Le chiffrement sur le web (HTTPS) - Monsieur Bidouille
Вставка
- Опубліковано 29 лис 2017
- Chiffrer une communication sur le web à quoi ça sert et comment ça marche ? La réponse dans cet épisode qui explique ce qu'est le HTTPS et son intérêt (et une petite partie de ces limites) !
Si vous voulez en savoir plus, regardez le travail du Goat Gang :
Le Goat Gang : / @legoatgang
Ma chaîne : / monsieurbidouille
Facebook : / monsieurbidouille
Twitter : @MrBidouille
Mastodon : @MonsieurBidouille@framapiaf.org
Site web : monsieurbidouille.fr
Encore une fois, un grand merci à Jérôme pour son aide précieuse, si vous voulez le suivre, c'est par ici :
Twitter : @djayroma
Mastodon : djayroma@framapiaf.org
La suite viendra sur le chiffrement et sur d'autres choses très intéressantes. :)
Une partie des sources de cet épisode :
Dual EC DRBG, toute les explications (prévoir des aspirines) :
connect.ed-diamond.com/MISC/M...
Si vous voulez voir d'autres problèmes avec les générateurs pseudo aléatoires, étudiez donc le cas de RdRand (oui c'est des noms pourris, en même temps c'est des algorithmes, c'est pas le dernier Amiibo à la mode) : www.theregister.co.uk/2013/09...
Un article du NyTimes sur la capacité de la NSA a contourner les sécurités de base : www.nytimes.com/2013/09/06/us/...
PRISM sur Wikipédia : fr.wikipedia.org/wiki/PRISM_(...)
Le Patriot Act sur Wikipédia : fr.wikipedia.org/wiki/USA_PAT...
PRISM et l’accès de la NSA aux serveurs de Google, facebook, etc :
o.nouvelobs.com/high-tech/2013...
S'amuser à chiffrer des trucs. Je vous ai mis sur l'algo utilisé par l'AES (Rijndael 256), parfait pour se passer des mots en cours !
crypter.online/crypter/rijnda...
#HTTPS #chiffrement #cryptographie - Наука та технологія
De la qualité, du travail, de la clarté, une certaine neutralité qui va dans un sens qui va bien à la communauté you tube...
La classe. Une chaîne qui monte.
C'est la première fois que j'entend quelqu'un expliquer clairement ce qu'est le chiffrage asymétrique. Bravo !
Du très très bon travail ! C'est vraiment la première fois que j'ai droit à des explications aussi claires sur tous ces aspects de chiffrement, sécurité, certificats.
Vraiment un grand merci ! :)
Encore une fois, bien vulgarisé, accessible, avec de l'auto dérision et de l'humilité. Franchement bien joué.
Je pense que regarder la vidéo une deuxième fois ne me ferais pas de mal
En tout cas super vidéo ^^
Excellente et indispensable vidéo ! Je suis impressioné par la qualité et la clarté des explications.
Beaucoup de personnes dans l'informatique ne maitrisent pas du tout ces concepts et devraient la regarder.
Beaucoup trop de gens disent crypter. J'ai beau leur expliquer, ils comprennent pas. Je suis content que tu l'explique.
explications claires et de qualité. Elles simplifient la complexité informatique. Merci
J'ai appris teeeeeelement de trucs dans cette vidéo ! Merci beaucoup
Très bien vulgarisé et pédagogique, bravo !
je me lasse pas de tes vidéos là, quand j'ai un doute, ou que quelqu'un me pose des questions sur ça, j'essai d'expliquer, puis j'envoi ta vidéo XD et je me rematte la vidéo aussi, et je me rend compte que j'utilise les mêmes analogies
Vidéo impressionnante de part sa clarté ! C'est tellement agréable à regarder !
J'apprécie énormément le côté très pédagogique de cette vidéo. Bravo !
Je decouvre ta chaine et j ai jamais eu une explication aussi clair des certificats.
Je vais regarder le reste de ton travail, ce que j ai deja vu est excellent !
Merci et bonne continuation !
Merci pour cette super vidéo (les animations ont dû te prendre un temps fou) !
Je viens de découvrir "Monsieur Bidouille" et dévoré la 4ième video de l'après-midi.
Je dis bravo et merci. On sent qu'il y a de la recherche derrière, c'est très instructif et addictif. Ca donne envie d'explorer d'avantage.
Je suis en Ecole d'ingénieur, et on vient de nous conseiller ta vidéo. Si c'est pas gage de qualité..! :)
Merci pour cette vidéo, sur un sujet très intéressant et de plus en plus important.
