Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top


Perseus – une extension Firefox anti-hadopi ?

perseus

Jeannot, fidèle lecteur de Korben.info m'a fait parvenir cet article du Nouvel Obs, dans lequel on apprend qu'une équipe de développeur de l'ESIEA (Ecole Supérieure d’Informatique Electronique Automatique) a mis au point une extension Firefox baptisée Perseus et qui je cite :"Protège l'échange d'informations entre deux internautes en rendant particulièrement difficile toute écoute".

La suite de l'article est assez vague... On y parle chiffrement http et bruit et vers la fin, on dérive vers Hadopi qui pourrait être mis à mal avec cette "nouvelle" technologie.

Hmpf ???

Du coup, comme je n'ai rien compris, j'ai creusé un peu plus, et j'ai maté un peu le code source pour mieux saisir le fonctionnement de ce plugin Firefox. Voici donc mes élucubrations...

Perseus fonctionne uniquement sur Firefox pour Linux (ça tombe bien, c'est ce que j'ai). L'idée d'origine est en fait de protéger les internautes des malwares en chiffrant les données qui transitent entre le browser et le serveur de destination via du https classique mais en y ajoutant du bruit... Ainsi, le chiffrement reste legal dans tous les pays (ssl) mais l'ajout de bruit empêche une personne malveillante de reconstruire le contenu de la trame simplement.

Le Nouvel Obs parle de protèger l'échange d'informations entre deux internautes, mais ce n'est pas du tout ça. Perseus fonctionnera couplé à un module Apache (qui n'est pas encore sorti) et qui saura déchiffrer cette trame https en enlevant le bruit. Du coup, lorsqu'un malware, présent sur votre machine tentera de sniffer en local les N° de cartes bleues et autres informations personnelles transitant sur la toile, le méchant logiciel se retrouvera avec une tonne d'infos indéchiffrables. L'avantage avec cette techno, plutôt que d'avoir un chiffrement par clé privée/publique classique, c'est qu'on évite tout ce bordel de gestion des clés et de temps de chiffrement.

Mais est ce vraiment indéchiffrable ? Disons que pour un particulier ou une société privée, ce genre de trame prendrait trop de temps à décoder... Mais pour des experts genre NSA et Armée Française, ça ne devrait pas trop poser de problème... On ne tombe donc pas sous le coup d'un excès de protection de la vie privée (vous ne serez donc pas un affreux terroriste !!).

Maintenant, quel est le rapport avec Hadopi ? Et bien, à première vue aucun rapport mais si l'envie prenait à notre gouvernement (via nos FAI) de sniffer ce qui transite chez nous en terme de trame http, Perseus permettrait de conserver un peu de vie privée. Ce n'est donc pas destiné au téléchargement via p2p mais plutôt au direct download... Impossible que votre FAI sache qu'en allant sur Rapidshare, vous avez téléchargé le dernier Michael Jackson ou une compilation de bruits de la forêt libre de droits... Arf !

La protection apportée par Perseus n'est donc pas aussi efficace qu'un bon vieux VPN mais c'est déjà très bien. L'avantage c'est que d'après les premiers benchmarks, c'est aussi rapide que de faire passer ses communications http en clair.

J'espère vous avoir éclairé sur ce module. J'attends quand même d'en savoir un peu plus et de lire les avis des experts en sécurité pour savoir si ce plugin vaut le coup, mais il semblerait que Mozilla soit intéressé pour l'intégrer directement dans son browser Firefox... Affaire à suivre donc.

+ d'infos

[photo]

Facebook Twitter Email Copier Url

25 Responses to “Perseus – une extension Firefox anti-hadopi ?”

  1. Gregoire dit :

    Merci pour cet éclairage. J’étais également tombé sur l’article et je n’avais également pas tout compris.
    So wait & see!

  2. S!Ri dit :

    Hello

    En ce qui concerne les malwares, la technique couramment utilisée consiste a prendre les mots de passes directement dans le registre ou dans les fichiers où ils sont enregistrés. Ou encore des keyloggers.
    Chiffrer (ou insérer du bruit dans) le trafic réseau serais néanmoins un pas de plus vers la sécurité.

