatata.com "echo $(cat ~/.ssh/id_dsa.pub) >> .ssh/authorized_keys"

(sur une seule ligne) Grâce à la même commande que précédemment, connectez-vous sur votre serveur. Votre phrase de passe vous sera demandée à la place de votre mot de passe, et si cela fonctionne, vous pouvez désactiver l'autorisation par mot de passe si ce n'est déjà fait (soyez tout de même sûr de pouvoir accéder physiquement au serveur au cas où votre clé privée serait perdue).

Taper sa phrase de passe, c'est chiant... Oui, je sais. Nous allons donc utiliser ssh-agent pour nous faciliter la vie. Dans un terminal, tapez :

marty@client:~$ ssh-add

et entrez votre phrase de passe. Connectez vous sur votre serveur et là, magie, votre phrase de passe ne vous est plus demandée ! C'est là un énorme avantage d'utiliser l'authentification par clé publique/privée plutôt que par mot de passe. Il suffit d'entrer sa phrase de passe en début de session, et on est tranquille toute la journée ;-) Il est possible de fournir la même clé publique sur plusieurs serveurs SSH : une fois la passphrase enregistrée, les connexions se font sans mot de passe. Qui plus est, on n'a pas à retenir un mot de passe différent pour chaque serveur.

Transfert de fichiers

Il est possible de transférer des fichiers via SSH grâce à la commande scp. Pour envoyer un fichier sur le serveur :

marty@client:~$ scp -P 12345 fichier marty@serveur:/dossier/serveur

Pour récupérer un fichier du serveur :

marty@client:~$ scp -P 12345 marty@serveur:/dossier/fichier /dossier/client

Attention, c'est bien un P majuscule !

Le logiciel gftp permet de faire graphiquement la même chose que scp. Il se présente sous la forme de deux fenêtres, une pour le client et une pour le serveur.

Gftp

Faites attention de sélectionner le bon type de fichier (ASCII -- fichier texte simple -- ou Binaire -- le reste) dans le menu « FTP ».

Et les autres OS ?

Le noyau de Mac OS X étant un dérivé de BSD, les lignes de commandes devraient être identiques. Sous Windows, allez voir du côté de PuTTY pour la ligne de commande et WinSCP comme équivalent de gftp.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Add a comment

6,1,3,2,robots

Marty : Sécuriser et rendre anonyme sa navigation

Planet Libre

- 1 days and 6 hours ago

Article publié le 21/06/2009

Dans cette quatrième partie consacrée à la sécurité et l'anonymat sur Internet, nous étudierons les possibilités existantes pour la navigation sur la toile. Avant toute chose, précisons tout de même qu'être anonyme à 100 % est tout simplement impossible. Théoriquement il est toujours possible de remonter jusqu'à vous, mais en pratique il est possible de rendre les choses très difficiles.

Le protocole HTTPS

Le HTTPS n'est rien d'autre que le protocole HTTP classique (celui utilisé pour la navigation web) auquel on a ajouté une méthode de chiffrement TLS. En d'autres termes, il s'agit de la navigation web où les transfert sont chiffrés entre le client (vous) et le serveur. En pratique, cela fonctionne en 3 étapes :

Le client se connecte au serveur.
Le serveur envoie un certificat numérique X.509 ainsi que sa clé de chiffrement symétrique.
Le client vérifie que (i) le certificat est valide, (ii) qu'il a été fourni par une authorité de certification connue, (iii) qu'il n'a pas été altéré et (iv) que le nom de domaine correspond.

Si tout s'est bien passé, le client et le serveur peuvent communiquer de manière chiffrée grâce à la clé qui a été échangée. Si un « pirate » venait à intercepter les données, il ne pourrait rien en faire. C'est la méthode utilisée sur la majorité des sites de vente en ligne ou des banques. On reconnait l'utilisation du HTTPS à :

l'utilisation de https au lieu de http dans la barre d'adresse (exemple de site non sécurisé, et sécurisé)
la présence d'un petit cadenas, en bas à droite (pour Firefox)

Le HTTPS est sensiblement plus lent que le HTTP vu l'opération supplémentaire de chiffrement. Il n'assure en rien l'anonymat, mais permet de communiquer des informations à un serveur en toute sécurité.

Utilisation de proxys

Un proxy est une passerelle entre vous et le site web que vous désirez visiter. Au lieu d'envoyer directement les demandes au serveur, vous passerez par le proxy qui se chargera de les communiquer au site final. Certains proxys permettent l'utilisation du protocole HTTPS. Les avantages sont les suivants :

Anonymat au niveau du site visité : le site que vous visitez ne sait pas qui a demandé au proxy de lui transmettre des informations.
Anonymat au niveau de votre FAI : votre FAI voit que vous vous connectez au proxy, mais ne connait pas la page finale que vous désirez voir. Ceci est d'autant plus vrai si le proxy utilise le protocole HTTPS. En outre, vous pouvez contourner les éventuelles restrictions mises en place par certaines sociétés (aller sur Youtube, Myspace, Facebook...).
Sécurité : le proxy dispose très souvent d'un firewall bloquant les éventuelles attaques provenant de sites malveillants.

Il y a cependant quelques inconvénients à l'utilisation de proxys :

Le proxy connait les sites que vous visitez, et revendra éventuellement ces informations. Rien n'est totalement gratuit...
Un proxy malveillant pourrait collecter les mots de passes de connexion, ou toute autre information transitant par lui.

Un proxy est donc plus centré sur l'anonymat que sur la sécurité, à moins de connaitre personnellement celui qui l'a mis en place. Il est aussi intéressant de changer régulièrement de proxy, de manière à éviter qu'un proxy ne collecte trop d'informations sur vous.

Connexion avec et sans proxy

Le proxy simple

Après la théorie, passons à la pratique. Tout d'abord, il faudra trouver un proxy, par exemple sur proxy.org ou encore atproxy.net. Après avoir fait votre choix dans la liste (certains ne fonctionnent pas ou sont très lents), rendez-vous sur la page correspondante (exemple), indiquez l'adresse que vous désirez visiter et validez. Une barre d'options est souvent ajoutée en haut de la page de navigation.

Pour faciliter l'utilisation de proxys, il existe plusieurs modules pour Firefox. Mon préféré est Phzilla, très simple d'utilisation mais dont le développement a récemment été abandonné. FoxyProxy est lui un outil très complet, un peu trop pour moi d'ailleurs vu mon utilisation très ponctuelle de proxys.

Tor et Privoxy

Et si au lieu d'utiliser un seul relai, nous en utilisions plusieurs ? C'est le principe de de Tor, qui couplé à Privoxy vous permet d'atteindre un très haut niveau d'anonymat. Tor est composé d'un ensemble connu de relais qui seront utilisés pour atteindre un site désiré. Le chemin suivi à travers les proxys change régulièrement, de sorte qu'il est pratiquement impossible de savoir d'où viennent et où vont les données.

Connexion via Tor

Privoxy est un proxy web permettant un filtrage avancé du contenu, mais il ne nous servira qu'à masquer la requête DNS. En fait, lorsque vous vous connectez à un site web (par exemple www.google.com), vous passez tout d'abord par un serveur DNS qui fera le lien entre l'adresse demandée et son adresse IP (en l'occurence, 208.69.34.231). Ceci a deux avantages :

facilité pour retenir le site : en effet, il est beaucoup plus facile de retenir un nom (www.google.com) qu'une série de 5 nombres (208.69.34.231)
indépendance vis-à-vis de l'adresse IP : un site peut changer d'adresse IP, ceci sera totalement transparent pour l'utilisateur

Lorsqu'on désire utiliser Tor, la première chose qui est faite est de demander au serveur DNS (souvent celui du FAI) quelle est l'adresse IP correspondante. Ceci est un gros trou dans l'anonymat : si le FAI ne voit pas les connexions avec le site sur lequel on veut se connecter, il sait tout de même qu'on a demandé quelle était son adresse IP. Privoxy permet de combler ce trou.

Installation et configuration

Dans le cas où vous utilisez Ubuntu, Tor n'est pas inclu dans la version 9.04 et il faudra ruser pour l'installation. Je vous laisse consulter la page dédiée. Dans le cas d'autres distributions, l'installation de Tor et Privoxy ne devrait poser aucun problème. Après installation, il faudra modifier les fichiers de configuration de Privoxy pour qu'il communique avec Tor. Éditez le fichier /etc/privoxy/config en root et ajoutez la ligne :

forward-socks4a / localhost:9050 .

Pour trouver la ligne adéquate, cherchez la chaîne « forward-socks » dans le fichier. Lancez ensuite les deux services, par exemple sous Ubuntu :

sudo /etc/init.d/tor restart sudo /etc/init.d/privoxy restart

Il ne reste plus qu'à configurer votre navigateur web. Dans le cas de Firefox, allez dans Éditions â†’ Préférences, allez dans la section Avancé, onglet réseau, puis cliquez sur paramètres et configurez comme suit :

Configuration de Firefox

Vous pouvez vérifier que Tor fonctionne bien en visitant le lien http://check.torproject.org/. Il existe également des modules pour Firefox, permettant de switcher facilement sur Tor (comme Torbutton ou FoxyProxy).

Il est possible de monter un serveur Tor chez soi, de manière à renforcer l'anonymat. En effet, impossible alors de savoir si ce qui a transité par votre PC était bien de votre volonté ou un transfert d'un proxy à un autre.

Remarque importante : Tor permet l'anonymat, mais pas la sécurisation des données. En effet, même si les données sont chiffrées entre tous les nÅ“uds du réseau, elles ne le sont pas entre le nÅ“ud final et le site auquel on veut accéder. Prudence donc...

I2P

A première vue, I2P propose des fonctionnalités similaires à Tor, mais son fonctionnement est quelque peu différent. Tor est composé d'un ensemble de proxys connus (donc centralisé), chacun permettant d'accéder au web. Son but avoué est d'offrir l'anonymat sur la toile. I2P est plutôt centré sur la communication chiffrée d'une extrémité à l'autre entre deux personnes, tout en utilisant plusieurs passerelles. Chaque utilisateur de I2P joue le rôle de passerelle (donc décentralisé), mais à la différence de Tor seules quelques rares passerelles (« outproxy ») offrent un lien vers le web. I2P semble donc plus destiné à une forme de peer-to-peer qu'au surf anonyme, même s'il le permet également.

Installation et configuration

Téléchargez l'installeur graphique sur le site officiel, et exécutez-le. Sous Linux, tapez en ligne de commande :

java -jar i2pinstall_0.7.4.exe

Rien de bien sorcier à ce niveau, il vous suffira de choisir un répertoire d'installation. Après quelques secondes, la page de configuration (http://127.0.0.1:7657/) devrait s'ouvrir dans votre navigateur web. Vous pourrez contrôler l'état de votre passerelle, et éventuellement changer la configuration. Si votre « Reachability » est indiquée comme étant « Firewelled », vous devrez configurez votre routeur pour qu'il transfère le port 8887 (TCP et UDP) vers votre PC. Ce n'est nullement obligatoire, mais cela aide à la santé du réseau.

La configuration de Firefox est identique à celle lorsque Tor est utilisé, sauf que vous devrez indiquer le port 4444 au lieu de 8118.

Remarque : les eepsites sont des sites du réseau I2P, accessibles uniquement à partir de I2P. Leur intérêt est qu'ils ne nécessitent pas l'utilisation de passerelle spécifique accédant au web.

Les réseaux privés virtuels, ou VPN

Il existe deux inconvénients majeurs à l'utilisation de proxys :

la lenteur du surf
certains programmes ne fonctionnent pas avec Tor

Un réseau virtuel privé (VPN) permet de se connecter à un réseau externe comme si vous étiez matériellement sur ce réseau. Ceci est souvent utilisé en entreprise pour que les employés puissent accéder à leurs données professionnelles depuis l'extérieur. Les avantages sont une plus grande flexibilité par rapport à un proxy, un cryptage complet des données transitant entre l'utilisateur et le VPN, mais surtout le fait que tous les programmes fonctionnent comme si vous étiez situé sur ce réseau, et ce sans aucune configuration particulière.

En réponse aux lois contre le téléchargement prises récemment en Suède et en France, deux VPN ont été mis en place : Ipredator et Ipodah (encore à l'essai à l'heure où j'écris ces lignes). Le principe est que vous vous connectez à ces réseaux qui serviront de passerelle pour toutes les données transférées, que ce soit du surf classique ou du peer-to-peer. Le principe est donc identique au proxy, si ce n'est que vous ne serez pas limités à l'anonymat sur le web mais aussi lors des échanges P2P (nous y reviendront dans un prochain article). Selon les créateurs, aucune trace ne sera enregistrée, ce qui confère une sécurité parfaite.

En principe, les serveurs mis en places devraient être capables de soutenir une charge importante, et ne réduire que faiblement le taux de transfert des données. Notez que ces services sont payants (environ 5 â‚¬ par mois). Vous devrez également faire une confiance aveugle aux créateurs de ces services :

rien ne vous dit qu'ils n'intercepteront pas vos données
rien ne vous dit qu'ils ne gardent pas des traces de tout ce qui passe par les serveurs

De plus, ayez toujours à l'esprit que si ces serveurs sont saisis par la justice et que des traces sont gardées, remonter jusqu'à vous sera très facile même si vous n'étiez pas l'objet d'investigations. Gardez aussi à l'esprit que si ces services sont payants, des traces du paiement persisteront toujours quelque part.

Les réseaux alternatifs : le cas Freenet

Les solutions précédentes sont des suppléments ajoutés au réseau Internet. Finalement, ce ne sont que des rustines utilisées pour combler les trous de sécurité et d'anonymat du réseau. En parallèle à Internet, il existe des réseau alternatifs, conçus à la base pour être anonyme et sécurisés. Le plus célèbre d'entre eux est Freenet. Les caractéristiques principales du réseau sont :

la décentralisation totale des données : chaque utilisateur joue le rôle de serveur car une petite partie de Freenet est stockée chez chacun. Dès lors, les pages non visitées tendent à disparaitre, mais il est quasi impossible de supprimer des données tant que des utilisateurs les consultent.
un anonymat extrême : chaque utilisateur joue aussi le rôle de passerelle entre d'autres utilisateurs (à l'image de I2P). En outre, il est possible de choisir soi-même les personnes à qui on va se connecter.
un niveau de sécurité important : toutes les données stockées par Freenet sont chiffrées sur le disque, avec une clé inconnue de l'utilisateur. Ce dernier peut donc nier en toute bonne foi savoir ce qui se trouve sur son disque dur.

Notez bien que Freenet ne permet pas d'accéder au web classique : c'est un réseau parallèle. Ces caractéristiques en font un refuge idéal pour les personnes vivant dans des régimes totalitaires, mais malheureusement une vitrine parfaite pour tout ce qui est illégal. Il n'est donc pas rare de tomber sur des « recettes » de poison maison, des sites néo-nazis ou encore de la pédo-pornographie. Il faut donc utiliser ce réseau intelligemment, et résister à la curiosité malsaine. En effet, en consultant ces sites vous favorisez leur développement car chaque utilisateur (qu'il soit l'intéressé ou simple passerelle) stocke un petit morceau du réseau chez lui. Le meilleur moyen de lutter contre la prolifération de ce contenu est de simplement passer son chemin, en espérant que le site sombre lentement mais surement pour disparaître du réseau.

Installation et configuration

Après la mise en garde, passons à l'installation. Suivez les instructions sur le site officiel selon votre OS, et installez Java si ce n'est pas déjà fait. Sous Linux, tapez dans un terminal :

wget http://freenet.googlecode.com/files/new_installer_offline_1222.jar -O new_installer_offline.jar java -jar new_installer_offline.jar

Après la configuration (choisissez « normal » à toutes les propositions), vous pourrez accéder à Freenet via n'importe quel navigateur en allant à l'adresse http://127.0.0.1:8888/. Attention au cache de votre navigateur : si Freenet chiffre toutes les données stockées, votre navigateur ne le fait sûrement pas. Pensez donc à désactiver le cache, voire à utiliser un autre navigateur (dans Firefox, allez dans Édition â†’ Préférences â†’ Vie privée â†’ Décocher « Conserver mon historique »).

A suivre, partie 5 : Anonymat et partage de fichiers.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Add a comment

4,1,3,7,config

Marty : Quelques éléments de cryptographie

Planet Libre

- 1 days and 6 hours ago

Article publié le 17/05/2009

Avec le développement de l'informatique et d'Internet, l'anonymat et la sécurité sur la toile sont de plus en plus récurrents. Que ce soit au sujet de la protection de leurs données, de la correspondance privée, de la constitution d'un profil sur base des traces laissées sur la toile (voir le portrait d'un internaute par le journal Le Tigre) ou du partage de musique ou films via les logiciels de peer-to-peer (eMule ou Bittorrent), beaucoup d'internautes (à mon avis, pas encore suffisamment ;-) ) commencent à prendre conscience que se trouver derrière un écran ne les rend pas anonyme.

Dans les prochains articles, nous traiterons de l'anonymat et de la sécurité dans divers sujets :

les données personnelles (disque dur, clés USB...). Les clés USB, les disques durs externes ou même les PC portables étant des supports susceptibles d'être facilement volés ou perdus, il est nécessaire de protéger certaines données privées.
la correspondance privée (e-mails ou messagerie instantanée). On ignore souvent que les e-mails sont scannés à plusieurs reprises lorsqu'ils transitent, que ce soit par le fournisseur d'accès à Internet (FAI) ou par le service mail utilisé (Gmail, Hotmail, La Poste...).
les informations laissées sur la toile de manière délibérée ou à l'insu de l'utilisateur. Outre les sites communautaires comme Facebook, Orkut, Myspace ou Twitter où les utilisateurs fournissent délibérément des informations personnelles, n'importe quel site web peut connaitre l'endroit où vous vous trouvez, le site que vous venez de visiter ou encore votre FAI. Via les cookies, les sites web peuvent également connaitre vos habitudes en vous identifiant à chaque visite.
le partage de culture, ou piratage selon certains, via des logiciels tels qu'eMule ou Bittorent. La récente loi HADOPI ainsi que la condamnation des créateurs du site The Pirate Bay suscitent en effet l'inquiétude de nombreuses personnes.

Le point commun à la sécurité informatique est l'utilisation de la cryptographie, et sera donc le sujet de ce premier article.

La cryptographie, mais qu'est-ce donc ?

La cryptographie est une discipline s'attachant à protéger des messages en les modifiant de manière telle qu'il soit difficilement compréhensible. Donnons un petit exemple en chiffrant le mot « bonjour ». Nous pouvons tout d'abord attribuer à chaque lettre sa position correspondante dans l'alphabet, ce qui donnerait « 2 15 14 10 15 21 18 ». C'est une première étape, mais il est assez facile de décoder le message.

Pour compliquer la tâche, nous pouvons appliquer le chiffre de César qui consiste à ajouter un nombre quelconque à chaque lettre du message. Il suffira au correspondant de soustraire le nombre ajouté pour déchiffrer le message. Si nous ajoutons par exemple 3, « 2 15 14 10 15 21 18 » devient donc « 5 18 17 13 18 24 21 » ce qui correspond à « erqmrxu » Cependant, chaque langue a ses lettres les plus utilisées (en français, le E et le R). Dès lors, en analysant l'occurrence de chaque lettre dans le message il est assez facile de « casser » le chiffrement.

Nous pouvons encore compliquer le chiffrement en introduisant la notion de clé. Au lieu d'ajouter 3, nous pouvons ajouter alternativement 1 et 2. « 2 15 14 10 15 21 18 » devient « 3 17 15 12 16 23 19 », donc « cqolpws ». Il est alors nettement plus difficile de déchiffrer ce message, car il est inutile d'analyser l'occurrence de chaque lettre. Plus la clé (« 1 2 » dans notre cas) sera longue, plus il sera difficile de déchiffrer le message. C'est le principe du chiffrement symétrique.

Chiffrement symétrique

Les algorithmes de chiffrement symétrique se fondent sur une même clé pour chiffrer et déchiffrer un message, à l'image de l'exemple précédent. D'un point du vue imagé, ce chiffrement fonctionne comme un coffre-fort classique où une clé est nécessaire pour l'ouvrir ou le fermer.

De nombreux algorithmes existent et font appel à des opérations mathématiques plus ou moins compliquées qu'il est inutile de détailler ici. Citons par exemple AES, Blowfish ou Serpent qui utilisent des clés de 128, 192 ou 256 bits. A l'instar de notre chiffrement basique, plus la clé est longue et plus il est difficile de casser le chiffrement ; cependant, le temps de chiffrement augmente avec la taille de la clé (les processeurs actuels permettent toutefois de traiter rapidement des quantités de données importantes). Un avantage de ces algorithmes est de produire une chaine de caractère plus longue que la chaine initiale. Par exemple, chiffrer symétriquement « bonjour » peut donner (selon l'algorithme utilisé et le mot de passe) :

jA0EAwMCTuvQ66Iz1DZgyR2e9lZQpZoNqXQ4sJwpThRx7sY1jvukhaIAGiNgLA== =NrNU

L'inconvénient principal de ce type de chiffrement est qu'il faut pouvoir faire passer la clé de chiffrement à son correspondant de manière sure. De plus, dans l'idéal il est nécessaire d'utiliser une clé par correspondant. Ces points faibles ont entrainé la nécessité du chiffrement asymétrique.

Le chiffrement symétrique est très bien adapté pour la protection de données qui ne sont pas destinées à être échangées. Le chiffrement étant assez rapide, il est par exemple possible de chiffrer des disques durs entiers en ayant un impact relativement faible sur les performances de lecture ou d'écriture.

Chiffrement asymétrique

Les algorithmes de chiffrement asymétrique fonctionnent avec deux clés : une clé pour chiffrer et une clé pour déchiffrer un message. Ces deux clés sont mathématiquement liées, et à une clé publique correspond une seule clé privée. Ce chiffrement fonctionne comme un coffre-fort pour lequel une clé permettrait de le fermer et une autre pour l'ouvrir.

La force de l'algorithme (RSA ou ElGamal par exemple) tient dans la difficulté de déduire la clé de déchiffrement (clé privée) à partir de la clé de chiffrement (clé publique). En effet, il est en théorie possible de déduire une clé privée à partir de la clé publique, mais c'est en pratique excessivement long (plusieurs centaines voire milliers d'années). Il est nécessaire d'utiliser des clés de taille nettement supérieure aux clés utilisées pour le chiffrement symétrique. 1024 bits est un minimum, 2048 bits est recommandé et 4096 bits est l'idéal. Chiffrer « bonjour » avec une clé de 4096 bits peut donner :

hQQOAwa2rcfSQVdeEA//RyJ9gO0QBGU5S7nxIZ/lGK0nWi1uYGIPS/hyZfiemp5P 9/AJup4rQ6fpbOWzQUv+fIU4+oQWUtd5YxfsRL1Lx3GJ78XKa2w5Hz/+z5U9vfVH /cxEjoC1tyX3nL/OHAM8W2rER2yUQQ4TXkHr3xo8bElkVxmw5KAJV+BQFK6CNXKp e7y8YY79ZCYF9tqf1b/Y/neR6IGMIwDdi4kM9dF6WEPg7IU7OCxFHA2m6wxtyifl mXjvaRF5h1wmf+CkAXpSJ/CwmBihWMUDOMtK8sBDq3ie0kEok1BigSZZtOWmcgkM ZKMVNl7Aul53cKWAKh7KE4kQ2mVtbkZOKTRFr+33PkJeVaMNJRml4l/SGSOnOThI 6qfuJMcYKj9sZp3zlDHRbKwgZRhdhBuot4TS3u9U4ew6jkAdXJac7z56m33djCtu fMlfpzxttyTwhiDzkxyj7vFzN671O5wqvnRo1YdOHDtaxwdGIWJR7sd1Y7JnnzmJ QgyAZ/utS7Kd3gSytfGJZGCHvw9c5GbiF9oDwPahY1tcQBKgnJsN4M3VytYRoQR1 kStUg4fjYdI+MBAqVvbzc3GvYfNNbAeuq4zbMLD/0GCrqM4mWHZ/G7IL/FDi4tov 3R4WpZPJQyWk5qZaiNQWs8cEiWpnP7Y/x7oyloORCTjl6+8v9GiuJsqTpjbshEoP /RkbT/HhohadU6dpTGCAFz88geGmJXA4espa+6i9ldAT48uhVBrp/WkbhrpHqfsP kxWRPGfrWcmaYe5/BFNTMWP6k623/mGDf3XDUwRU3ADWyfl05/SGStE2Jhi/P+2O JHtdcL6EatWyuuZwTmNM43H3kROvXyqmaAcSqJMD91tdkochSnYzml1fCk+yhpru e9orcpU+uzTe1xg/anm7cSDmbeQwa8yfpzakHex8E6zeARpC7hPp9FPuvNWjIUH6 iuV5SF1LX0XdFVQyOq4AwN+wOLfRpBzbWKCB+xURdcQOK7QHP2MzH1GoOb8fIiEX yFk5TDlC/GL9x6w2L83JvAR30vofu5sBxWWgSKfsYq6TTyShl9B+wiXMd22iwTXI t4bGW9ftL0BOr0jUrN3lKgmByiNsDFmrDk6hIWzL3UL0Z/w24pBbd2p7eKOvBQPY 4up45euVOhDEUeaebhco44arrQ0kVDS2r6xiG3MYEhA57KObpAA2sEjcz+ALt0Nf BTfimKV83wv12172bsSb3YTqTwV85JwpXu/Fp2QwCj12uilBWiX+Z3GSP4kxuwKb dRYIBucBa0fFOa31jOuMPLPQCK4iTeiZ/SPQqGsOO/dl8tE9zb4CmyE2L3bxGjNo 9QgdYudKZHD4dMKRrGOSUTiuHcKcmh0VvllhxxKz/NNW0kIBZbFWsnRPiDknaGrb h1ln3mXAvcNEUu0UXpH3maJO9a55Y3TIoGCo+6zqvEQjUSz9GINg75FTSzAWnTnL V8tf+o4= =GqSt

Une clé plus courte donnera un résultat plus court, comme on pourrait s'en douter ;-) .

L'avantage est qu'on peut sans problème fournir la même clé publique à tous ses contacts sans précautions particulières, vu qu'il est presque impossible d'en déduire la clé privée. En contrepartie, le temps de chiffrement est assez long. Le chiffrement asymétrique est donc bien adapté pour la correspondance (pour des textes simples, le chiffrement est instantané) mais pas pour des données plus importantes (images, vidéos...).

Conclusion

Les méthodes de chiffrement présentées ci-dessus peuvent être appliquées à n'importe quel type de données, et pas seulement à du texte. Il est donc tout à fait possible de faire du peer-to-peer chiffré, ou de naviguer sur le web sans que personne ne puisse avoir accès aux données consultées, y compris votre FAI. Il est cependant nécessaire de ne pas mélanger sécurité et anonymat : la sécurité (liée au chiffrement) vous permet de faire transiter vos données sans que personne ne puisse y accéder, alors que l'anonymat vous permet de faire transiter des données de telle manière qu'il soit très difficile de savoir qui en sont l'expéditeur et le destinataire. Nous tenterons de combiner au mieux ces deux aspects.

A suivre, partie 2 : protéger ses données personnelles.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Add a comment

1,3,2,emule,images