Super vidéo expliqué de manière aussi clair ce sujet qui me paraissait très complexe chapeau 🎩
Bonjour du très bon travail de vulgarisation. Rendre simple doit impliquer surement beaucoup de travail. encore bravo
Excellent travail... Un grand merci pour cette vidéo et l'ensemble de ce que tu produis sur ta chaîne. Top !
Bonjour, je suis seul devant mon ordinateur et je regarde cette vidéo avec une capuche car j'aime avoir le crâne au chaud. Au revoir.
dans le noir au fond d'une cave humide, parfois.
Avec un ordi sur Kali sur fond de Brostep
Et bien sûr celui-ci pirate le FBI e t la NSA très rapidement en tapotant continuellement sur son clavier.
Super vidéo, très claire BRAVO !
Explications très claires, bravo et merci
Toujours aussi pertinent, merci !
Merci.
Je continue vos
vidéos.
C'est trop bien expliqué.Merci beaucoup.
Merci pour tout ce que tu nous partage ! J'adore tes vidéos !
Super vidéo, très instructive !
très intéressant, comme d'habitude en fait !
Merci, très pédagogique !! Bravo !!
très interressante comme vidéo !
Merci !
P.S. à 14:35 t'as gagné un abonné ;)
o_o tellement complet
hate de voir la suite, merciii et gg
"bon... ... bon travail"
comme toujours , j'adore!
Merci pour ton travail 👍🏼
Super boulot!!!
Merci mec pour ce que tu fais. La démarche, ta façon de pensé et de voir les choses m'intéresse beaucoup. Je rajouterais même, Bravo!
Trés trés bonne vidéo. Vulgarisé comme dans C'est pas sorcier . Bravo
T'as tout dit. TOUT. Je partage à des gens qui vont partager.
Merci c'est très instructif.
Hé ! Merci pour les videos. C'est tres utile moi qui explique super mal. Je vais me servir de tout ca pour apprendre à mon fils !
Que dire ?
Excellentissime vidéo, j'ai compris en quelques instants ce que j'ai galéré à piger avec un prof d'informatique !
Et vous allez même un peu plus loin...
Merci....j'ai une présentation de la signature électronique à réaliser dans quelques temps, vous m'avez bien remis les idées en place.
Merci pour cette vidéo très intéressante.
Excellent travail
encore une excellente vidéo.. j'avais beau connaitre le sujet à l'avance, j'ai bien aimé !
Tu as raison voilà le genre de trucs qui devrait être enseigné à l 'école
Bon aller je vais regarder la video une 2 eme fois voir 3 fois
résume très bien mon cour de sécu ! Merci
Très chouette vidéo mais il fallait aussi parler des "risques" (quasi improbable avec les récents algorithmes) de collisions pour les algorithmes de hachage. Si risque il y'a, 2 données complétement différentes peuvent avoir la même empreinte (gros risques) ! Continue tes vidéos (pouce vers le haut) ...
Trop bien ! Et en plus t'as la classe : )
Excellent merci! J'en redemande! :p
Hello Monsieur bidouille! Ca serait sympa d'avoir une playlist avec vos vidéos sur le chiffrement, TOR, les VPN et autres!
Très bonne vidéo
très intéressante ta vidéo comme d'hab.
Super vidéo!
tres bonne video comme d'hab
Très bonne vidéo!
Beau boulot ! :)
Merci pour ces explications :) bon boulot ! A quand la suite sur les sujets mentionnés (vpn, tor,...) ? Et les virus permettant de contourner ces sécurités ? Stp :)
EXCELLENT !
Merci pour cette excellente vidéo ! +1 abo
Excellent !
Merci, c'est très clair.
Bonne vidéo !
Comme dit par d'autres merci pour la précision sur la terminologie, même dans le milieu de l'informatique c'est dur a faire passer. Si je peux me permettre deux critiques, évite la lampe juste derrière la tête et attention au focus c'est souvent flou!
ca c'est d'la video! top
Bonjour, tout d'abbord merci pour ton contenu. Je découvre à l'instant ta chaîne et je la trouve instructive et très intéressante. Tu prend le temps nécessaire pour expliquer des concepts de sécurité web qui peuvent sembler assez obscur au premier abord. Je n'ai pas encore parcouru l'ensemble des vidéos mais je voulais savoir si tu envisageais de faire une vidéo sur le vote en ligne. J'ai cru voir que tu traitais d'autres sujet et cela ne s'inscrit donc probablement pas dans ta ligne éditoriale aujourd'hui mais je pense qu'il s'agit d'un sujet interressant à notre époque et que ton talent de vulgarisation pourrait être fort instructif. Merci et bonne continuation.
Superbe
merci beaucoup 😉
Pour lire du RFC tous les jours (et assez bien connaitre le chiffrement async), tu me vends de la parano ^^
Et pour ajouter ma pierre à l'édifice, SELinux a été développé par la NSA.
Ensuite, c'est sympa de parler de la partie soft, mais il existe nombre de "failles" hard ...
Pour conclure : très bonne vidéo.
je sais pas sii j'ai déjà dit merci...zzZZZzz. Mais en vrai merci encore c'est super bien expliqué
juste merci
C'est quand même incroyable tout ce que les êtres humains ont inventés :o
Bravo
merci
Mais oui c'est clair ! ah non xDD en vrai cette vidéo est très intéressante !
super
Bonsoir, merci pour cette vidéo très claire, ça fait du bien :)
Par contre, le fait que tu joues à cache cache avec l'ampoule derrière m'a collé un mal de crane pas possible ...
cool
excellente vidéo !dans ta future vidéo sur le chiffrement, ça serait cool de parler des limites du modèle du tier de confiance et de parler des alternatives comme DANE/TLSA qui se base sur DNSSEC pour s'en passer ;)Peut être aussi compléter sur l'échange de clé symétrique dans TLS, le forward secrecy...Y'a énormément de choses a dire sur ce sujet et trop peu de bonne vidéo francophone !
Dr .katarpilar attention dane n'est pas en concurrence avec la certification ! C'est un complément pour éviter l'homme du milieu.
Ha non ! ^^ DANE/TLSA permet de publier l'empreinte du certificat (ou de la chaine de certification, type EE) dans le dns en profitant de la sécurité offerte par DNSSEC. donc a contition d'avoir un resorveur DNSSEC de confiance, la CA ne sert plus a rien ! (si DANE était implémenté dans les navigateurs ce qui n'est pas le cas, ou alors de faire de la vérification manuel...)En quelques sorte on remplace les clé publiques des CA dans les navigateurs par les clés publiques DNSSEC des serveurs racines dans le resorveur.
Ca serait tout a fait possible de faire de l'HTTPS avec un certificat autosigné si les navigateurs implémentait DANE.
"3 : comme l'utilisation 2, on se passe de l'infrastructure des
AC traditionnelles, et on déclare dans le DNS, non pas une AC à soi
comme dans l'utilisation 2, mais un certificat. C'est l'équivalent des
certificats auto-signés mais avec cette fois une preuve de validité,
offerte par DNSSEC."
www.bortzmeyer.org/6698.html
Dr .katarpilar ça ne résiste pas à l'homme du milieu qui attaque aussi ta résolution dns. Pour moi c'est complémentaire, la vraie libéralisation c'est la certification distribuée car impossible de falsifier plusieurs certifications.
C'est bien pour ca que j'ai précisé "a condition d'avoir un resorveur DNSSEC de confiance"Avec un resolveur local, le mitm DNS n'existe plus.Dans ces conditions les CA (et leur buisness) n'ont plus d’intérêt :D
Dr .katarpilar Ok mais je suis pas forcément "contre" le business de la CA, c'est pour ça que j'aimerais plutôt voir des certificats distribués, du coup plusieurs types de structures pourraient être CA : états, institutions publiques, associations, personnes et aussi entreprises. Ça créerai une saine émulation, et les entreprises qui feraient du CA auraient à faire une vraie plus-value (vérifications poussées, garanties etc...)
Le jour de mon anniv' !!
jarrive peitetre un peut tard mais a ce sujet (des prediction) a 15:50 jai vu récemment dans les paramètres GOOGLE une ligne que autorise la prédiction des page pour un chargement plus rapide .... il ya un lien...? ou je suis déconnecter....? ^^
Oula ! tu m'a chiffré mon cerveau la .... il a trop fumé oO
vive l'internet libre !
Question: Sur certains sites, il y a le nom d'une société affichée en vert à coté du cadenas, correspondant sans doute à un certificat, comme par exemple duckduckgo affiche en vert: Duckduckgo inc.
Mais sur Google ou youtube il n'y a rien à coté du cadenas? est-ce normal?
Et revoilà Bob !!!
"C'est déjà ça" ^^
Ne peut il pas y avoir des collisions au niveau de(s) générateur(s) de clés RSA et autres? Si je crée une paire de clés sur ma machine, qui me dit que cette même paire n’a pas été créer ailleurs ? Je suppose que c’est lá que les instances de certifications rentrent en jeu pour déterminer si cette paire existe ailleurs ou pas ou me trompe-je ?? J’essaie de comprendre comment on évite les collisions ou double emploi .. merci et chouette vidéo :-)
Mr Smith :D !
ps: étrange l'extrait de Linus
ouck02 N’oublie jamais que lorsque tu construit qqch ( sur internet ) tu mets forcément ( de ton plein gré ou nn ) ou backdoor pour pouvoir avoir un accès en cas de problème majeur sur le système. Donc les OS ont tout intérêt à avoir des portes pour avoir accès à leur propre bébé sans demander forcément l’autorisation.
Après le truc c'est que Linux c'est open-source, en théorie on sait comment ça fonctionne à l'intérieur, à moins que je me trompe...
C'est un compteur d'abonnés à led dans le décor?
Oui.
Bonjour,
Si le certificat se fait par une clef privée, comment Bob peut vérifier que le certificat provient bien de Smith ? La clef privée n'en est donc plus une et Monsieur capuche pourrait aussi copié la clef privé du certificat comme il sait déjà le faire pour toutes les clefs publiques ?
Merci
Je me demande quelque chose
Comment la boite qui genere des cles de certification fonctionne ??
Genre est ce que c est comme nous avec des cles deja enregistrés ou a chaque utilisation il genere une cle differente ??
C'est un des points faibles de cette méthode: les autorités de confiance. Ton navigateur y fait confiance sans que tu saches vraiment pourquoi. Aujourd'hui il fait confiance à des autorités qui ne font pas de vérifications sur l'identité d'Alice ou qui ont font si peu que Smith peut arriver à se faire passer pour Alice auprès de ces organismes. Un exemple korben.info/comodo-microsoft-email-certificat-ssl.html
Su la question du changement de clefs, non. Smith utilise la même clef privée car la publique est enregistrée dans ton navigateur (et se met à jour tout les X temps).
Les clés de Smith sont valable entre 3 5 ou 10 ans, et puis il n'en a pas qu'une il varie en fonction de la garantie qu'il propose : par exemple GANDI propose des certificats sans garantie financière et 2 autres à hauteur de 250k€ d'assurance.
Vidéo sympa. Attention au cadrage, tu as souvent la tête coupée.
Si l'homme a la capuche fais une attaque de l'homme du milieu entre Alice et Smith ?? On fait comment
+1
Bonjour. Je suis nouveau sur la chaîne et j'ai adoré la vidéo. Mais il y a une question qui me trotte dans la tête, on a parlé des oraganismes qui fabriquent des certificats de sécurité comme smith dans la vidéo, qui empêchent les hackers de voler des infos.. Est-ce qu'un hacker ne peut pas se faire passer pour un organisme de certificat de sécurité?.. Comme ça il pourrait connaître la clé privée du distributeur de service joué par Alice ici,afin de hacker tous ses correspondants..
J'aimerais avoir des éclaircissements là dessus..merci
Excellente vidéo.
Petite question : ici on parle de site web avec certificats. Mais si jamais moi, particulier, je souhaite envoyer ma clé public à un ami, pour envoyer des mails chiffrés, comment m’assurer qu’il recevra bien ma vraie clé publique? Les certificats dont tu parles, existent-ils aussi pour les particuliers? Sans être certain de moi, il me semble qu’on puisse déposer sur des sites (des types de registres/annuaires) nos clés.
J’aime tellement ce sujet passionnant. J’avais auparavant configuré ma boîte mail pour utiliser le chiffrement mais trop peu de personnes en font l’usage, c’est dommage.
Ta vidéo résume bien le concept, idéal pour comprendre les bases lorsqu’on souhaite en savoir plus sur le sujet.
Par ailleurs, je conseille aux curieux de voir le film Snowden. Il est excellent
En la remettant en main propre ;), c'est le moyen le plus sur.
Jason Mahe tu parles de gpg c'est pareil au niveau technique mais il n'existe pas encore de Smith pour les clés Gpg.
Grace au HTTPS, .... on peut toujours se faire arnaquer, mais de manière sécurisée, c'est déjà ça :D
pour rester dans la convention des appellations des personnages en cryptographie, Mr Capuche est habituellement appelé Eve.
est ce qu'on peut se mettre entre alice et smith et du coup connaitre toutes les clef ou alors se faire passer pour smith et faire passer un faux certificat?
FirePlay non à moins d'avoir la main complète sur le serveur et le réseau d'Alice. Renseigne toi sur les méthodes de certification, c'est pas automatique et ça passe par le mail souvent du responsable du serveur qui a un autre ordinateur, celui de son bureau qui est dans un autre réseau... C'est pas si automatique 😊
**Grammar nazi ON** Si tu avais été bilingue tu aurais dit "la clef d'alice" :D **Grammar nazi OFF**
Bon travail en tous cas :)