  3. TheX dit :

    Merci pour l’explication, je l’ai déjà installé, mais je n’avais pas trop compris a quoi sa servait, mais étant donné que sa fait que du bien et pas de mal, je ne m’en prive pas…

    Par contre, ya pas beaucoup de virus sur Linux, je pense que c’est un peu inutile…

    TheX

  4. Kubb dit :

    Et pour Windows pas + d’infos ?

  5. lemulot dit :

    Intéressent mais il faut que le serveur soit en ssl + le module active …

  6. Gourmet dit :

    Rien compris !:(
    Un p’tit schéma ?

    Il est où l’Apache ? Chez soi ? Hébergé ?
    Qui va chez Rapidshare ? Le navigateur ou le serveur Web auquel il est relié ?

    Et en quoi cette extension interdit-elle de sniffer le clavier ou le clavier virtuel lorsqu’on clique (à la manière d’un ZBot) ?

    db

  7. +1 avec le mulot
    un peu light ajouter des data en plus en clair pour remplacer les clés symmétriques échangées via un chiffrement asymétrique.

    Mais en tant que projet c’est formateur pour les étudiants

  8. Tant qu’on parle de message codé,

    avez vous vu le message codé envoyé par Swartzenegger aux parlementaires californien, pas mal, plus subtil que Sarkozy en tout cas ?

    http://www.wired.com/threatlevel/2009/10/schwarzenegger/

  9. Gregoire dit :

    @Gourmet: l’apache c’est celui des sites sur lesquels tu vas ; celui qui va chez rapidshare c’est toi

  10. Spike dit :

    Aucun interet par rapport au https, si ce n’est de gaspiller de la bande passante avec du bruit.

    Les malware qui font de l’interception de données le font avant que les données soient cryptées dans le flux https, donc le feront aussi sans probleme avant l’adjonction du “bruit”.

    Pour ce qui est de cette remarque: “L’avantage avec cette techno, plutôt que d’avoir un chiffrement par clé privée/publique classique, c’est qu’on évite tout ce bordel de gestion des clés et de temps de chiffrement.”

    Le bordel de gestion des clefs est juste là pour eviter les attaques man-in-the-middle (qui permettent de sniffer le contenu d’un flux https). Y a pas de miracle, si on se sert pas de certificats, la man-in-the-middle devient possible, et ce, que le chiffrement consiste en du SSL (https) ou en de l’adjonction de bruit.

    Quant au “temps de chiffrement”, il suffit de proceder à l’experience de pensée suivante: que se passe-t-il si la connection à votre site de download comporte 50% de bruit? Eh bien le temps de telechargement est multiplié par deux, puisqu’il vous faudra telecharger deux fois plus de données que necessaire…

    En résumé, une idée saugrenue… et stupide.

  11. Henry cow dit :

    HADOPI fait partie de l’identitée nationale Française, c’est la plus grosse police privée mise en place pour l’industrie du divertissement. Etre contre, c’est un peu être contre notre identitée nationale.

  12. cervelle dit :

    Ca fait plaisir de voir parler de son école sur korben :)

  13. richard dit :

    Bonjour

    voici qq petites précisions puisque je suis l’auteur de ce papier repris par le nouvels Obs.

    Premièrement, il s’agit bien de codage et pas de chiffrement. Deuxièmement, ce plug-in est compatible avec TOUS les OS.

    Enfin, une version destinée à coder les FTP, les serveurs Apache et les emails est en préparation.

    La suite prochainement ici : http://securiteoff.blogspot.com/

  14. JudeBoX dit :

    Bonjour à tous !
    En parlant de VPN, en existe il actuellement un de gratuit et de parfaitement utilisable ? J’en ai essayé un ou deux (itsHidden nottament) et les débits sont vraiment très mous… :(
    Merci ! ;)

  15. internaaze dit :

    Je l’ai retiré cela plante Firefox

  16. 3psyl0n dit :

    Pas tout compris, mais a force de rajouter du bruit, on ne vas plus s’entendre, non ? :)

    pour le reste, je serais plutot de l’avis de spike.

  17. richard dit :

    Bonjour

    Une librairie en « C open source » sera disponible afin que Perseus puisse être utilisée pour tous les flux et pour tous les systèmes. Cette librairie sera disponible au plus tard en mars 2010 mais, si tout va bien, une première version devrait être publiée en décembre. Ainsi, tout développeur pourra l’intégrer au client/serveur pour le protocole de son choix. Cela permettra donc d’appliquer Perseus à tous les autres protocoles de communication (email, http://FTP...).

    Les derniers détails datent de ce matin : http://securiteoff.blogspot.com/

    Bonne journée

  18. DIDIER68 dit :

    Connerie tout ca; si ils veulent te “gauler” ils mettent le paquet,et comme l’a dit kelkun tu l’as dans le c.l lol
    Le seul truc qui pourrait éventuellement dérouter notre police du net c’est la CRYTOLOGIE QUANTIQUE.
    Si vous etes prix Nobel de mathematique,avis aux amateurs

  19. Kamasoutra dit :

    Tu m’étonne Cervelle, ça fait mega plaiz, après Presse-Citron c’est Korben qui parle de nous <3

  20. adon dit :

    il devient urgent que des gens planchent sur le code de PERSEUS pour windows une petite doc d’install en fr pour les débutants serais bien aussi!
    j’utilise(en attendant ca:sortie , un crypteur de dossiers enfoui en + dans un RAR (la video crypter et le petit logiciel de décryptage dedans avec le pass) je n’ais plus le nom en tete vu que j en ai + je crois un nom comme cryptozorus(il y a un petit dinosaure vert en icone )

  21. richard dit :

    Bonjour

    les dernières précisions d’un des deux développeurs du module se trouvent ici : http://securiteoff.blogspot.com/2009/11/module-anti-hadopi-les-explications-du.html

  22. yan dit :

    En devant passer par du HTTPS pour la phase de négo (pour les serveurs qui le supportent)… pourquoi s’y limiter?

    Je ne pense pas que ceci aura un grand avenir?

A gagner – Des codes abonnement pour F-Secure Key

bigstock

Aujourd'hui je vous propose de gagner des codes pour des abonnements d'un an pour Key, le gestionnaire de mot de passe de F-Secure.

Si vous êtes adeptes des ouvertures de comptes en ligne à tout-va, ce petit soft peut vous être d'une grande utilité, voir pour ceux qui décideraient de renforcer tous leurs mots de passe en cours d'utilisation.

Avec Key vous pouvez stocker tous vos mots de passe et y accéder facilement, sur n'importe quel appareils, desktop ou mobile et même générer des mots de passe renforcés et uniques chaque fois que vous en avez besoin.

Pratique pour ceux qui ont tendance à aller au plus vite en mettant la date de naissance du dernier né ;)

Pour jouer ça se passe tranquillou avec Kontest:

Toutes les fonctionnalités de Key sont listées ici

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 56995 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 56994 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Les Derniers Articles du Blog

  • Inscrivez vous aux bon plans

  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • DANS TON CHAT (BASHFR)

    <+tinba> [19:36] <Lyra> La virginité ... c'est comme une mouche sur le dos d'une vache :
    <+tinba> [19:36] <Lyra> > Un coup de queue ... et oupps !!! tout disparaît.
    <+tinba> on a du couper la queue de ma vache

    -- http://danstonchat.com/1891.html
  • Un boitier externe pour booter des ISO à

    gogo sans se prendre la tête

    Il s'agit d'un boitier externe pour disque dur 2,5" fabriqué par la société Zalman, qui a la particularité d'avoir un petit écran de contrôle et qui permet de choisir l'ISO sur laquelle vous souhaitez booter...lire la suite

    Microsoft récupère vos clés de chiffrement.

    Voici comment les en empêcher

    Si vous avez acheté un appareil sous Windows 10 équipé d'une puce qui chiffre par défaut le disque, ne vous pensez pas en sécurité pour autant : La clé de récupération qui vous permet de déchiffrer vos données...lire la suite

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »