Et maintenant en HTTPS !

  • Bonjour à tous,

    Un petit message pour vous signaler que les trois sites d'AMnet sont maintenant disponibles en HTTPS :

    Concrètement, ça ne changera pas grand-chose dans la mesure où il n'y a normalement pas grand-chose de confidentiel, mais c'est toujours mieux si vous utilisez le même mot de passe sur différents sites :)
    Et tous ces points d'exclamation, vous avez remarqué ? Cinq ! C'est la marque d'un aliéné qui porte son slip sur la tête. L'opéra fait cet effet à certains.Terry Pratchett
      Lien   Revenir ici   Citer
  • d9pouces a écrit

    Concrètement, ça ne changera pas grand-chose dans la mesure où il n'y a normalement pas grand-chose de confidentiel, mais c'est toujours mieux si vous utilisez le même mot de passe sur différents sites :)
    Ah! Parce qu'on peut utiliser des mots de passe différents? :mrgreen:

    Sérieusement, pourrais-tu s'il te plait m'expliquer en quoi consiste un site en https, par rapport à en autre, à moi qui n'en touche pas une ? Je croyais naïvement que tous les sites l'étaient. :oops:
    " J’ignore la nature des armes que l’on utilisera pour la troisième guerre mondiale. Mais pour la quatrième, on se battra à coup de pierres."  A. Einstein       "Pire que le bruit des bottes, le silence des pantoufles."  Max Frisch
      Lien   Revenir ici   Citer
  • le S en plus est pour "secure", qui veut dire que tes flux de données sur ce site sont cryptés. Même si quelqu'un arrive à pirater/lire ces flux, il ne pourra rien en faire sans décryptage.
    Mieux vaut poser une question et avoir l' air idiot 5 minutes que de se taire et de le rester.Le meilleur bretteur au monde ne craint point son dauphin, il craint le pire bretteur au monde, parce ce qu' il est incapable de deviner ce que cet imbécile va faire.
      Lien   Revenir ici   Citer
  • Cinétic a écrit

    le S en plus est pour "secure", qui veut dire que tes flux de données sur ce site sont cryptés. Même si quelqu'un arrive à pirater/lire ces flux, il ne pourra rien en faire sans décryptage.
    Merci, c'est suffisamment clair pour que je comprenne. ;)
    " J’ignore la nature des armes que l’on utilisera pour la troisième guerre mondiale. Mais pour la quatrième, on se battra à coup de pierres."  A. Einstein       "Pire que le bruit des bottes, le silence des pantoufles."  Max Frisch
      Lien   Revenir ici   Citer
  • Jericho a écrit

    d9pouces a écrit

    Concrètement, ça ne changera pas grand-chose dans la mesure où il n'y a normalement pas grand-chose de confidentiel, mais c'est toujours mieux si vous utilisez le même mot de passe sur différents sites :)
    Ah! Parce qu'on peut utiliser des mots de passe différents? :mrgreen:

    Sérieusement, pourrais-tu s'il te plait m'expliquer en quoi consiste un site en https, par rapport à en autre, à moi qui n'en touche pas une ? Je croyais naïvement que tous les sites l'étaient. :oops:
    Je vais essayer de donner une petite explication.
    HTTP (HyperText Transfer Protocol) est le protocole standard du web, qui est relativement simple.
    On s'adresse à un site (par exemple forum.aviationsmilitaires.net ) et on lui demande une page (/posting.php?f=14&p=137681).

    Techniquement, il y une étape intermédiaire : si forum.aviationsmilitaires.net est simple à retenir pour un humain, les machines préfèrent utiliser des adresses numériques (une adresse IP, comme 62.210.211.236).
    Quand on va sur un site web, il y a donc un échange (transparent pour l'utilisateur) : le navigateur fait une requête (avec un autre protocole) pour convertir forum.aviationsmilitaires.net en 62.210.211.236. Il peut alors lui faire sa demande de page.

    Malheureusement, il y a deux problèmes en termes de sécurité là-dedans :
    * si quelqu'un de malintentionné (comme la NSA) intercepte le trafic internet, il va voir tous les échanges (donc ton adresse e-mail et ton mot de passe ; si jamais tu utilises les mêmes infos pour lire tes mails, ça peut être très gênant),
    * un autre moyen est de faire en sorte que tu reçoives une autre adresse IP quand ton navigateur fait la requête intermédiaire. Tu vas donc interroger un autre serveur, qui peut répondre n'importe quoi, sans que tu le saches.

    HTTPS permet d'encapsuler les communications en chiffrant tous les échanges d'une part (donc même si on intercepte le trafic, il est illisible), et d'autre part en garantissant que c'est le bon serveur qui te répond grâce à un certificat. Quand on communique en HTTPS, il y a un petit cadenas dans la barre d'adresse du navigateur.

    Il faut voir le certificat comme une carte d'identité signée par une autorité de confiance, et qui est infalsifiable et dont la signature est inimitable. C'est un peu plus pénible à mettre en place, les certificats étaient payants jusqu'à peu et ça demande un peu plus de puissance pour le serveur. Ces trois raisons expliquent que pour l'instant, il y a encore beaucoup de sites qui ne sont pas en HTTPS.
    Normalement, les sites comme les banques, les mails, la vente par correspondance sont tous en HTTPS.
    Et tous ces points d'exclamation, vous avez remarqué ? Cinq ! C'est la marque d'un aliéné qui porte son slip sur la tête. L'opéra fait cet effet à certains.Terry Pratchett
      Lien   Revenir ici   Citer
  • Merci pour ce complément d'information. Avec l'intro de Cinétic qui m'a permis de comprendre et tes explications plus en détail, je crois que c'est clair pour moi. ;)

    Au fait, la Link16, c'est du HTTPS ? :mrgreen:
    " J’ignore la nature des armes que l’on utilisera pour la troisième guerre mondiale. Mais pour la quatrième, on se battra à coup de pierres."  A. Einstein       "Pire que le bruit des bottes, le silence des pantoufles."  Max Frisch
      Lien   Revenir ici   Citer
  • d9pouces a écrit

    * si quelqu'un de malintentionné (comme la NSA) intercepte le trafic internet, il va voir tous les échanges (donc ton adresse e-mail et ton mot de passe ; si jamais tu utilises les mêmes infos pour lire tes mails, ça peut être très gênant),
    :mrgreen: Genre, le https protège de la NSA
    Joey… Tu aimes les films sur les gladiateurs ? :mrgreen:N'oublions pas EstelleQuiconque sauve une vie sauve l’Univers tout entierArmasuisse
      Lien   Revenir ici   Citer
  • Même si je ne suis pas dans le secret des Dieux, je répondrais quand même oui.
    En effet, la NSA semble avoir très lourdement investi pour contourner le chiffrement de plein de façons différentes (interception en amont du chiffrement chez Google, vol de certificats, …), ce qui (pour moi) montre qu'ils ont encore du mal avec.
    Et tous ces points d'exclamation, vous avez remarqué ? Cinq ! C'est la marque d'un aliéné qui porte son slip sur la tête. L'opéra fait cet effet à certains.Terry Pratchett
      Lien   Revenir ici   Citer
  • Ne pas oublier que les banques et bourses font des transferts par HTTPS, et eux ont besoin de savoir que le système est fiable. Même face à la NSA.
    Je ne dis pas qu'ils ne peuvent pas le casser, mais ça doit leur prendre du temps et des moyens pour un seul message. Ce qui devient prohibitif, même pour les US pour le faire à grande échelle.
    Mieux vaut poser une question et avoir l' air idiot 5 minutes que de se taire et de le rester.Le meilleur bretteur au monde ne craint point son dauphin, il craint le pire bretteur au monde, parce ce qu' il est incapable de deviner ce que cet imbécile va faire.
      Lien   Revenir ici   Citer
  • J'sais pas. Je me dis que le https est tellement répandu que pour un organisme d'état dont la spécialité est de surveiller les données (et les mouvements bancaires, accessoirement), ce ne doit pas être ce qui se fait de plus difficile.
    Après, je n'y connais strictement rien, et je m'incline bien volontiers devant votre avis ;)
    Joey… Tu aimes les films sur les gladiateurs ? :mrgreen:N'oublions pas EstelleQuiconque sauve une vie sauve l’Univers tout entierArmasuisse
      Lien   Revenir ici   Citer
  • Mais c'est le contraire en fait! Il est tellement répandu car:

    -Très facile à utiliser, voire il n'y a rien a faire pour le citoyen lambda
    -Très sur et fiable,donc il est choisi
    -Son utilisation est transparente, on peut à la limite détecter un léger ralentissement
    -Authentifie son correspondant (mais sans empêcher l'interception)et permet au moins de rendre sa conversation inintelligible par autrui.
    Mieux vaut poser une question et avoir l' air idiot 5 minutes que de se taire et de le rester.Le meilleur bretteur au monde ne craint point son dauphin, il craint le pire bretteur au monde, parce ce qu' il est incapable de deviner ce que cet imbécile va faire.
      Lien   Revenir ici   Citer
  • Deux ou trois petites remarques sur le sujet :

    * les algorithmes de chiffrement sont à voir avant tout comme des problèmes de math, étudiés par beaucoup de chercheurs indépendants et de tous les pays. S'ils étaient cassables, ça se saurait (et ça s'est su pour beaucoup d'entre eux !). Partant de ce principe, on peut dire que les algorithmes théoriques les plus forts sont fiables.

    * les méthodes mathématiques sont ensuite écrits avec un langage de programmation, et interagissent avec le reste de l'ordinateur : les problèmes se situent la plupart du temps à ce niveau-là : il est extrêmement facile de faire une erreur qui semble bête et qui va affaiblir fortement l'ensemble (et pas besoin que ça soit volontaire). En revanche, ces erreurs sont difficiles à trouver (pour tout le monde, y compris la NSA), mais on en trouve. On va dire que c'est globalement fiable quand c'est bien fait et qu'on se tient à jour.

    * ensuite, le HTTPS n'est pas une méthode de chiffrement en soi : c'est un protocole qui dit comment utiliser une méthode de chiffrement avec le protocole HTTP. En pratique, le navigateur web connaît plusieurs méthodes de chiffrement, le serveur en connaît aussi quelques unes, et la première partie de l'échange (on parle de la poignée de main SSL), consiste entre autres à se mettre d'accord sur une méthode connue par les deux parties.
    Dans ces méthodes de chiffrement, il y en a de plus ou moins fortes. Apparemment, une attaque de la NSA consisterait à bidouiller cette poignée de main pour que les deux parties se mettent d'accord sur un algorithme faible (et facilement cassé). Il faut que les serveurs soient bien configurés pour refuser des méthodes faibles (on augmente la probabilité que ça soit mal fait).

    * de façon générale, en sécurité informatique, il faut que *tout* soit correctement fait, avec énormément de soin (si celui qui s'occupe du serveur web utilise la même machine pour aller sur internet, c'est un mauvais point, par exemple).
    Clairement, c'est la plus grosse faiblesse.


    Pour être encore plus précis :
    HTTPS a plusieurs versions (SSL 1.0 / 2.0 / 3.0, TLS 1.0 / 1.1 / 1.2), et il y a des failles dans les vielles versions,
    HTTPS commence l'échange avec un chiffrement asymétrique (et donc une première méthode de chiffrement), puis continue avec un chiffrement symétrique.
    Pour les deux, il y a plusieurs méthodes de chiffrement existantes, dont certaines sont vieilles et trouées.
    Et tous ces points d'exclamation, vous avez remarqué ? Cinq ! C'est la marque d'un aliéné qui porte son slip sur la tête. L'opéra fait cet effet à certains.Terry Pratchett
      Lien   Revenir ici   Citer
  • 2 x 3 x 5 x 7 x 11 x 13 x 17 x 19 x 23 x 29, n'est ce pas ?

    :arrow:
    «Il y a des moments où il est bon d'écouter sa peur et d'autres où il est plus sage de faire comme si elle n'existait pas.»George S. PattonLa page de ma "boite" : RiumMon blog : Certaines idées
      Lien   Revenir ici   Citer
  • Merci D9 de ces explications très intéressantes.
    ¤ Nicolas Sur AMN : Nico2, inscrit le 09 Jan 2006, 16:45>> N'oubliez pas de lire et de relire le Règlement du forum.>> N'oubliez pas de consulter les index des sujets avant de poster les vôtres.
      Lien   Revenir ici   Citer