Indymedia Grenoble

Problème de sécurité informatique sur Indymedia Grenoble

Saturday 12 January 2013 par anonyme

[Infos locales] [Média] [Outils théoriques]

Pour pouvoir se connecter de manière sécurisée à un site internet, il faut pouvoir faire confiance à ce site. Pour prouver qu’il est fiable, celui-ci doit posséder un certificat, et ce certificat doit être signé par une autorité de certification (AC, ou CA en anglais). Le certificat a deux objectifs : prouver qu’il s’agit bien du site en question, et prouver qu’il est bien sécurisé.

Un certificat qui n’est pas signé par une autorité de certification, mais est auto-signé (comme c’est le cas pour Indymedia Grenoble) ne donne évidemment pas des masses de garanties. Le risque est de se retrouver sur un faux site (qui lui aussi peut bien s’auto-certifier en prétendant être Indymedia Grenoble). Par exemple, un site créé par la DCRI pour repérer qui écrit quoi sur Indymédia... Bon, du calme, pas de parano, là vous êtes bien sur le bon site. Enfin, si vous me faites confiance...

Par ailleurs, pour que la sécurité informatique soit assurée, il faut aussi que le certificat soit à jour (ce qui n’est pas le cas de celui d’Indymedia Grenoble). Sinon, même si on tombe bien sur le bon site, on peut douter du fait que les données nous concernant sont bien gérées. Ça pose donc un problème de sécurité pour les contributeurs, ce qui n’est pas terrible pour un site de publication ouverte où sont publiés des textes à portée politique qui font aussi souvent l’objet de plaintes en justice...



Compléments d'informations :
Début de solution
par Les Komanches,
le 13 January 2013

Il existe un module intitulé HTTPS-Everywhere qui tend a pallier a ce genre de problêmes.

https://www.eff.org/https-everywhere

Il est également conseillé d’utiliser No-Script: http://noscript.net/

Message du collectif Indymédia Grenoble
par anonyme,
le 24 January 2013

Ci-dessous une copie de la mise au point sur la sécurité de notre site web, publiée hier en édito.

Un lecteur (ou une lectrice) du site nous a écrit récemment pour signaler ce qui, selon lui (elle), constitue un problème de sécurité sur Indymedia Grenoble. Il (Elle) parlait notamment du fait que le certificat du site (qui permet de s’y connecter de manière sécurisée, c’est-à-dire non pas par http, mais par https - "s" voulant dire "sécurisé") est auto-signé, et qu’il est périmé depuis longtemps. Voici donc un petit topo pour mettre les choses au clair :

- Le site web est publiquement accessible par http, en clair. Aucun mot de passe n’est demandé aux visiteur-euse-s, aucune information privée n’est demandée aux contributeur-euse-s.

- Lorsqu’un-e contributeur-euse souhaite publier un article ou un événement de façon anonyme, il/elle est invité-e à le faire en utilisant Tor (http://www.torproject.org), un système de connexion anonyme à Internet (comme indiqué depuis toujours sur la page de publication). Par ailleurs, nous ne stockons pas les journaux de connexion en clair et nous n’y avons pas accès depuis le site web.

- Le site web est également accessible par https, en chiffré, mais cet accès n’est qu’une facilité réservée au collectif, c’est pourquoi le certificat SSL est auto-signé : nous nous faisons confiance à nous-mêmes. Cet accès n’est pas destiné à un autre usage, en particulier il ne garantit pas l’authenticité du site a priori aux visiteur-euses. Pour la même raison, la date d’expiration du certificat, même dépassée de deux ans et demi, n’a aucune importance ici. Pour preuve de bonne gestion, nous allons mettre à jour notre certificat SSL.

- Par ailleurs, les articles publiés sur Indymedia Grenoble peuvent aborder n’importe quel thème, y compris la sécurité informatique en général ou celle du site en particulier, à condition que, comme tout article, il respecte la charte, s’adresse aux lecteurs/lectrices du site, et soit constructif. Un message s’adressant au collectif, quant à lui, peut même être insultant si c’est l’envie de son auteur-e, mais il doit, logiquement, être envoyé à l’adresse de contact du collectif : contact (arobase) grenoble.indymedia.org"

ben moi je trouve que ça va pas fort...
par déjà-vu,
le 25 January 2013

j’ai menti, me revoilà.

"- Le site web est publiquement accessible par http, en clair. Aucun mot de passe n’est demandé aux visiteur-euse-s, aucune information privée n’est demandée aux contributeur-euse-s."

https, ça ne sert pas qu’à éviter d’envoyer son mot de passe en clair quand on se connecte a sa banque en ligne, ou à n’importe quel autre site, d’ailleurs. je pense que quel que soit le site, il n’est pas concerné par la décision de l’utlisateur quant à la sensibilité de l’information qu’il envoie ou qu’il demande.

"- Lorsqu’un-e contributeur-euse souhaite publier un article ou un événement de façon anonyme, il/elle est invité-e à le faire en utilisant Tor (http://www.torproject.org), un système de connexion anonyme à Internet (comme indiqué depuis toujours sur la page de publication). Par ailleurs, nous ne stockons pas les journaux de connexion en clair et nous n’y avons pas accès depuis le site web."

et comme il y est invité sur le site du projet Tor, il va vouloir se connecter au site en utilisant HTTPS parce que la derniere partie du chemin est en clair quand on utilise Tor, ET que le protocole https necessite une authentification, qui de fait prouve au-dit utlisateur qu’il est bien connecté au site qu’il désire. Quant aux histoires des journaux de connexion, vous n’y avez pas accès, et c’est tant mieux, ils sont chiffrés encore tant mieux, en quoi est-ce une raison pour négliger une autre partie de la sécurité de votre site et de vos utilisateurs?

"- Le site web est également accessible par https, en chiffré, mais cet accès n’est qu’une facilité réservée au collectif, c’est pourquoi le certificat SSL est auto-signé : nous nous faisons confiance à nous-mêmes. Cet accès n’est pas destiné à un autre usage, en particulier il ne garantit pas l’authenticité du site a priori aux visiteur-euses. Pour la même raison, la date d’expiration du certificat, même dépassée de deux ans et demi, n’a aucune importance ici. Pour preuve de bonne gestion, nous allons mettre à jour notre certificat SSL."

En quoi cet accès serait une "facilité réservée au collectif"? pourquoi faire? pourquoi limiter un accès sécurisé aux seuls membres de votre collectif? plus il y a de monde connectés au site en https, plus savoir qui fait quoi dessus est compliqué, du coup, je ne vois pas l’intérêt de cette ségrégation... De plus, si le certificat est auto-signé ça veut peut-etre dire que les membres du collectif font confiance au site au moment ou le certificat est créé. si les martiens copient le site et créent a leur tour un certificat autosigné, il aura une autre "fingerprint", mais si les membres du collectif ont déja cliqué 37 fois sur "autoriser une exception" dans leur firefox, croyez vous qu’ils vont comparer cette fingerprint à celle qu’ils ont consciencieusement recopiée lors de la création du certificat, avant de cliquer une 38ème fois sur le bouton? Et si la date n’a aucune importance, pourquoi metteriez vous ce certificat à jour?

"- Par ailleurs, les articles publiés sur Indymedia Grenoble peuvent aborder n’importe quel thème, y compris la sécurité informatique en général ou celle du site en particulier, à condition que, comme tout article, il respecte la charte, s’adresse aux lecteurs/lectrices du site, et soit constructif. Un message s’adressant au collectif, quant à lui, peut même être insultant si c’est l’envie de son auteur-e, mais il doit, logiquement, être envoyé à l’adresse de contact du collectif : contact (arobase) grenoble.indymedia.org"

je trouve ce dernier paragraphe, en plus d’être arrogant (qui êtes vous pour décider de la constructivité d’un article?) plutot déplacé... vous m’avez répété 3 fois la même chose, et le répéter une 4eme ne me fera pas changer d’avis. on doit pouvoir vous interpeler sur votre site. c’est la place publique. par mail c’est caché, c’est privé. donc ce paragraphe, pour moi, c’est "tu peux ecrire ce que tu veux, tant que nous on se sent pas visés, tant que nous on trouve ça constructif. sinon tu envoie un courrier des lecteurs et peut-etre on le lira avant de le jeter."

alors peut-etre que ce commentaire ne sera pas publié, pourtant, il evite soigneusement tout ce qui est insulte, (j’ai meme enlevé les blagues) et contre-argumente clairement les informations postées auparavant.  

Message du collectif Indymédia Grenoble
par anonyme,
le 31 January 2013

En réponse au complément d’information : « ben moi je trouve que ça va pas fort... »

https, ça ne sert pas qu’à éviter d’envoyer son mot de passe en clair quand on se connecte a sa banque en ligne, ou à n’importe quel autre site, d’ailleurs. je pense que quel que soit le site, il n’est pas concerné par la décision de l’utlisateur quant à la sensibilité de l’information qu’il envoie ou qu’il demande.

Nous sommes d’accord et nous serions heureux de pouvoir fournir un accès HTTPS fiable pour tout le monde mais ce n’est pas le cas pour le moment. De plus, la signature du certificat SSL apporte peu de sécurité supplémentaire aux contributeur-euses (comme vous l’avez précisé : il faut faire confiance à un tiers) alors que ça coûte beaucoup au collectif si on veut que la signature ait une vraie valeur (cela nécessite d’associer une identité physique au certificat).

"- Lorsqu’un-e contributeur-euse souhaite publier un article ou un événement de façon anonyme, il/elle est invité-e à le faire en utilisant Tor [...]" et comme il y est invité sur le site du projet Tor, il va vouloir se connecter au site en utilisant HTTPS parce que la derniere partie du chemin est en clair quand on utilise Tor, ET que le protocole https necessite une authentification, qui de fait prouve au-dit utlisateur qu’il est bien connecté au site qu’il désire.

Nous sommes d’accord : une connexion HTTPS sans authentification n’offre que peu de sécurité supplémentaire par rapport à un accès HTTP en clair : elle ne protège que contre les attaques purement passives en sortie du réseau Tor, qui dépassent déjà largement le cadre local.

Quant aux histoires des journaux de connexion, vous n’y avez pas accès, et c’est tant mieux, ils sont chiffrés encore tant mieux, en quoi est-ce une raison pour négliger une autre partie de la sécurité de votre site et de vos utilisateurs ?

Non, ce n’est pas « une raison pour négliger » quoi que ce soit, mais au moins une raison de moins « douter du fait que les données [vous] concernant sont bien gérées ». Ce sont les seules données privées vous concernant de notre côté.

En quoi cet accès serait une "facilité réservée au collectif" ? pourquoi faire ? pourquoi limiter un accès sécurisé aux seuls membres de votre collectif ? plus il y a de monde connectés au site en https, plus savoir qui fait quoi dessus est compliqué, du coup, je ne vois pas l’intérêt de cette ségrégation...

La formulation était malheureuse, nous l’avons changée : tout le monde peut se connecter en HTTPS, mais seul le collectif devrait avoir confiance dans son certificat SSL car il est auto-signé. De nombreuses personnes se connectent au site par HTTPS en utilisant l’extension HTTPS Everywhere de toute façon. Ce n’est pas une « ségrégation » ou restriction volontaire, c’est une limitation de fait, faute de mieux, comme expliqué précédemment.

De plus, si le certificat est auto-signé ça veut peut-etre dire que les membres du collectif font confiance au site au moment ou le certificat est créé. si les martiens copient le site et créent a leur tour un certificat autosigné, il aura une autre "fingerprint", mais si les membres du collectif ont déja cliqué 37 fois sur "autoriser une exception" dans leur firefox, croyez vous qu’ils vont comparer cette fingerprint à celle qu’ils ont consciencieusement recopiée lors de la création du certificat, avant de cliquer une 38ème fois sur le bouton ?

Ça s’appellerait de la négligence. En effet la vérification du « fingerprint » (empreinte numérique) permet d’assurer l’authenticité du site à ceux/celles qui connaissent déjà le « fingerprint » par ailleurs, comme quoi ce certificat auto-signé n’est pas complètement inutile.

J’en profite pour préciser aux lecteurs/lectrices néophytes que l’attaque dont il est question ici depuis le début ne fonctionne que si elle a lieu avant votre première connexion au site ou quand vous avez perdu le certificat du site, par exemple lors d’une mise à jour, soyez vigilants à ce moment là en particulier.

Et si la date n’a aucune importance, pourquoi metteriez vous ce certificat à jour ?

La date n’a aucune importance pour quelqu’un qui n’a pas confiance a priori en ce certificat (et il n’y a aucun raison d’avoir confiance en un certificat signé par un inconnu). Nous le mettrons à jour, pour « preuve de bonne gestion», parce que c’est une bonne pratique de le renouveler régulièrement et que nous avons failli sur ce point.

"- Par ailleurs, les articles publiés sur Indymedia Grenoble peuvent aborder n’importe quel thème, y compris la sécurité informatique en général ou celle du site en particulier, à condition que, comme tout article, il respecte la charte, s’adresse aux lecteurs/lectrices du site, et soit constructif. Un message s’adressant au collectif, quant à lui, peut même être insultant si c’est l’envie de son auteur-e, mais il doit, logiquement, être envoyé à l’adresse de contact du collectif : contact (arobase) grenoble.indymedia.org"

je trouve ce dernier paragraphe, en plus d’être arrogant (qui êtes vous pour décider de la constructivité d’un article ?) plutot déplacé... vous m’avez répété 3 fois la même chose, et le répéter une 4eme ne me fera pas changer d’avis. on doit pouvoir vous interpeler sur votre site. c’est la place publique. par mail c’est caché, c’est privé. donc ce paragraphe, pour moi, c’est "tu peux ecrire ce que tu veux, tant que nous on se sent pas visés, tant que nous on trouve ça constructif. sinon tu envoie un courrier des lecteurs et peut-etre on le lira avant de le jeter."

Suite à ce complément, nous avons modifié ce paragraphe pour qu’il ne s’adresse pas qu’à un-e contributeur-euse en particulier. Deux possibilités vous sont actuellement offertes : vous pouvez vous adresser au collectif par mail ou bien publier un article public à propos d’Indymedia Grenoble. Dans ce dernier cas, l’article doit s’adresser aux visiteur-euses du site et respecter la charte du site, ce qui n’a été le cas que pour un article sur les cinq traitant du même sujet. Aucun de ces articles n’a été rejeté sous le prétendu prétexte qu’il n’était pas pertinent. Aucun de ces articles n’a été dissimulé du site.

Dans notre édito il y a trois mois, nous écrivions : « Le collectif s’est enrichi récemment de nouvelles personnes, et reprend du poil de la bête. ». Jusqu’ici, cela s’est principalement traduit par plus de visibilité pour le site, plus de réactivité dans la modération et les éditos. Le site web n’est pas exempt de défauts et nous travaillons à son amélioration.

Tant qu’à causer sécurité...
par baronvolvap,
le 13 April 2013

Un article de vulgarisation sur le cryptage, Truecrypt, PGP, ET Tor est disponible ici, il comporte tout les tutos possibles... http://pagedesuie.wordpress.com/201...

Si c’est pour ergoter sur l’utilité d’un SSL... autant faire la totale et transformer son ordi "hall de gare" en "Fort Knox", non? :-)

Ajouter un complément d'information


copyLeft Indymedia (Independent Media Center). Sauf au cas où un auteur ait formulé un avis contraire, les documents du site sont libres de droits pour la copie, l'impression, l'édition, etc, pour toute publication sur le net ou sur tout autre support, à condition que cette utilisation soit NON COMMERCIALE.