Aller au contenu


Photo

Gstatic et autres services utilisant le port 443


  • Please log in to reply
17 replies to this topic

#1 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 25 mars 2015 - 00:15

Voilà maintenant presque trois ans (si je ne me trompe), que Google offre les services du serveur gstatic (permettant le chargement des scripts d'une page).

Ce service étant inutile (jusqu'à présent en tout cas), je l'ai bloqué via le firewall et ma navigation ne s'en porte pas plus mal.

 

A la même période, nous avons assisté à un développement frénétique de l'utilisation abusive du port 443 (securesocketlayer).

Ce port utilisé au départ pour les transactions bancaires, est depuis lors utilisé de manière intempestive par n'importe quel serveur en quête d'information à notre sujet (en général afin de nous identifier). 

 

Petit à petit, d'autres requêtes inutiles viennent se rajouter à la liste. En voici un exemple :

 

Fichier joint  Firewall.jpg   93,53 Ko   1 Nombre de téléchargements 

 

La liste totale des refus comporte environ soixante lignes chez moi.

 

Comme si cela ne suffisait pas, il est impossible de créer des règles permettant l'exclusion des services inutiles de Google et de visionner des vidéos sur Youtube en même temps. Il est également fastidieux, voir impossible d'autoriser tous les serveurs de streaming de Youtube.

 

L'un dans l'autre la navigation sécurisée sur internet devient de plus en plus impossible depuis la création de gstatic.

Des applications de toutes sortes réclament également d'effectuer des connexions sécurisées (utilisant le port 443), où va-t-on? 


Ce message a été modifié par Fredo - 25 mars 2015 - 00:16 .


#2 jp

jp

    Touriste

  • Modérateurs
  • PipPipPipPipPipPipPipPipPip
  • 6 564 Messages :
  • Configuration:N/A
  • Sexe:Masculin
  • Localisation:Créteil

Posté 25 mars 2015 - 10:40

C'est sûr que la généralisation de TLS pose un problème d'analyse et de contrôle des flux. Quand j'étais à Intego, ça nous posait pas mal de soucis pour NetBarrier ou Family Protector qui ont des fonctionnalités basés sur l'analyse de contenus de flux.

 

Les éditeurs d'IDS et IPS sont confrontés au même problème.

 

En dehors de ça, je trouve que c'est une très bonne chose. C'est une erreur de croire que seuls ceux qui veulent collecter des informations de manière illégitime ont recours aux connexions sécurisées.

 

De plus en plus d'entreprises veulent du chiffrement end-to-end pour garantir un minimum de confidentialité aux utilisateurs. Toute personne qui se trouve entre toi et le serveur de l'entreprise ne peut plus écouter : organisme d'état, réseau WiFi public, réseau quelconque peu fiable.

 

Cette généralisation est pour moi une très bonne nouvelle.

 


La phrase suivante est fausse. La phrase précédente est vraie.

#3 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 25 mars 2015 - 14:19

Oui, bien utilisé, le protocole TLS/SSL/443 permet le chiffrement des données et une certaine confidentialité, à condition de ne pas être soumis à une attaque du type "BEAST".

 

BEAST : http://www.infoworld...-watch-out.html

 

Ceci dit, mon post ne concerne pas les entreprises (qui ont les moyens) mais les internautes lambda.

Lorsque la tentative de connexion chiffrée est faite par des sites tiers, non sollicité par l'internaute et de manière invisible, nous ne sommes plus dans le même cas de figure, on peut clairement parler de violation de la vie privée et s'en prémunir devient impératif.
Je ne vois pas où est l'avancée (elle n'est pas démocratique en tout cas), l'internaute lambda n'est même pas au courant de tout ce qui se trame derrière son dos et tous les antivirus du monde ne pourront rien y faire.

 

Qui se cache derrière le serveur onclickads.net ou ad.doubleclick.net? Surement pas des mécènes.

Quelles sont les informations récoltées par gstatic et qu'en fait-il?

Toutes ces informations confidentielles permettent l'identification certaine d'un internaute et sont surement revendues à des tiers ou utilisées à d'autres fins nuisibles.

Dans le doute, je conseille à tous de fermer le port 443 à toutes les requêtes qu'ils estiment abusives (gstatic, doubleclic, live.net, il y en a des centaines...).



#4 jp

jp

    Touriste

  • Modérateurs
  • PipPipPipPipPipPipPipPipPip
  • 6 564 Messages :
  • Configuration:N/A
  • Sexe:Masculin
  • Localisation:Créteil

Posté 25 mars 2015 - 15:00

Ces sites faisaient déjà sortir des informations avant de passer en TLS. Ça n'a pas grand chose à voir. Mais évidemment je suis contre cette pratique.


La phrase suivante est fausse. La phrase précédente est vraie.

#5 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 03 avril 2015 - 22:17

Je suis étonné par le peu d'enthousiasme que suscite mon post, nous sommes pourtant tous (les internautes) concernés.

A l'heure ou Apple passe au "Green", ne serait-il pas judicieux de mettre un terme à ces pratiques abusives et énergivores?

 

Y a-t-il si peu de personnes qui utilisent un firewall ou qui s'intéressent à la sécurité de leur connexion?

 

J'aurai dû choisir un autre titre peut-être?


Ce message a été modifié par Fredo - 03 avril 2015 - 22:18 .


#6 zekiller28

zekiller28

    Admin qui mord

  • Administrateurs
  • PipPipPipPipPipPipPipPipPip
  • 10 592 Messages :
  • Configuration:Toutes sortes de Mac du PPC à l'Intel et toute sorte de MacOS X De Panther Client à Maverick.
  • Sexe:Masculin
  • Localisation:Saint-Hilarion (78)

Posté 04 avril 2015 - 13:23

Je lis mais sans forcément commenter…

 

je suis d'accord aussi sur le fait que beaucoup d'entreprise veulent un maximum de sécurité mais paradoxalement vont utiliser des applications gratuites qui ne certifient aucunement la confidentialité des échanges…


Le site de ToolsX
Le site de ToolsXOptimizer

Apple Certified Mac Management Basics 10.9 English
Apple Certified Mac Integration Basics 10.9 English
Apple Certified Associate Mac Integration 10.8
Apple Certified Mac Management Basics 10.8

#7 Petrus

Petrus

    Membre d'honneur

  • Membres
  • PipPipPipPipPipPip
  • 1 257 Messages :
  • Configuration:MacBook Pro
  • Sexe:Masculin
  • Localisation:La Mulatière

Posté 09 avril 2015 - 14:56

Et moi j'ai un peu de mal à comprendre pourquoi ce sont les connexions au port 443 qui te gênent ? Nos informations peuvent tout aussi bien fuiter par le port 80, non ?


• Mon site: www.traintrain-software.com • Mes programmes: Subs Factory Labyrinthus Kryptor Ratiocinator •

• MacBook Pro retina 15 pouces late 2013 - 2,0GHz - 16Go - 512Go • MacOS 10.12.4 • Écran Samsung 2232BW •

• DD externe 500 Go SiverDrive Quattro • Graveur DVD Pioneer 110D en boîtier SilverBurner 2 alu •

• Tuner Elgato EyeTV Diversity • Interface M-Audio ProFire 610 • NAS Qnap TS 412 - 4*1To RAID 5 • Livebox •


#8 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 09 avril 2015 - 16:18

Et moi j'ai un peu de mal à comprendre pourquoi ce sont les connexions au port 443 qui te gênent ? Nos informations peuvent tout aussi bien fuiter par le port 80, non ?

 

 

Ne sachant pas exactement ce qu'il font de ces connexions invisibles, il est difficile de trancher, néanmoins, étant donné l'intense désir de tout webmaster de savoir qui fréquente sont site, je pense qu'elles servent à identifier l'internaute de manière certaine.

Par le cache? En interceptant les données confidentielles au moment de l'envoi? 

 

Etant donné qu'au port 443 sont associés toutes les données confidentielles d'un utilisateur (nom, prénom, date de naissance, numéro de compte en banque,...), les informations disponible ne sont pas les mêmes que sur le port 80.

Si ces requêtes étaient effectuées sur le port 80, la chance de récolter des informations confidentielles serait nulle puisqu'elle passent toutes par le port 443.



#9 Petrus

Petrus

    Membre d'honneur

  • Membres
  • PipPipPipPipPipPip
  • 1 257 Messages :
  • Configuration:MacBook Pro
  • Sexe:Masculin
  • Localisation:La Mulatière

Posté 10 avril 2015 - 15:37

Tu veux dire qu'un navigateur empeche certaines informations de passer par le 80, pour ne les autoriser que sur le 443 ?


• Mon site: www.traintrain-software.com • Mes programmes: Subs Factory Labyrinthus Kryptor Ratiocinator •

• MacBook Pro retina 15 pouces late 2013 - 2,0GHz - 16Go - 512Go • MacOS 10.12.4 • Écran Samsung 2232BW •

• DD externe 500 Go SiverDrive Quattro • Graveur DVD Pioneer 110D en boîtier SilverBurner 2 alu •

• Tuner Elgato EyeTV Diversity • Interface M-Audio ProFire 610 • NAS Qnap TS 412 - 4*1To RAID 5 • Livebox •


#10 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 28 avril 2015 - 22:10

Tu veux dire qu'un navigateur empeche certaines informations de passer par le 80, pour ne les autoriser que sur le 443 ?

 

Oui, tu as compris le principe.



#11 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 28 avril 2015 - 22:28

Histoire de relancer le débat, je vous fait part d'une expérience très récente.

J'utilise Duck-Duck-Go afin de faire des recherches et lorsque les résultat s'affichent, le serveur envoi une requête (sur le port 443) afin d'afficher les petites icônes de chaque site.

Pour quelle raison cet élément de la page (une icône) doit-il être chargé en passant pas le port 443? J'ai vraiment du mal à comprendre?

On tente de noyer un port sécurisé par des requêtes abusives afin de rendre dingues le personnel I.T.? Afin d'empêcher l'établissement de règles? Afin de le laisser ouvert à toutes les requêtes?

 

Je ne serais pas étonné qu'une application exclusivement dédiée au transfert de données confidentielles voit le jour très bientôt. Je suis certain que les entreprises sérieuses ferment ce port à toutes connexions et utilisent un autre port (et une autre application) pour leurs transactions confidentielles. Je ne peux pas croire une seule seconde que cette poubelle qu'est devenu le port 443 puisse être sérieusement utilisé afin d'assurer une quelconque confidentialité.



#12 jp

jp

    Touriste

  • Modérateurs
  • PipPipPipPipPipPipPipPipPip
  • 6 564 Messages :
  • Configuration:N/A
  • Sexe:Masculin
  • Localisation:Créteil

Posté 29 avril 2015 - 00:32

Je dois avouer que sur ce sujet, Fredo, je ne te comprends absolument pas. Tu sembles complètement obnubilé par cette histoire de TLS !

 

Je ne connais aucune entreprise sérieuse qui empêcherait l'utilisation de connexions sécurisées à ses employés. Et quand bien même ça peut gêner des admin-sys et leurs IDS / ITS, ou leur côté parano-big-brother qui tienne absolument à surveiller et contrôler ce que font leurs employés de leur connections Internet, c'est essentiellement bénéfique.

 

Pour bosser dans le milieu informatique, je conseille toujours (et mes collègues pareils) de sécuriser au maximum tout. Chaque jour de nouveaux sites et des applicatifs passent à TLS, et demain sera tout TLS. Et c'est une très bonne nouvelle.

 

Si tout ceci t'empêche de dormir et que tu tiens absolument à savoir ce qui transite sur tes tuyaux (je te garantit que pour les utilisateurs, que les données passent en clair ou chiffrés via TLS, ils ne vont de toute façon pas aller utiliser Wireshark ou consort pour analyser ça), tu peux toujours utiliser le fameux Charles Proxy.

 

Si jamais il y a des admin-sys parmi vous : je vous exhorte sincèrement à passer le plus vite possible à des connexions chiffrées, quel que soit les données qui transitent. Protégez la vie privée de vos utilisateurs, ne laissez pas les admin-sys, les états, et les fournisseurs d'accès la possibilité de surveiller ce qu’ils font, ne leur laissez pas la possibilité de faire du DPI. Protégez les des attaques MitM.

 

 

Chiffrez chiffrez chiffrez. Et chiffrez encore. 1Password, HTTPS, SFTP, ssh, TrueCrypt, FileVault, EFS, encfs, et j'en passe !


La phrase suivante est fausse. La phrase précédente est vraie.

#13 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 29 avril 2015 - 01:16

Si tout est crypté, les chances d'interception de données sont plus minces. Voilà le seul avantage.

Et encore, les banques ont récemment déclarées que le système actuel n'était plus fiable (TLS). Il a surement déjà été percé par quelques ingénieurs acharnés qui cherchent du travail.

D'autre part, il n'y pas de raison de crypter tout et n'importe quoi, seuls les données sensibles doivent l'être.

En plus de cela, les requêtes intempestives empêchent de détecter, en toute sérénité, les requêtes abusives (vu le nombre de requêtes envoyées).

 

Arte a publié plusieurs vidéos à ce sujet. Elle dénonce le risque lié aux requêtes abusives (qui mettent en péril notre intimité profonde), sans mentionner le moyen de s'en protéger.

Et pour cause, le seul moyen d'y arriver est d'installer un firewall interactif. Les plug-ins censés garantir notre intimité ne sont pas efficaces (bien que parfois utiles).

 

Pour ma part je conseille à toute personne désireuse de ne pas risquer de partager des informations confidentielles avec des tiers inconnus, de s'équiper d'un firewall interactif, et de quelques plugins pour safari.

D'effacer tous les pré-réglages du firewall qui concerne le port 443 (ou de les mettre en "disable"), et d'accepter les requêtes au compte goutte lorsqu'elles surviennent.

Attendez-vous à quelques jours de pratique avant de discerner, parmi les requêtes, celles à autoriser définitivement de celles qu'il faudra autorisées en fonction des sites visités.

Note importante : tous les processus ayant "gstatic" dans le nom (venant de google ou autre) peuvent être bloqués sans que cela n'affecte votre navigation.

Hisez haut matelots, la mer monte!


Ce message a été modifié par Fredo - 29 avril 2015 - 01:18 .


#14 jp

jp

    Touriste

  • Modérateurs
  • PipPipPipPipPipPipPipPipPip
  • 6 564 Messages :
  • Configuration:N/A
  • Sexe:Masculin
  • Localisation:Créteil

Posté 29 avril 2015 - 10:36

 

Et encore, les banques ont récemment déclarées que le système actuel n'était plus fiable (TLS)

Ça m'étonnerait. Tu as une source de cette information ? Il y a des failles connus (Poodle, Freak, Heartbleed, etc.) qui ont été fixées, mais en dehors de ça…

 

 

 

D'autre part, il n'y pas de raison de crypter tout et n'importe quoi, seuls les données sensibles doivent l'être.

Pas d'accord. Tout doit être chiffré. Tout.

 

 

Arte a publié plusieurs vidéos à ce sujet. Elle dénonce le risque lié aux requêtes abusives (qui mettent en péril notre intimité profonde), sans mentionner le moyen de s'en protéger.

C'est un point de vue que je ne partage pas, avec tout le respect que j'ai pour Arte. Si quelque chose doit mettre en péril notre intimité (qu'elle soit profonde ou pas) c'est les requêtes en clair qui sont facilement interceptable par des personnes qui se trouvent sur le chemin.

Pour ce qui est du reste, que tes données confidentielles soient envoyées en clair ou chiffré, elles sont de toute façon recevables en clair par celui qui les demande.

Et les services n'ont absolument pas besoin de chiffrer pour cacher à l'utilisateur qu'ils font fuiter des infos personnelles : si elles sont envoyées en clair, les utilisateurs ne le savent pas (parce qu’ils ne vérifient pas), et si elles sont envoyées en chiffré non plus. Pour les utilisateurs avancés, il suffit d'utiliser un proxy comme Charles Proxy pour vérifier ce point.

Et les firewalls qui font de l'analyse de contenus pour savoir si une donnée personnelle sort, c'est juste une vaste blague. Personne ne prend le temps de renseigner dans un logiciel l'ensemble des données qui ne doit pas sortir, ni ne les met de doute façon à jour. Pas plus quand c'est une compagnie.

 

 

 

En plus de cela, les requêtes intempestives empêchent de détecter, en toute sérénité, les requêtes abusives

Le problème est le même avec du data en clair partout. Les utilisateurs n'analysent de toute façon pas ce qui transite. Au mieux, ils regardent vers quel serveur va leurs requêtes.

 

Pour le firewall applicatif (c'est ce que tu entends par firewall interactif ?) je suis évidemment d'accord. Mais rien à voir ici avec le fait que le canal soit chiffré ou pas (je le répète : chiffré ou pas, les utilisateurs n'analysent de toute façon pas le contenu des données qui sortent - s'ils ont un firewall, ils se contentent d'accepter les connections sur tel ou tel serveur, et encore pour les utilisateurs les plus avancés).

 

Hissez hauts matelots, la mer monte ! Chiffrez absolument tout ! Ne soyez pas Don Quichotte à vous battre contre des moulins à vent ;p


La phrase suivante est fausse. La phrase précédente est vraie.

#15 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 01 mai 2015 - 18:47

Le problème est lié à l'usage abusif du port 443, le cryptage ne doit pas changer grand chose à partir du moment ou le certificat TLS est accepté par l'internaute (qui accepte souvent des certificats obsolètes ou piratés). 

 

Voici un lien qui en dit long sur l'état des abus des sociétés (condamnées par la CNIL) en matière de violation de la vie privée via internet.

http://www.cnil.fr/l...tions/browse/1/

 

En voici un autre d'Arte qui détaille un peu les méthodes utilisées par les commerçants (et autres...) pour nous pister.

https://www.youtube....h?v=aTqBUm81imc

 

Encore une fois, pour s'en protéger, seul un firewall (et quelques plugins) peut permettre de le faire efficacement.

Créer un utilisateur dédié aux paiements effectués sur internet permet de se protéger d'éventuels chevaux de Troie ou autres espions, c'est déjà ça, je le préconise.  


Ce message a été modifié par Fredo - 01 mai 2015 - 18:59 .


#16 jp

jp

    Touriste

  • Modérateurs
  • PipPipPipPipPipPipPipPipPip
  • 6 564 Messages :
  • Configuration:N/A
  • Sexe:Masculin
  • Localisation:Créteil

Posté 02 mai 2015 - 01:54

Le problème des certificats, ça dépend comment tu le gères. Par exemple avec Firefox, c'est assez pénible d'accéder à un site quand le certificat n'est pas bon. Pour le coup la plupart des utilisateurs lambda abandonnent. Ce sont des cas assez rares de toute façon : les opérateurs qui font du DPI abandonnent dans ce cas là. Le derniers cas où quelqu'un a fait du MitM à grande échelle (Lenovo, pour faire de la pub), ça s'est vu très vite, et ça a fait beaucoup de bruit.

 

Je ne nie pas que des sociétés pompent des infos. Ce que je dis c'est que ces fuites soient chiffrés ou pas, les utilisateurs ne s'en rendent de toute façon pas compte vu qu'ils n’analysent certainement pas les flux de données (et pas forcément des utilisateurs lambda - perso je passe pas ma vie dans Wireshark ou tcpdump). Qu'on utilise du chiffré ou pas, ça n'y change rien, c'est une fausse idée. Et donc autant tout chiffrer.

 

Pour s'en protéger, le mieux, c'est que les citoyens s'organisent pour luter légalement contre ces pratiques. Ou ne pas utiliser Internet sinon… Le fait que des sociétés pompent des infos ne va pas me faire baisser mon niveau d'exigence sur le chiffrement.


La phrase suivante est fausse. La phrase précédente est vraie.

#17 jp

jp

    Touriste

  • Modérateurs
  • PipPipPipPipPipPipPipPipPip
  • 6 564 Messages :
  • Configuration:N/A
  • Sexe:Masculin
  • Localisation:Créteil

Posté 04 mai 2015 - 12:09

Sinon, je recommande le plug-in HTTPS Everywhere qui permet d'utiliser automatiquement les versions HTTPS des sites quand c'est possible. Un truc fait en collaboration entre les équipes du bien connut EFF (Electronic Frontier Foundation) et les équipes du projet TOR.

 

C'est pas parfait, mais mieux que rien.


La phrase suivante est fausse. La phrase précédente est vraie.

#18 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 11 janvier 2016 - 17:24

Voici un article qui parle de ce que je dénonce :

http://reseauinterna...ame-a-big-data/






0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)