Le chiffrement sur le web (HTTPS) - Monsieur Bidouille
ฝัง
- เผยแพร่เมื่อ 29 พ.ย. 2017
- Chiffrer une communication sur le web à quoi ça sert et comment ça marche ? La réponse dans cet épisode qui explique ce qu'est le HTTPS et son intérêt (et une petite partie de ces limites) !
Si vous voulez en savoir plus, regardez le travail du Goat Gang :
Le Goat Gang : / @legoatgang
Ma chaîne : / monsieurbidouille
Facebook : / monsieurbidouille
Twitter : @MrBidouille
Mastodon : @MonsieurBidouille@framapiaf.org
Site web : monsieurbidouille.fr
Encore une fois, un grand merci à Jérôme pour son aide précieuse, si vous voulez le suivre, c'est par ici :
Twitter : @djayroma
Mastodon : djayroma@framapiaf.org
La suite viendra sur le chiffrement et sur d'autres choses très intéressantes. :)
Une partie des sources de cet épisode :
Dual EC DRBG, toute les explications (prévoir des aspirines) :
connect.ed-diamond.com/MISC/M...
Si vous voulez voir d'autres problèmes avec les générateurs pseudo aléatoires, étudiez donc le cas de RdRand (oui c'est des noms pourris, en même temps c'est des algorithmes, c'est pas le dernier Amiibo à la mode) : www.theregister.co.uk/2013/09...
Un article du NyTimes sur la capacité de la NSA a contourner les sécurités de base : www.nytimes.com/2013/09/06/us/...
PRISM sur Wikipédia : fr.wikipedia.org/wiki/PRISM_(...)
Le Patriot Act sur Wikipédia : fr.wikipedia.org/wiki/USA_PAT...
PRISM et l’accès de la NSA aux serveurs de Google, facebook, etc :
o.nouvelobs.com/high-tech/2013...
S'amuser à chiffrer des trucs. Je vous ai mis sur l'algo utilisé par l'AES (Rijndael 256), parfait pour se passer des mots en cours !
crypter.online/crypter/rijnda...
#HTTPS #chiffrement #cryptographie - วิทยาศาสตร์และเทคโนโลยี
De la qualité, du travail, de la clarté, une certaine neutralité qui va dans un sens qui va bien à la communauté you tube...
La classe. Une chaîne qui monte.
Très bien vulgarisé et pédagogique, bravo !
Du très très bon travail ! C'est vraiment la première fois que j'ai droit à des explications aussi claires sur tous ces aspects de chiffrement, sécurité, certificats.
Vraiment un grand merci ! :)
je me lasse pas de tes vidéos là, quand j'ai un doute, ou que quelqu'un me pose des questions sur ça, j'essai d'expliquer, puis j'envoi ta vidéo XD et je me rematte la vidéo aussi, et je me rend compte que j'utilise les mêmes analogies
C'est la première fois que j'entend quelqu'un expliquer clairement ce qu'est le chiffrage asymétrique. Bravo !
Je pense que regarder la vidéo une deuxième fois ne me ferais pas de mal
En tout cas super vidéo ^^
Encore une fois, bien vulgarisé, accessible, avec de l'auto dérision et de l'humilité. Franchement bien joué.
Beaucoup trop de gens disent crypter. J'ai beau leur expliquer, ils comprennent pas. Je suis content que tu l'explique.
explications claires et de qualité. Elles simplifient la complexité informatique. Merci
Excellente et indispensable vidéo ! Je suis impressioné par la qualité et la clarté des explications.
Beaucoup de personnes dans l'informatique ne maitrisent pas du tout ces concepts et devraient la regarder.
J'apprécie énormément le côté très pédagogique de cette vidéo. Bravo !
Vidéo impressionnante de part sa clarté ! C'est tellement agréable à regarder !
Je decouvre ta chaine et j ai jamais eu une explication aussi clair des certificats.
Je vais regarder le reste de ton travail, ce que j ai deja vu est excellent !
Merci et bonne continuation !
J'ai appris teeeeeelement de trucs dans cette vidéo ! Merci beaucoup
Je suis en Ecole d'ingénieur, et on vient de nous conseiller ta vidéo. Si c'est pas gage de qualité..! :)
Je viens de découvrir "Monsieur Bidouille" et dévoré la 4ième video de l'après-midi.
Je dis bravo et merci. On sent qu'il y a de la recherche derrière, c'est très instructif et addictif. Ca donne envie d'explorer d'avantage.
Merci pour cette vidéo, sur un sujet très intéressant et de plus en plus important.
Merci.
Je continue vos
vidéos.
Merci pour cette super vidéo (les animations ont dû te prendre un temps fou) !
Toujours aussi pertinent, merci !
Explications très claires, bravo et merci
Excellent travail... Un grand merci pour cette vidéo et l'ensemble de ce que tu produis sur ta chaîne. Top !
Merci pour tout ce que tu nous partage ! J'adore tes vidéos !
Super vidéo expliqué de manière aussi clair ce sujet qui me paraissait très complexe chapeau 🎩
C'est trop bien expliqué.Merci beaucoup.
Que dire ?
Excellentissime vidéo, j'ai compris en quelques instants ce que j'ai galéré à piger avec un prof d'informatique !
Et vous allez même un peu plus loin...
Merci....j'ai une présentation de la signature électronique à réaliser dans quelques temps, vous m'avez bien remis les idées en place.
Super vidéo, très instructive !
Merci, très pédagogique !! Bravo !!
Super vidéo, très claire BRAVO !
Bonjour du très bon travail de vulgarisation. Rendre simple doit impliquer surement beaucoup de travail. encore bravo
Bonjour, je suis seul devant mon ordinateur et je regarde cette vidéo avec une capuche car j'aime avoir le crâne au chaud. Au revoir.
dans le noir au fond d'une cave humide, parfois.
Avec un ordi sur Kali sur fond de Brostep
Et bien sûr celui-ci pirate le FBI e t la NSA très rapidement en tapotant continuellement sur son clavier.
Merci mec pour ce que tu fais. La démarche, ta façon de pensé et de voir les choses m'intéresse beaucoup. Je rajouterais même, Bravo!
Merci pour ton travail 👍🏼
Hé ! Merci pour les videos. C'est tres utile moi qui explique super mal. Je vais me servir de tout ca pour apprendre à mon fils !
très intéressant, comme d'habitude en fait !
Super boulot!!!
o_o tellement complet
hate de voir la suite, merciii et gg
"bon... ... bon travail"
Merci pour cette vidéo très intéressante.
Merci c'est très instructif.
comme toujours , j'adore!
Très chouette vidéo mais il fallait aussi parler des "risques" (quasi improbable avec les récents algorithmes) de collisions pour les algorithmes de hachage. Si risque il y'a, 2 données complétement différentes peuvent avoir la même empreinte (gros risques) ! Continue tes vidéos (pouce vers le haut) ...
résume très bien mon cour de sécu ! Merci
T'as tout dit. TOUT. Je partage à des gens qui vont partager.
Excellent travail
très interressante comme vidéo !
Merci !
P.S. à 14:35 t'as gagné un abonné ;)
EXCELLENT !
Très bonne vidéo
Excellent merci! J'en redemande! :p
très intéressante ta vidéo comme d'hab.
Merci, c'est très clair.
Trop bien ! Et en plus t'as la classe : )
Excellent !
Hello Monsieur bidouille! Ca serait sympa d'avoir une playlist avec vos vidéos sur le chiffrement, TOR, les VPN et autres!
Très bonne vidéo!
Super vidéo!
Bonjour, tout d'abbord merci pour ton contenu. Je découvre à l'instant ta chaîne et je la trouve instructive et très intéressante. Tu prend le temps nécessaire pour expliquer des concepts de sécurité web qui peuvent sembler assez obscur au premier abord. Je n'ai pas encore parcouru l'ensemble des vidéos mais je voulais savoir si tu envisageais de faire une vidéo sur le vote en ligne. J'ai cru voir que tu traitais d'autres sujet et cela ne s'inscrit donc probablement pas dans ta ligne éditoriale aujourd'hui mais je pense qu'il s'agit d'un sujet interressant à notre époque et que ton talent de vulgarisation pourrait être fort instructif. Merci et bonne continuation.
Comme dit par d'autres merci pour la précision sur la terminologie, même dans le milieu de l'informatique c'est dur a faire passer. Si je peux me permettre deux critiques, évite la lampe juste derrière la tête et attention au focus c'est souvent flou!
Trés trés bonne vidéo. Vulgarisé comme dans C'est pas sorcier . Bravo
Merci pour ces explications :) bon boulot ! A quand la suite sur les sujets mentionnés (vpn, tor,...) ? Et les virus permettant de contourner ces sécurités ? Stp :)
Tu as raison voilà le genre de trucs qui devrait être enseigné à l 'école
Bon aller je vais regarder la video une 2 eme fois voir 3 fois
tres bonne video comme d'hab
Bonne vidéo !
Merci pour cette excellente vidéo ! +1 abo
Beau boulot ! :)
encore une excellente vidéo.. j'avais beau connaitre le sujet à l'avance, j'ai bien aimé !
merci beaucoup 😉
Pour lire du RFC tous les jours (et assez bien connaitre le chiffrement async), tu me vends de la parano ^^
Et pour ajouter ma pierre à l'édifice, SELinux a été développé par la NSA.
Ensuite, c'est sympa de parler de la partie soft, mais il existe nombre de "failles" hard ...
Pour conclure : très bonne vidéo.
ca c'est d'la video! top
Superbe
Bravo
Bonsoir, merci pour cette vidéo très claire, ça fait du bien :)
Par contre, le fait que tu joues à cache cache avec l'ampoule derrière m'a collé un mal de crane pas possible ...
juste merci
excellente vidéo !dans ta future vidéo sur le chiffrement, ça serait cool de parler des limites du modèle du tier de confiance et de parler des alternatives comme DANE/TLSA qui se base sur DNSSEC pour s'en passer ;)Peut être aussi compléter sur l'échange de clé symétrique dans TLS, le forward secrecy...Y'a énormément de choses a dire sur ce sujet et trop peu de bonne vidéo francophone !
Dr .katarpilar attention dane n'est pas en concurrence avec la certification ! C'est un complément pour éviter l'homme du milieu.
Ha non ! ^^ DANE/TLSA permet de publier l'empreinte du certificat (ou de la chaine de certification, type EE) dans le dns en profitant de la sécurité offerte par DNSSEC. donc a contition d'avoir un resorveur DNSSEC de confiance, la CA ne sert plus a rien ! (si DANE était implémenté dans les navigateurs ce qui n'est pas le cas, ou alors de faire de la vérification manuel...)En quelques sorte on remplace les clé publiques des CA dans les navigateurs par les clés publiques DNSSEC des serveurs racines dans le resorveur.
Ca serait tout a fait possible de faire de l'HTTPS avec un certificat autosigné si les navigateurs implémentait DANE.
"3 : comme l'utilisation 2, on se passe de l'infrastructure des
AC traditionnelles, et on déclare dans le DNS, non pas une AC à soi
comme dans l'utilisation 2, mais un certificat. C'est l'équivalent des
certificats auto-signés mais avec cette fois une preuve de validité,
offerte par DNSSEC."
www.bortzmeyer.org/6698.html
Dr .katarpilar ça ne résiste pas à l'homme du milieu qui attaque aussi ta résolution dns. Pour moi c'est complémentaire, la vraie libéralisation c'est la certification distribuée car impossible de falsifier plusieurs certifications.
C'est bien pour ca que j'ai précisé "a condition d'avoir un resorveur DNSSEC de confiance"Avec un resolveur local, le mitm DNS n'existe plus.Dans ces conditions les CA (et leur buisness) n'ont plus d’intérêt :D
Dr .katarpilar Ok mais je suis pas forcément "contre" le business de la CA, c'est pour ça que j'aimerais plutôt voir des certificats distribués, du coup plusieurs types de structures pourraient être CA : états, institutions publiques, associations, personnes et aussi entreprises. Ça créerai une saine émulation, et les entreprises qui feraient du CA auraient à faire une vraie plus-value (vérifications poussées, garanties etc...)
merci
C'est quand même incroyable tout ce que les êtres humains ont inventés :o
super
Mais oui c'est clair ! ah non xDD en vrai cette vidéo est très intéressante !
je sais pas sii j'ai déjà dit merci...zzZZZzz. Mais en vrai merci encore c'est super bien expliqué
jarrive peitetre un peut tard mais a ce sujet (des prediction) a 15:50 jai vu récemment dans les paramètres GOOGLE une ligne que autorise la prédiction des page pour un chargement plus rapide .... il ya un lien...? ou je suis déconnecter....? ^^
Question: Sur certains sites, il y a le nom d'une société affichée en vert à coté du cadenas, correspondant sans doute à un certificat, comme par exemple duckduckgo affiche en vert: Duckduckgo inc.
Mais sur Google ou youtube il n'y a rien à coté du cadenas? est-ce normal?
cool
Ne peut il pas y avoir des collisions au niveau de(s) générateur(s) de clés RSA et autres? Si je crée une paire de clés sur ma machine, qui me dit que cette même paire n’a pas été créer ailleurs ? Je suppose que c’est lá que les instances de certifications rentrent en jeu pour déterminer si cette paire existe ailleurs ou pas ou me trompe-je ?? J’essaie de comprendre comment on évite les collisions ou double emploi .. merci et chouette vidéo :-)
Oula ! tu m'a chiffré mon cerveau la .... il a trop fumé oO
Le jour de mon anniv' !!
Excellente vidéo.
Petite question : ici on parle de site web avec certificats. Mais si jamais moi, particulier, je souhaite envoyer ma clé public à un ami, pour envoyer des mails chiffrés, comment m’assurer qu’il recevra bien ma vraie clé publique? Les certificats dont tu parles, existent-ils aussi pour les particuliers? Sans être certain de moi, il me semble qu’on puisse déposer sur des sites (des types de registres/annuaires) nos clés.
J’aime tellement ce sujet passionnant. J’avais auparavant configuré ma boîte mail pour utiliser le chiffrement mais trop peu de personnes en font l’usage, c’est dommage.
Ta vidéo résume bien le concept, idéal pour comprendre les bases lorsqu’on souhaite en savoir plus sur le sujet.
Par ailleurs, je conseille aux curieux de voir le film Snowden. Il est excellent
En la remettant en main propre ;), c'est le moyen le plus sur.
Jason Mahe tu parles de gpg c'est pareil au niveau technique mais il n'existe pas encore de Smith pour les clés Gpg.
Bonjour. Je suis nouveau sur la chaîne et j'ai adoré la vidéo. Mais il y a une question qui me trotte dans la tête, on a parlé des oraganismes qui fabriquent des certificats de sécurité comme smith dans la vidéo, qui empêchent les hackers de voler des infos.. Est-ce qu'un hacker ne peut pas se faire passer pour un organisme de certificat de sécurité?.. Comme ça il pourrait connaître la clé privée du distributeur de service joué par Alice ici,afin de hacker tous ses correspondants..
J'aimerais avoir des éclaircissements là dessus..merci
😛 salut très bien expliquait cela . juste une petite précision bonne à savoir
il suffit d'un logiciel espion installer à votre insu sûr votre pc et le https
ne serre plus à rien . ? voilà pour la petite info sûr ceux très bonne journée à toi
Bonjour,
Si le certificat se fait par une clef privée, comment Bob peut vérifier que le certificat provient bien de Smith ? La clef privée n'en est donc plus une et Monsieur capuche pourrait aussi copié la clef privé du certificat comme il sait déjà le faire pour toutes les clefs publiques ?
Merci
Vidéo sympa. Attention au cadrage, tu as souvent la tête coupée.
"C'est déjà ça" ^^
+1
pour rester dans la convention des appellations des personnages en cryptographie, Mr Capuche est habituellement appelé Eve.
Je me demande quelque chose
Comment la boite qui genere des cles de certification fonctionne ??
Genre est ce que c est comme nous avec des cles deja enregistrés ou a chaque utilisation il genere une cle differente ??
C'est un des points faibles de cette méthode: les autorités de confiance. Ton navigateur y fait confiance sans que tu saches vraiment pourquoi. Aujourd'hui il fait confiance à des autorités qui ne font pas de vérifications sur l'identité d'Alice ou qui ont font si peu que Smith peut arriver à se faire passer pour Alice auprès de ces organismes. Un exemple korben.info/comodo-microsoft-email-certificat-ssl.html
Su la question du changement de clefs, non. Smith utilise la même clef privée car la publique est enregistrée dans ton navigateur (et se met à jour tout les X temps).
Les clés de Smith sont valable entre 3 5 ou 10 ans, et puis il n'en a pas qu'une il varie en fonction de la garantie qu'il propose : par exemple GANDI propose des certificats sans garantie financière et 2 autres à hauteur de 250k€ d'assurance.
Monsieur Bridoux, vous faites qq raccourcis dans le protocole TLS. Que se passe-t-il quand Monsieur capuche endommage la clef symétrique envoyée par Bobby à Alice ? LOL
je vous laisse réfléchir devant votre Justin bridouille.
vive l'internet libre !
Mr Smith :D !
ps: étrange l'extrait de Linus
ouck02 N’oublie jamais que lorsque tu construit qqch ( sur internet ) tu mets forcément ( de ton plein gré ou nn ) ou backdoor pour pouvoir avoir un accès en cas de problème majeur sur le système. Donc les OS ont tout intérêt à avoir des portes pour avoir accès à leur propre bébé sans demander forcément l’autorisation.
Après le truc c'est que Linux c'est open-source, en théorie on sait comment ça fonctionne à l'intérieur, à moins que je me trompe...
Si l'homme a la capuche fais une attaque de l'homme du milieu entre Alice et Smith ?? On fait comment
C'est un compteur d'abonnés à led dans le décor?
Oui.
Merci pour cette vidéo. j'aime bien mais je trouve que tu parles un peu trop vite. Si tu pouvais ralentir le débit cela serait pas mal pour le néophyte que je suis.
De mon point de vue, cette attention soutenue à protéger la vie privée au regard d'un pouvoir supposé dictatorial est plutôt le signe d'un dysfonctionnement du jugement que de la sagesse. Nous n'avons pas en face de nous un pouvoir dictatorial, de quelque façon qu'on retourne le problème, le mot n'est pas simplement trop fort, il est grotesque.
Le point important est le suivant :
SOIT nous somme soumis à un état totalitaire. Alors toutes ces précautions pour se protéger apparaissent comme des momerie. Un pouvoir totalitaire n'a pas à vous espionner : il va vous demander de tout déclarer. Il ne va pas s'emmerder à deviner où vous partez le WE. Il va vous demander de vous enregistrer dans tous vos déplacements. Il ne va pas surveiller vos lecture, il va supprimer tous les livres qui ne lui conviennent pas. Et il va demander à *chacun* de déclarer toutes les irrégularités constatées chez le fils, le père, le voisin, le client. Ce que vous parviendrez à garder de jardin secret, c'est ce dont le pouvoir se fiche. Il n'y a aucun besoin d'internet pour établir ce régime de surveillance. Le pouvoir stalinien a établi un régime au sein duquel absolument personne ne pouvait bouger le petit doigt, du haut en bas de la société, sans l'aide du moindre fichier informatisé. Toutes les parades sont dérisoires face à cela. Si les protocoles de chiffrement gène Big brother dans cette entreprise, ces protocoles seront interdits. Si internet le gène, internet sera coupé. Si l'informatique le gène elle sera interdite.
SOIT nous sommes dans un état de droit. Alors toutes ces précautions pour se protéger ne servent strictement à rien.