Hot spot wifi: https + tor browser suffisant?

Support Debian
#1

Bonjour,

en vue d’une utilisation un peu plus nomade de l’eeepc, je me suis posé la question de la sécurité lorque l’on se connecte a un reseau “ouvert” (type grandes surfaces, hotels, fast food, etc, etc)

les connections sensibles (mails, paypal, etc) sont elles suffisament sécurisées si on se connecte uniquement à du https par le biais d’un iceweasel+tor?

est il necessaire, (entendez “plus que conseillé”) de se munir d’un firewall? (j’ai essayé iptables mais j’y suis pas arrivé -> futures questions sans doute)
Toujours ds le cadre iptables, peut-on l’executer avec un noyau 3.5.3-custom?

Merci pour les eclaircissements.
areuh

#2

Pour un firewall facile à paramétrer, je te conseille d’installer ufw, et son interface graphique gufw.

Tu bloques tous les ports entrants.

Pour le reste, https devrait suffire.

Tor c’est surtout pour l’anonymat; et c’est très lent.

#3

HTTPS a des failles connues, sur un hotspot vaut mieux carrément éviter les trucs sensibles (banque etc).
Tor pose exactement le même problème qu’un hotspot non sécurisé : des tiers sont en mesure d’écouter tes communications et donc d’exploiter éventuellement les failles HTTPS. Comme le dit agensteel ce n’est pas un outil de sécurisation, juste d’anonymisation.

Le mieux ça reste un VPN vers une machine sûre (chez toi, un serveur que tu contrôles, …).

#4

Les failles d’https sont quand même limités. Pour intercepter le trafic il faut

  • Se débrouiller pour fournir un certificat valable (ou croire la personne suiffsament naïve pour cliquer sur «Je cours le risque» lorsque la machine est déclarée douteuse), ou bien soppofer la délivrance des certificats.
  • S’intercaler entre la machine visée et ta machine.

À mon avis, à bricoler à froid sur une connexion pour quelqu’un de passage, ça n’est pas envisageable. Donc sauf si il s’agit des codes des missiles nucvléaires, tu peux être confiant.

Tor ne sert strictement à rien si ce n’est te ralentir. Tor rend anonyme les connexions, c’est tout. Ça n’augmente pas la sécurité.

Les VPN passent par une communication cryptée de la même mnière que que https, donc ça ne change rien.

Si tu es vraiement parano, accumule les couches: HTTPS dans un VPN dans un tunnel SSH dans un tunnel HTTPS

#5

bjour,

a priori, la meilleure chance que j’ai d’eviter les “vilains”… c’est de ne pas me connecter sur des hotspots… désolé mais ce n’est pas envisageable (je suis en train de tester les cartes bancaires prepayées pour paypal, histoire de pas refiler mon compte bancaire)

le mieux est donc d’alterner les hotspots et les moments ou je me connecte.
VPN, SSH, je vais regarder.
Quelque chose que je ne comprends pas
je schematise la connexion de cette maniere
monPC -> hotspot -> mon serveur VPN

entre monPC -> hotspot, rien ne protege la connexion dc les infos passent en clair…? me trompe-je?

et le firewall ufw, 1 avis c’est bien, 3 c’est mieux.
Je n’en vois d’utilité que si je reste connecté un sacré moment sur le meme hotspot… je jette un oeil a ufw et j’embeterai… agentsteel (heureux veinard) au cas ou.

merci bien
areuh

#6

Je te recommande l’utilisation d’un VPN hébergé chez toi ou chez un hébergeur (serveur dédié performant et pas cher).

Lorsque tu utilise un VPN, par exemple un VPN SSL via OpenVPN, tes flux sont chiffrés (et pas cryptés :naughty: ) depuis le poste client jusqu’au serveur VPN qui déchiffrera les paquets et les routera en clair jusqu’au serveur de destination. Ceci permet d’augmenter la sécurité sur le réseau local car le petit jeune de 13ans voisin du MacDO ne pourra plus simplement observer tes flux via une simple attaque du style ARP POISONING.

Comme TOUTE solution de sécurité informatique, il existe des failles potentielles. Il n’existe pas de solution miracle fiable à 100%, le but est de toujours “durcir” ton système en fonction des informations à protéger.

Concernant la mise en place d’un serveur VPN SSL et la connexion de poste clients, je me suis basé sur ce tuto.

#7

[quote=“areuh”]bjour,

a priori, la meilleure chance que j’ai d’eviter les “vilains”… c’est de ne pas me connecter sur des hotspots… désolé mais ce n’est pas envisageable (je suis en train de tester les cartes bancaires prepayées pour paypal, histoire de pas refiler mon compte bancaire)

le mieux est donc d’alterner les hotspots et les moments ou je me connecte.
VPN, SSH, je vais regarder.
Quelque chose que je ne comprends pas
je schematise la connexion de cette maniere
monPC -> hotspot -> mon serveur VPN

entre monPC -> hotspot, rien ne protege la connexion dc les infos passent en clair…? me trompe-je?

et le firewall ufw, 1 avis c’est bien, 3 c’est mieux.
Je n’en vois d’utilité que si je reste connecté un sacré moment sur le meme hotspot… je jette un oeil a ufw et j’embeterai… agentsteel (heureux veinard) au cas ou.

merci bien
areuh[/quote]
Le parefeu est une bonne idée pour protéger localement ta machine si tu héberges des services dessus (a priori su une machine utilisateur, il n’y a que ssh eventuellement) donc c’est tout de même léger mais admettons.

Par contre restons calme, Oui tu te trompes. Si tu es connecté en HTTPS ou si tu es connecté via un VPN, les données sont absolument indéchiffrables sauf si quelqu’un arrive à intercepter les clefs de cryptage au moment du dialogue (attaque men ion the middle). Pour cela il doit se faire passer pour le serveur de l’autre coté et donc il fournira un mauvais certificat. C’est pour cela que quoi qu’on en dise le protocole https est très sûr. Tu penses bien que sil le fils du mac doc savait casser ça, cela ferait du bruit dans Landernau.
Si vraiment tu ne dors pas et que tu as des transactiosn mage confidentielles, tu rajoutes une couche de cryptage en faisant ton https dans un tunnel quelconque (ssh ou VPN), mais c’était une boutade de ma part. En clair fais ta connexion en https tranquille , tant que tu n’acceptes pas un certificat douteux tu es tranquille. La seule faille est la corruption des dépositaires certifiant les sites alliés à un détournement du site, et si ça ça arrive, ça ne sera pas pour s’occuper de tes transactions banquaires je te le garantis.
Donc met toi en https et sois tranquille, tout ira bien.

#8

re,

juste pour vous remericier des reponses.
je garde https (+ sites verifies: lehollandaisvolant.net/tuto/secure/)

le SSh si je trouve le courage.

merci
a+
areuh

#9

[quote=“areuh”]re,

juste pour vous remericier des reponses.
je garde https (+ sites verifies: lehollandaisvolant.net/tuto/secure/)

le SSh si je trouve le courage.

merci
a+
areuh[/quote]

Une simple extension de mozilla commme https everywhere devrait te simplifier grandement la vie pour forcer tant que le protocole https est disponible à l’utiliser.

Pour ce qui est de faire confiance à du https, oui pourquoi pas je ne rencontre que rarement de phishing à mon taff vraiment bien foutu et en générale ce sont des pages à la c.n qui te demande des informations qui en générale n’ont pas à être demandé ( donc avec de la logique et du bon sens :083 ).

VOus connaissez slorange.fr, non moi non plus surtout quand il prétendent me rembourser après renvoi de mes coordonnées bancaires le trop perçu pour mon abonnement quej e ne possède pas chez orange :005 :005 :005

Pour ce qui est du VPN dans ton cas je ne vois vraiment pas l’intérêt car de toute façon tu ne fera que reporté le problème plus loin de l’interception de donnée à la sortie du VPN vers ton site de paiement ( c’est celui-ci qui est épié CQFD, pas les hotspots que tu fréquente ).

Etre parano oui pourquoi pas mais croire que derrière chaque hotspot il y a un hacker qui et guette :033

n’oublions pas que sur un hotspot les flux même en clair doivent être triés et analysés par la suite pour être exploités correctement :whistle: et c’est pas à la portée de n’importe quel Kevin ( désolé si il y a des Kevin sur le forum :005 :005 :005 ).