La DGSI analyse vos URL consultées

FofoActu30
2021-11-03 08:48:36

Le 03 novembre 2021 à 08:38:59 :

Le 03 novembre 2021 à 08:37:09 :
antoine si je veux vraiment être safe sur internet c'est quoi le meilleur combo à faire

Du multi-saut combiné à de la stéganographie (un flux webm par exemple), avec algorithme post-quantique (le NIST a publié une sélection de 10 algorithmes retenus)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Ayyyyyyyyaaaaaooooo antoineforum qui fait du namedropping ayant aucun SENS :rire: :rire:

Pour changer :)

AntoineForum42
2021-11-03 08:49:02

Le 03 novembre 2021 à 08:48:19 :
la dgsi qui prétend empêcher 150 attentats par an :noel:

20 000 déjoués par seconde, et toi ?https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

AntoineForum42
2021-11-03 08:50:26

Le 03 novembre 2021 à 08:48:36 :

Le 03 novembre 2021 à 08:38:59 :

Le 03 novembre 2021 à 08:37:09 :
antoine si je veux vraiment être safe sur internet c'est quoi le meilleur combo à faire

Du multi-saut combiné à de la stéganographie (un flux webm par exemple), avec algorithme post-quantique (le NIST a publié une sélection de 10 algorithmes retenus)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Ayyyyyyyyaaaaaooooo antoineforum qui fait du namedropping ayant aucun SENS :rire: :rire:

Pour changer :)

Non ce n'est pas du namedropping du tout, je suis sérieuxhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Les algorithmes post-quantiques (ne pouvant pas être solutionnés par la factorisation donc l'algorithme de Shor) devraient être implémentés dès maintenant car on ne sait pas de quoi est fait demainhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Tiens une liste d'algorithmes https://csrc.nist.gov/news/2019/pqc-standardization-process-2nd-round-candidates

https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

CrCuck
2021-11-03 08:51:37

Et du coup ils peuvent connaître ta requête DNS parce que c est pas chiffré ou bien parce que on utilise le serveur DNS par défaut ( notre FAI ) ?

ESUSSOSUSUS
2021-11-03 08:52:01

Le 03 novembre 2021 à 08:44:39 :

Le 03 novembre 2021 à 08:42:11 :

Le 03 novembre 2021 à 08:39:54 :

Le 03 novembre 2021 à 08:38:59 :

Le 03 novembre 2021 à 07:12:11 :
Du moins c'est ce qu'ils font croire aux golemshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Ils disent "regardez on a voté une loi pour analyser l'URL des golems et on va repérer les terroristes avec des algorithmes"https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Comme si de toute façon ils avaient besoin d'une loi et attendu pour le faire mais bonhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Donc ils vont faire croire aux PNJ que la DGSI a accès à toutes les URL qu'ils consultent, toutes leurs recherches... que ce soit sur Facebook, Google...https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
La vérité c'est qu'ils n'y ont pas accès car la plupart des sites aujourd'hui sont sous TLShttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

La seule chose qu'ils peuvent intercepter sur des sites TLS c'est soit la requête DNS (par exemple google.fr mais pas l'URL complète), soit les flux IP (et avec un whois inversé retrouver le site)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Et ça c'est que pour le golem random sans VPNhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Croire qu'ils ont pas une CA dans la poche pour pouvoir créer les certificats qu'ils veulent et ainsi MitM n'importe quelle connexion :rire:

Ils l'ont déjà en effethttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Mais si t'es pas bête tu connais le hash de tes certificats de serveurs multi-sautshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Ben voyons

Ben oui, si tu vérifies le hash t'es sûr que c'est ton certificat, et dans ce cas tu ne passes pas par une autorité de confiancehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Sélection naturellehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Je vois pas en quoi ça empêche le mitm

ESUSSOSUSUS
2021-11-03 08:52:52

Le 03 novembre 2021 à 08:51:37 :
Et du coup ils peuvent connaître ta requête DNS parce que c est pas chiffré ou bien parce que on utilise le serveur DNS par défaut ( notre FAI ) ?

Parce que tu utilises le DNS de ton FAI, maintenant tout les navigateurs utilisent DNS over TLS

AntoineForum42
2021-11-03 08:53:01

Le 03 novembre 2021 à 08:51:37 :
Et du coup ils peuvent connaître ta requête DNS parce que c est pas chiffré ou bien parce que on utilise le serveur DNS par défaut ( notre FAI ) ?

Généralement les requêtes DNS ne sont pas chiffréeshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Et évidemment, le serveur DNS de destination connaît la requête et la résolution du NDD qu'il va te renvoyerhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Mais un serveur DNS n'a pas l'URL complète, juste le SNI (par exemple jeuxvideo.com mais pas ce qu'il y a après le /)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

AntoineForum42
2021-11-03 08:53:25

Le 03 novembre 2021 à 08:52:52 :

Le 03 novembre 2021 à 08:51:37 :
Et du coup ils peuvent connaître ta requête DNS parce que c est pas chiffré ou bien parce que on utilise le serveur DNS par défaut ( notre FAI ) ?

Parce que tu utilises le DNS de ton FAI, maintenant tout les navigateurs utilisent DNS over TLS

Pas encore tous mais c'est de plus en plus fréquent, il n'y a aucun doute que ça va se généraliser, Firefox le fait déjàhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

FofoActu30
2021-11-03 08:53:28

Le 03 novembre 2021 à 08:51:37 :
Et du coup ils peuvent connaître ta requête DNS parce que c est pas chiffré ou bien parce que on utilise le serveur DNS par défaut ( notre FAI ) ?

Oui il faut chiffrer ta requête DNS, changer le serveur ne sers à rien contre ça.

DNSoverHTTPS :ok:

Gloubilou28
2021-11-03 08:54:43

La dgsi c'est comme n'importe quel autre fonction publique
Rempli de branleur à moitié incompétent

AntoineForum42
2021-11-03 08:55:00

Le 03 novembre 2021 à 08:50:26 :

Le 03 novembre 2021 à 08:48:36 :

Le 03 novembre 2021 à 08:38:59 :

Le 03 novembre 2021 à 08:37:09 :
antoine si je veux vraiment être safe sur internet c'est quoi le meilleur combo à faire

Du multi-saut combiné à de la stéganographie (un flux webm par exemple), avec algorithme post-quantique (le NIST a publié une sélection de 10 algorithmes retenus)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Ayyyyyyyyaaaaaooooo antoineforum qui fait du namedropping ayant aucun SENS :rire: :rire:

Pour changer :)

Non ce n'est pas du namedropping du tout, je suis sérieuxhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Les algorithmes post-quantiques (ne pouvant pas être solutionnés par la factorisation donc l'algorithme de Shor) devraient être implémentés dès maintenant car on ne sait pas de quoi est fait demainhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Tiens une liste d'algorithmes https://csrc.nist.gov/news/2019/pqc-standardization-process-2nd-round-candidates

https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Je vous conseille de vous intéresser au sujethttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Personnellement je ne pense pas que les calculateurs quantiques verront le jour dans les décennies à venir, c'est très difficile de stabiliser un qubit, il ne suffit d'un rien pour fausser un calcul, ce qu'on appel du "bruit", il y a des dizaines de milliers de paramètres à gérer, il suffit d'une simple onde électromagnétique et ça fausse touthttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
On a plus de chances de voir un calculateur reposant sur une idée plus ingénieuse dans les décennies à venir que sur l'informatique quantiquehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Dans tous les cas, rien n'empêche de combiner les systèmes cryptographiques en reposant sur des problèmes mathématiques différentshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

ESUSSOSUSUS
2021-11-03 08:55:10

Le 03 novembre 2021 à 08:45:56 :
Red pill pour les golems
https://image.noelshack.com/fichiers/2021/44/3/1635925537-govtownedcas.png

Merci le Microsoft Root Program

Donc oui c'est une menace sérieuse et j'ai envie de dire ne faites confiance à personne pour les certificats, la solution : se connecter à son serveur, connaître le hash et avoir un programme qui interrompt la connexion si le certificat ne correspond pas

Cela dit, cette solution ne pourrait pas être utilisée à grande échelle par la DGSI, seulement contre des cibles particulièreshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Oui voila donc ce que tu proposes ça marche uniquement si les deux entités se connaissent déjà, donc inutile en pratique

ESUSSOSUSUS
2021-11-03 08:57:07

Le 03 novembre 2021 à 08:55:21 :
Est-ce que t'as besoin de DoH ou DoT si tu utilises pas le DNS de ton FAI ?https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Bah si tu chiffres pas, tout les routeurs ont connaissance de ta requête donc oui

ESUSSOSUSUS
2021-11-03 08:58:08

Le 03 novembre 2021 à 08:57:46 :

Le 03 novembre 2021 à 08:57:07 :

Le 03 novembre 2021 à 08:55:21 :
Est-ce que t'as besoin de DoH ou DoT si tu utilises pas le DNS de ton FAI ?https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Bah si tu chiffres pas, tout les routeurs ont connaissance de ta requête donc oui

Ils savent que tu contactes un autre DNS mais c'est tout non ?https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

bah non vu que la requête est en clair

AntoineForum42
2021-11-03 08:58:23

Le 03 novembre 2021 à 08:55:10 :

Le 03 novembre 2021 à 08:45:56 :
Red pill pour les golems
https://image.noelshack.com/fichiers/2021/44/3/1635925537-govtownedcas.png

Merci le Microsoft Root Program

Donc oui c'est une menace sérieuse et j'ai envie de dire ne faites confiance à personne pour les certificats, la solution : se connecter à son serveur, connaître le hash et avoir un programme qui interrompt la connexion si le certificat ne correspond pas

Cela dit, cette solution ne pourrait pas être utilisée à grande échelle par la DGSI, seulement contre des cibles particulièreshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Oui voila donc ce que tu proposes ça marche uniquement si les deux entités se connaissent déjà, donc inutile en pratique

Ben t'utilises ton serveur multi-sauts, après c'est lui qui fait les requêteshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Et vu que c'est toujours ton serveur multi-saut qui te répond ou à qui tu envoi les données, tu connais le hashhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Si t'as peur que ce soit le point de terminaison de la chaîne (qui fait la requête et réceptionne) qui soit victime de cette attaque, alors tu fais la même requête plusieurs fois au site avec des terminaisons différentes, et tu vérifies les certificats renvoyéshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

T'as aussi des sites qui référencent les certificats, et il me semble même que la liste des certificats attribués aux sites par des autorités de confiance est désormais publique d'ailleurs, tu pourrais la télécharger, il y a le hashhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Osjeizhsnz
2021-11-03 09:00:52

Le 03 novembre 2021 à 07:45:25 :
Je vous encourage aussi à faire des MITM pour apprendre, par exemple en essayant de renvoyer un faux contenu, que ce soit avec un DNS menteur ou autre par exemplehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Comme ça vous apprendrez mieux comment fonctionne TLS, les fonctionnalités comme HSTS et HSTS preload etc.https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

J'aurais bien aimé mais je déteste le réseau.
Topoc intéressant, on m'a forcé à faire Cisco 1 & 2 mais je bitte rien.

AntoineForum42
2021-11-03 09:01:01

Le 03 novembre 2021 à 08:52:01 :

Le 03 novembre 2021 à 08:44:39 :

Le 03 novembre 2021 à 08:42:11 :

Le 03 novembre 2021 à 08:39:54 :

Le 03 novembre 2021 à 08:38:59 :

Le 03 novembre 2021 à 07:12:11 :
Du moins c'est ce qu'ils font croire aux golemshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Ils disent "regardez on a voté une loi pour analyser l'URL des golems et on va repérer les terroristes avec des algorithmes"https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Comme si de toute façon ils avaient besoin d'une loi et attendu pour le faire mais bonhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Donc ils vont faire croire aux PNJ que la DGSI a accès à toutes les URL qu'ils consultent, toutes leurs recherches... que ce soit sur Facebook, Google...https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
La vérité c'est qu'ils n'y ont pas accès car la plupart des sites aujourd'hui sont sous TLShttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

La seule chose qu'ils peuvent intercepter sur des sites TLS c'est soit la requête DNS (par exemple google.fr mais pas l'URL complète), soit les flux IP (et avec un whois inversé retrouver le site)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Et ça c'est que pour le golem random sans VPNhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Croire qu'ils ont pas une CA dans la poche pour pouvoir créer les certificats qu'ils veulent et ainsi MitM n'importe quelle connexion :rire:

Ils l'ont déjà en effethttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Mais si t'es pas bête tu connais le hash de tes certificats de serveurs multi-sautshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Ben voyons

Ben oui, si tu vérifies le hash t'es sûr que c'est ton certificat, et dans ce cas tu ne passes pas par une autorité de confiancehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Sélection naturellehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Je vois pas en quoi ça empêche le mitm

bien sûr que si ça empêche, c'est chiffré, et avec le hash du certificat vers ton serveur enregistré, t'es sûr de parler à la bonne personne sans passer par une autorité de confiancehttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
après ça n'empêche pas au FAI de décider de couper ta connexion pour x ou y raison mais c'est autre chose (impayé etc.)https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

AntoineForum42
2021-11-03 09:02:56

Le 03 novembre 2021 à 09:01:12 :
D'ailleurs ton avis sur wireguard Antoine ?https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

C'est un bon protocole, c'est ce qu'utilise NordVPN ils l'ont modifié un peuhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Il est plutôt simple et efficace je diraishttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Osjeizhsnz
2021-11-03 09:05:49

J'ai un serveur à Amsterdam. Ça vaut le coup que j'installe un vpn dessus qui ne conservera aucun logs ? :(

C'est sûrement illégal de pas avoir de logs mais on risque vraiment quelque chose en tant que particulier ?

Sorbiz
2021-11-03 09:05:55

Le 03 novembre 2021 à 09:02:56 :

Le 03 novembre 2021 à 09:01:12 :
D'ailleurs ton avis sur wireguard Antoine ?https://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

C'est un bon protocole, c'est ce qu'utilise NordVPN ils l'ont modifié un peuhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Il est plutôt simple et efficace je diraishttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png
Moins de lignes de code, c'est plus de clarté, et qui dit plus de clarté, moins de risques de laisser passer des vulnshttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Après le plus gros réside dans le chiffrementhttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

J'avais lu que y'avait des soucis d'anonymat avec, dans sa façon de gérer les ip par défauthttps://image.noelshack.com/fichiers/2021/43/4/1635454847-elton-john-tison-golem.png

Infos
Gestion du forum

contact@geevey.com

API disponible. Utilisez le paramètre "api" en GET, peu importe le contenu, sur une page du site.

Notes

    Partenaire: JVFlux
    Ce site n'est pas associé à Jeuxvideo.com ou Webedia. Nous utilisons seulement des archives publiques.
    Il est inutile de me spammer par e-mail pour supprimer un topic. Au contraire, en conséquence, je mettrais votre topic dans le bloc ci-dessous.
Non-assumage
    Personne n'a pas assumé de topic pour le moment.