Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Perseus – une extension Firefox anti-hadopi ?

perseus

Jeannot, fidèle lecteur de Korben.info m'a fait parvenir cet article du Nouvel Obs, dans lequel on apprend qu'une équipe de développeur de l'ESIEA (Ecole Supérieure d’Informatique Electronique Automatique) a mis au point une extension Firefox baptisée Perseus et qui je cite :"Protège l'échange d'informations entre deux internautes en rendant particulièrement difficile toute écoute".

La suite de l'article est assez vague... On y parle chiffrement http et bruit et vers la fin, on dérive vers Hadopi qui pourrait être mis à mal avec cette "nouvelle" technologie.

Hmpf ???

Du coup, comme je n'ai rien compris, j'ai creusé un peu plus, et j'ai maté un peu le code source pour mieux saisir le fonctionnement de ce plugin Firefox. Voici donc mes élucubrations...

Perseus fonctionne uniquement sur Firefox pour Linux (ça tombe bien, c'est ce que j'ai). L'idée d'origine est en fait de protéger les internautes des malwares en chiffrant les données qui transitent entre le browser et le serveur de destination via du https classique mais en y ajoutant du bruit... Ainsi, le chiffrement reste legal dans tous les pays (ssl) mais l'ajout de bruit empêche une personne malveillante de reconstruire le contenu de la trame simplement.

Le Nouvel Obs parle de protèger l'échange d'informations entre deux internautes, mais ce n'est pas du tout ça. Perseus fonctionnera couplé à un module Apache (qui n'est pas encore sorti) et qui saura déchiffrer cette trame https en enlevant le bruit. Du coup, lorsqu'un malware, présent sur votre machine tentera de sniffer en local les N° de cartes bleues et autres informations personnelles transitant sur la toile, le méchant logiciel se retrouvera avec une tonne d'infos indéchiffrables. L'avantage avec cette techno, plutôt que d'avoir un chiffrement par clé privée/publique classique, c'est qu'on évite tout ce bordel de gestion des clés et de temps de chiffrement.

Mais est ce vraiment indéchiffrable ? Disons que pour un particulier ou une société privée, ce genre de trame prendrait trop de temps à décoder... Mais pour des experts genre NSA et Armée Française, ça ne devrait pas trop poser de problème... On ne tombe donc pas sous le coup d'un excès de protection de la vie privée (vous ne serez donc pas un affreux terroriste !!).

Maintenant, quel est le rapport avec Hadopi ? Et bien, à première vue aucun rapport mais si l'envie prenait à notre gouvernement (via nos FAI) de sniffer ce qui transite chez nous en terme de trame http, Perseus permettrait de conserver un peu de vie privée. Ce n'est donc pas destiné au téléchargement via p2p mais plutôt au direct download... Impossible que votre FAI sache qu'en allant sur Rapidshare, vous avez téléchargé le dernier Michael Jackson ou une compilation de bruits de la forêt libre de droits... Arf !

La protection apportée par Perseus n'est donc pas aussi efficace qu'un bon vieux VPN mais c'est déjà très bien. L'avantage c'est que d'après les premiers benchmarks, c'est aussi rapide que de faire passer ses communications http en clair.

J'espère vous avoir éclairé sur ce module. J'attends quand même d'en savoir un peu plus et de lire les avis des experts en sécurité pour savoir si ce plugin vaut le coup, mais il semblerait que Mozilla soit intéressé pour l'intégrer directement dans son browser Firefox... Affaire à suivre donc.

+ d'infos

[photo]

Facebook Twitter Email Copier Url

25 Responses to “Perseus – une extension Firefox anti-hadopi ?”

  1. Gregoire dit :

    Merci pour cet éclairage. J’étais également tombé sur l’article et je n’avais également pas tout compris.
    So wait & see!

  2. S!Ri dit :

    Hello

    En ce qui concerne les malwares, la technique couramment utilisée consiste a prendre les mots de passes directement dans le registre ou dans les fichiers où ils sont enregistrés. Ou encore des keyloggers.
    Chiffrer (ou insérer du bruit dans) le trafic réseau serais néanmoins un pas de plus vers la sécurité.

  3. TheX dit :

    Merci pour l’explication, je l’ai déjà installé, mais je n’avais pas trop compris a quoi sa servait, mais étant donné que sa fait que du bien et pas de mal, je ne m’en prive pas…

    Par contre, ya pas beaucoup de virus sur Linux, je pense que c’est un peu inutile…

    TheX

  4. Kubb dit :

    Et pour Windows pas + d’infos ?

  5. lemulot dit :

    Intéressent mais il faut que le serveur soit en ssl + le module active …

  6. Gourmet dit :

    Rien compris !:(
    Un p’tit schéma ?

    Il est où l’Apache ? Chez soi ? Hébergé ?
    Qui va chez Rapidshare ? Le navigateur ou le serveur Web auquel il est relié ?

    Et en quoi cette extension interdit-elle de sniffer le clavier ou le clavier virtuel lorsqu’on clique (à la manière d’un ZBot) ?

    db

  7. +1 avec le mulot
    un peu light ajouter des data en plus en clair pour remplacer les clés symmétriques échangées via un chiffrement asymétrique.

    Mais en tant que projet c’est formateur pour les étudiants

  8. Tant qu’on parle de message codé,

    avez vous vu le message codé envoyé par Swartzenegger aux parlementaires californien, pas mal, plus subtil que Sarkozy en tout cas ?

    http://www.wired.com/threatlevel/2009/10/schwarzenegger/

  9. Gregoire dit :

    @Gourmet: l’apache c’est celui des sites sur lesquels tu vas ; celui qui va chez rapidshare c’est toi

  10. Spike dit :

    Aucun interet par rapport au https, si ce n’est de gaspiller de la bande passante avec du bruit.

    Les malware qui font de l’interception de données le font avant que les données soient cryptées dans le flux https, donc le feront aussi sans probleme avant l’adjonction du “bruit”.

    Pour ce qui est de cette remarque: “L’avantage avec cette techno, plutôt que d’avoir un chiffrement par clé privée/publique classique, c’est qu’on évite tout ce bordel de gestion des clés et de temps de chiffrement.”

    Le bordel de gestion des clefs est juste là pour eviter les attaques man-in-the-middle (qui permettent de sniffer le contenu d’un flux https). Y a pas de miracle, si on se sert pas de certificats, la man-in-the-middle devient possible, et ce, que le chiffrement consiste en du SSL (https) ou en de l’adjonction de bruit.

    Quant au “temps de chiffrement”, il suffit de proceder à l’experience de pensée suivante: que se passe-t-il si la connection à votre site de download comporte 50% de bruit? Eh bien le temps de telechargement est multiplié par deux, puisqu’il vous faudra telecharger deux fois plus de données que necessaire…

    En résumé, une idée saugrenue… et stupide.

  11. Henry cow dit :

    HADOPI fait partie de l’identitée nationale Française, c’est la plus grosse police privée mise en place pour l’industrie du divertissement. Etre contre, c’est un peu être contre notre identitée nationale.

  12. cervelle dit :

    Ca fait plaisir de voir parler de son école sur korben :)

  13. richard dit :

    Bonjour

    voici qq petites précisions puisque je suis l’auteur de ce papier repris par le nouvels Obs.

    Premièrement, il s’agit bien de codage et pas de chiffrement. Deuxièmement, ce plug-in est compatible avec TOUS les OS.

    Enfin, une version destinée à coder les FTP, les serveurs Apache et les emails est en préparation.

    La suite prochainement ici : http://securiteoff.blogspot.com/

  14. JudeBoX dit :

    Bonjour à tous !
    En parlant de VPN, en existe il actuellement un de gratuit et de parfaitement utilisable ? J’en ai essayé un ou deux (itsHidden nottament) et les débits sont vraiment très mous… :(
    Merci ! ;)

  15. internaaze dit :

    Je l’ai retiré cela plante Firefox

  16. 3psyl0n dit :

    Pas tout compris, mais a force de rajouter du bruit, on ne vas plus s’entendre, non ? :)

    pour le reste, je serais plutot de l’avis de spike.

  17. richard dit :

    Bonjour

    Une librairie en « C open source » sera disponible afin que Perseus puisse être utilisée pour tous les flux et pour tous les systèmes. Cette librairie sera disponible au plus tard en mars 2010 mais, si tout va bien, une première version devrait être publiée en décembre. Ainsi, tout développeur pourra l’intégrer au client/serveur pour le protocole de son choix. Cela permettra donc d’appliquer Perseus à tous les autres protocoles de communication (email, http://FTP...).

    Les derniers détails datent de ce matin : http://securiteoff.blogspot.com/

    Bonne journée

  18. DIDIER68 dit :

    Connerie tout ca; si ils veulent te “gauler” ils mettent le paquet,et comme l’a dit kelkun tu l’as dans le c.l lol
    Le seul truc qui pourrait éventuellement dérouter notre police du net c’est la CRYTOLOGIE QUANTIQUE.
    Si vous etes prix Nobel de mathematique,avis aux amateurs

  19. Kamasoutra dit :

    Tu m’étonne Cervelle, ça fait mega plaiz, après Presse-Citron c’est Korben qui parle de nous <3

  20. adon dit :

    il devient urgent que des gens planchent sur le code de PERSEUS pour windows une petite doc d’install en fr pour les débutants serais bien aussi!
    j’utilise(en attendant ca:sortie , un crypteur de dossiers enfoui en + dans un RAR (la video crypter et le petit logiciel de décryptage dedans avec le pass) je n’ais plus le nom en tete vu que j en ai + je crois un nom comme cryptozorus(il y a un petit dinosaure vert en icone )

  21. richard dit :

    Bonjour

    les dernières précisions d’un des deux développeurs du module se trouvent ici : http://securiteoff.blogspot.com/2009/11/module-anti-hadopi-les-explications-du.html

  22. yan dit :

    En devant passer par du HTTPS pour la phase de négo (pour les serveurs qui le supportent)… pourquoi s’y limiter?

    Je ne pense pas que ceci aura un grand avenir?

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55229 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55229 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • Univers Populaires

  • Rejoignez les 55229 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    wong : tu sais pourquoi je peux pas jouer correctement?
    wong : parce que j'assume ma parano à 100% et donc je suis obligé de regarder tjs ds mon dos si ya pas un ninja qui veut m'enculer.
    wong : va jouer correctement avec ce pb, tu vas voir c'est galère

    -- http://danstonchat.com/5102.html
  • Themes

  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »