Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le gouvernement chinois s’en prend-il directement aux comptes iCloud ?

Maudit chiffremement

Le gouvernement chinois s'en prend-il directement aux comptes iCloud ?

Le 22 octobre 2014 à 15h50

En Chine, les possesseurs de comptes iCloud sont actuellement victimes d’une attaque à l’échelle du pays tout entier. Le site Greatfire.org, qui surveille les sites bloqués par le gouvernement chinois, accuse celui-ci d’être à l’origine de cette attaque globale. Quand bien même les autorités s’en défendent, cela n’a pas empêché d’Apple de publier rapidement une note indiquant aux utilisateurs comment maximiser la protection de leur compte.

Le gouvernement chinois s'en prendrait directement à iCloud

Greatfire.org a publié lundi un billet pour expliquer les détails d’une attaque inquiétante. Dirigée contre l’ensemble des utilisateurs de comptes iCloud, elle est de type « man-in-the-middle » et permet donc aux pirates de s’insérer entre une personne et le service auquel elle souhaite accéder. Dans le cas d’iCloud, l’objectif est de renvoyer l’utilisateur vers une fausse version du site iCloud.com, sur lequel la victime va chercher à se connecter, fournissant sans le savoir ses identifiants à l’attaquant.

 

Pour Greatfire, il ne fait aucun doute que l’attaque est menée par le gouvernement chinois, ou tout du moins sur son ordre. Le processus fait manifestement appel à de grandes ressources et se distingue par son ampleur. En outre, elle a commencé le jour de la commercialisation des nouveaux iPhone 6 et 6 Plus, alors qu’iOS 8 et son chiffrement renforcé des données se répand. On se rappelle d’ailleurs les propos du directeur du FBI qui ne voyait pas d’un bon œil cette sécurité renforcée. Par ailleurs, le site rappelle que des attaques du même genre ont déjà eu lieu contre Google, Yahoo et Microsoft.

 

icloud sécurité

iCloud.com permet d'accéder à de nombreuses données du compte

 

TechCrunch, pour sa part, soulève l’hypothèse d’une action menée dans un contexte bien précis : le soulèvement pro-démocratique qui a actuellement lieu à Hong-Kong. On rappellera en effet que le gouvernement chinois a déjà fait bloquer Instagram dans l’espoir de limiter la propagation rapide des photos du mouvement initié par le milieu étudiant. D’ailleurs, l’agence Reuters avait abordé le 30 septembre le cas d’un malware particulièrement sophistiqué, visant iOS et les manifestants.

iCloud.com concentre un nombre croissant de données personnelles 

Le problème avec iCloud est que le service d’Apple concentre un nombre croissant de données. Les emails rattachés à l’adresse utilisée sont lisibles, de même que les contacts, la position des appareils, les évènements du calendrier, les notes, les rappels, tout ce qui est stocké dans iCloud Drive et même, depuis peu, les photos si la fonction iCloud Photos a été activée dans iOS 8.1. Réussir à dérober les identifiants permet donc d’observer un large pan de la vie privée d’une personne. 

 

Ce qui fait dire à Greatfire qu’il est nécessaire pour les Chinois de s’équiper d’un navigateur sur lequel on peut compter, citant les exemples de Firefox et Chrome, qui avertiront l’utilisateur que le site visité semble malveillant. Le site conseille particulièrement de se méfier du navigateur Qihoo 360, qui se veut sécurisé mais qui charge directement la fausse page de connexion d’iCloud.com sans avertir l’utilisateur.

Apple explique comment se méfier des sites frauduleux 

Apple a également réagi de son côté en publiant une note technique pour expliquer comment reconnaitre un site frauduleux. L’objectif pour l’utilisateur est de vérifier que le site possède bien un certificat valide, ce que n’importe quel navigateur peut vérifier. La firme de Cupertino aborde les cas de Safari évidemment, mais également de Chrome et Firefox, avec la manière de procéder pour vérifier la présence et les détails du certificat. Même s’ils ne sont cités, Opera et Internet Explorer rendent eux aussi ce genre de service.

 

icloud sécuritéicloud sécuritéicloud sécurité

 

Apple donne également des captures d’écran afin de montrer ce que le navigateur doit afficher quand le site visité parait louche. Le texte explicatif varie à chaque fois, mais informe toujours des dangers que le simple fait de continuer vers le site représente. Car sans certificat valide, le site ne peut prouver qu’il est bien ce qu’il est, et iCloud.com dispose de plusieurs certificats, délivrés par Symantec et Verisign. On notera que dans son billet, Apple ne cite pas expressément la Chine, mais indique simplement être au courant d’attaques en cours utilisant de faux certificats.

 

Sachez globalement que le conseil donné par Apple est applicable à tous les cas de ce genre : si vous vous rendez sur un site où vous devriez normalement entrer votre identifiant et votre mot de passe, et que le navigateur vous avertit d’un problème, ne donnez pas ces informations. Il ne peut en effet y avoir que deux explications : soit il s’agit d’un faux site, soit le détenteur légitime n’a pas renouvelé à temps son certificat, ce qui est assez peu probable. Mais dans le doute, mieux vaut s’abstenir.

Commentaires (58)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Opera sous Windows se connectant à iCloud.com… On parie que ça ne calmera quand même pas les trolls?&nbsp;<img data-src=" />

votre avatar

La chine dispose d’une autorité de certif (CNNIC) installée dans les navigateurs donc elle peut observer le traffic (sans alerte du navigateur) de n’importe quel site web, non ?

votre avatar

Oui et non. Sur IE, sans problème. Sur Chrome, qui fait du Cert Pinning sur les plus grands sites (dont iCloud), l’utilisateur aura un message d’erreur, et Google sera averti de la malversation.

votre avatar

En fait le coup du certificat qui expire ça peut arriver : il y a quelques semaines j’ai dû aider quelqu’un à s’inscrire sur le site de la RATP, et dans la partie dite “sécurisée”, il refusait l’accès.

En cherchant un peu j’ai vu que le certificat était expiré, j’ai donc dû changer la date de Windows pour que le navigateur accepte le certificat.

Cela m’était déjà arrivé sur d’autres sites, mais j’admets que ce n’est pas fréquent.

votre avatar

Le gouvernement a créé un site de phishing, pour faire croire que la personne est connecter à son compte de cloud, afin de recupérer pseudo et mot de passe pour ensuite consulter le compte cloud de la personne… <img data-src=" />

votre avatar







jufgzijsofgedfghnj a écrit :



Sur Chrome, qui fait du Cert Pinning sur les plus grands sites (dont iCloud), l’utilisateur aura un message d’erreur, et Google sera averti de la malversation.





Je ne vois pas iCloud ou Apple dans la (maigre) liste.


votre avatar

La bonne blague : une entreprise frauduleuse qui explique comment éviter les sites frauduleux.

votre avatar







philoxera a écrit :



La bonne blague : une entreprise frauduleuse qui explique comment éviter les sites frauduleux.





Concernant l’appropriation de données, Apple est très bien placée pour en parler, justement.

Ce sont les rois d’une forme particulière d’ingénierie sociale….


votre avatar







unCaillou a écrit :



La chine dispose d’une autorité de certif (CNNIC) installée dans les navigateurs donc elle peut observer le traffic (sans alerte du navigateur) de n’importe quel site web, non ?











jufgzijsofgedfghnj a écrit :



Oui et non. Sur IE, sans problème. Sur Chrome, qui fait du Cert Pinning sur les plus grands sites (dont iCloud), l’utilisateur aura un message d’erreur, et Google sera averti de la malversation.







La méthode la plus simple serait de forcer les CA de publier une liste des certificats valides qu’ils ont émis. Aujourd’hui, ils ne publient que la liste de révocation.



Y a des gens à l’IETF qui milite pour ça ?



En attendant, il y a effectivement le Certificate Pinning (intégré à FF via le Public Key Pinning de mémoire) ou un système de “notaires” tel que Perspectives (qui dispose d’un module FF)


votre avatar







John Shaft a écrit :



La méthode la plus simple serait de forcer les CA de publier une liste des certificats valides qu’ils ont émis. Aujourd’hui, ils ne publient que la liste de révocation.



Y a des gens à l’IETF qui milite pour ça ?



En attendant, il y a effectivement le Certificate Pinning (intégré à FF via le Public Key Pinning de mémoire) ou un système de “notaires” tel que Perspectives (qui dispose d’un module FF)





Tu peux developper ? C’est interessant….


votre avatar

sur quel point ?

votre avatar

Les deux.

&nbsp;- Seulement les certificats revoqués et pas les valides sont publiés.

&nbsp;- Cette affaire de notaires.



J’avoue je connais rien aux 2 sujets…

votre avatar







Drepanocytose a écrit :



<img data-src=" />





C’est mieux quand ce sont des barbus c’est vrai, mais en ce moment voir des jaunes se faire matraquer pour avoir le droit d’ouvrir la bouche n’est pas désagréable à regarder.







Drepanocytose a écrit :



Edit : v6 en mousse qui prend pas le formatage dans les quotes…





T’as activer l’éditeur BB code ? ça marche bien avec.


votre avatar







John Shaft a écrit :



On peut restreindre à une liste des certificats émis pour des services (sites web ou autres) ayant un accès public. De toutes façons, c’est une info que tu récupères avec le certif <img data-src=" />





Ou plus simplement, une liste des empreintes SHA1 des certificats valides, comme ça, aucun problème de confidentialité.


votre avatar







flamwolf a écrit :



Déjà pour ce qui est de la guerre mondiale nous avons été attaqués.





Comme on parlait de 75 ans, il s’agissait de la seconde guerre mondiale.

Et là, c’est nous, France et le Royaume Uni, qui avons déclaré la guerre à l’Allemagne qui avait attaqué la Pologne.

<img data-src=" />


votre avatar

Oui, c’est notamment un peu l’idée

votre avatar







fred42 a écrit :



Comme on parlait de 75 ans, il s’agissait de la seconde guerre mondiale.

Et là, c’est nous, France et le Royaume Uni, qui avons déclaré la guerre à l’Allemagne qui avait attaqué la Pologne.

<img data-src=" />





Voilà…



J’ai toujours été fasciné par les gens qui font référence à l’histoire pour justifer un propos, sans connaitre l’histoire eux mêmes…


votre avatar







fred42 a écrit :



Comme on parlait de 75 ans, il s’agissait de la seconde guerre mondiale.

Et là, c’est nous, France et le Royaume Uni, qui avons déclaré la guerre à l’Allemagne qui avait attaqué la Pologne.

<img data-src=" />





Ok, alors on doit s’excuser je suppose?&nbsp; <img data-src=" />


votre avatar







flamwolf a écrit :



Ok, alors on doit s’excuser je suppose?&nbsp; <img data-src=" />





Non.

Mais ca doit inciter à eviter de faire des parallèles historiques douteux, et d’eviter de se croire supérieurement humanistes par rapport aux autres peuples du monde.

La barbarie n’a pas disparu de l’Europe, très loin de là. Elle prend des formes sournoises, elle s’exerce ailleurs, mais elle peut aussi très bien revenir de facon très visible ici. D’ailleurs moi je suis pessimiste là dessus, j’ai toujours pensé que je verrai ce retour de mon vivant.


votre avatar

De l’erreur historique que tu as faite, oui, sûrement.



Pour le reste, à toi de voir. Je ne faisais que rectifier une erreur historique.

votre avatar







John Shaft a écrit :



&nbsp;Ceci dit le renard te donne le choix de ne plus faire confiance en une autorité. Je ne sais pas si IE et Chrome le permette). Le problème c’est que tu ne sais pas à l’avance qui a signé tel ou tel certificats. Donc





Pour la session, oui, la ou ca devient amusant, c’est quand on veut supprimer une autorité définitivement.


votre avatar







Drepanocytose a écrit :



Non.

Mais ca doit inciter à eviter de faire des parallèles historiques douteux, et d’eviter de se croire supérieurement humanistes par rapport aux autres peuples du monde. La barbarie n’a pas disparu de l’Europe, très loin de là. Elle prend des formes sournoises, elle s’exerce ailleurs, mais elle peut aussi très bien revenir de facon très visible ici. D’ailleurs moi je suis pessimiste là dessus, j’ai toujours pensé que je verrai ce retour de mon vivant.





La barbarie est une définition par opposition, est barbare celui qui n’appartient pas aux peuples civilisés, le mot donc est fortement connoté. Par contre en ce qui concerne l’humanisme il faut bien faire la part des idées et des actes, les populations européennes ont renoncé à la guerre comme moyen légitime de puissance et de pouvoir, ce n’est peut-être pas la vision de leurs dirigeants mais ces idées humanistes sont nées ici. Le messianisme occidentale détournée par des intérêts politiques et économiques vers la colonisation ne se voulait pas conquérant, il est d’ailleurs d’abord le fait d’une gauche qui se voulait libératrice des peuples, que ce soit sous la révolution française ou pendant la colonisation avec les horreurs que l’on sait.

Le gouvernement chinois, et une bonne partie de son peuple de par la propagande, n’accepte pas cette idée : Tibet, Vietnam, Ile aux ours, Himalaya, Indonésie et j’en passe toutes ces zones ont eu à souffrir de la volonté hégémonique chinoise.

Dire que nos sociétés et gouvernement ne sont pas meilleurs que les autres est une bonne chose, croire que ceux des autres le sont c’est ce voiler la face et je le rattache facilement au mythe du “bon sauvage” qui n’est pas dénué de racisme d’ailleurs.

Les hommes sont tous les mêmes, ils ont le même sang, les mêmes aspirations et ils commettent les mêmes erreurs et les mêmes horreurs.


votre avatar







flamwolf a écrit :



Dire que nos sociétés et gouvernement ne sont pas meilleurs que les autres est une bonne chose, croire que ceux des autres le sont c’est ce voiler la face et je le rattache facilement au mythe du “bon sauvage” qui n’est pas dénué de racisme d’ailleurs.

Les hommes sont tous les mêmes, ils ont le même sang, les mêmes aspirations et ils commettent les mêmes erreurs et les mêmes horreurs.





Et c’est exactement ce que je dis. Jamais je ne dis que la Chine c’est cool.

C’est un pays de merde comme les nôtres, parce qu’on vit dans un monde de merde et qu’il n’y a pas un humain pour racheter l’autre.



Bref, Chine / Europe&nbsp; / n’importe quel pays = pareil. Ni mieux ni pire.


votre avatar







Drepanocytose a écrit :



Voilà… 




J'ai toujours été fasciné par les gens qui font référence à l'histoire pour justifer un propos, sans connaitre l'histoire eux mêmes...









J'aime beaucoup les gens qui se sentent supérieurs et parlent de "parallèles historiques douteux" sans savoir avec qui ils discutent.


J’émettrais des jugements à l’emporte pièce je dirais que votre connaissance de l’histoire tient bien plus à ce qu’on vous en a appris qu’à ce que vous avez cherché, lu et compris par vous même.

&nbsp;Par exemple avez vous lu grandeur et misère d’une victoire? En 1928 Clemenceau y démontre le réarmement en cours en Allemagne en se basant sur des sources allemandes et annonce qu’une nouvelle guerre s’approche.

&nbsp;

Mais conscient de votre supériorité je me conterais donc de battre ma coulpe, de faire une révérence devant vos connaissances qui dépassent de loin les miennes et de vous oublier.


votre avatar







flamwolf a écrit :



J’émettrais des jugements à l’emporte pièce je dirais que votre connaissance de l’histoire tient plus à ce qu’on vous a appris que ce que vous avez cherché à comprendre.&nbsp;







Perdu. Dans mon cas j’étais bon partout à l’ecole sauf en histoire, je m’en foutais.

C’est vers 15 ans que je m’en suis rendu compte, et depuis j’ai comblé mes lacunes tout seul comme un grand.



Sinon désolé si je t’ai froissé, mais j’ai de plus en plus de mal quand on se réfère à l’histoire de manière incomplète. C’est de plus en plus fréquent, et c’est souvent utilisé de nos jours pour justifier des idées nauséabondes, d’où mon agacement et mon ironie.

&nbsp;


votre avatar







Drepanocytose a écrit :



Perdu. Dans mon cas j’étais bon partout à l’ecole sauf en histoire, je m’en foutais.

C’est vers 15 ans que je m’en suis rendu compte, et depuis j’ai comblé mes lacunes tout seul comme un grand.



Sinon désolé si je t’ai froissé, mais j’ai de plus en plus de mal quand on se réfère à l’histoire de manière incomplète. C’est de plus en plus fréquent, et c’est souvent utilisé de nos jours pour justifier des idées nauséabondes, d’où mon agacement et mon ironie.

&nbsp;





Ok disons un partout balle au centre. Si ça te dis on peut parler histoire en MP.


votre avatar







John Shaft a écrit :



La méthode la plus simple serait de forcer les CA de publier une liste des certificats valides qu’ils ont émis. Aujourd’hui, ils ne publient que la liste de révocation.



Y a des gens à l’IETF qui milite pour ça ?





On pourrait obtenir facilement la liste de tous les certificats émis, ça serait un énorme problème de confidentialité.



C’est pourquoi l’approche black-list est préferrée.



Mais comme ton lien l’explique, le soucis est surtout la confiance absolue placée dans les autorités de certifications.


votre avatar







Drepanocytose a écrit :





  • Cette affaire de notaires.





    Explications à prendre avec des pincettes, j’ai peut-être mal compris, si c’est le cas qn me corrigera.



    A l’heure actuelle n’importe quelle autorité de certification (CA) auquelle ton navigateur fait confiance par défaut (et y’en a une chiée), peut délivrer un certificat pour un nom de domaine.

    Ce qui fait qu’en théorie un gvt, qui est sa propre CA, peut émettre un certificat pour un site web dont il veut déchiffrer le trafic ssl en faisant du MITM (man in the middle), c’est-à-dire en s’intercalant entre toi et le site web.

    S’il fait ça, pour les clients qui sont victimes, aucune alerte ne sera levée, pourtant la CA qui authentifie le site a changé.



    Pour s’en prémunir on pourrait imaginer un système de notaires, ou tu ne fais plus confiance à une chiée de CAs mais juste un réseau de notaires que t’as choisi.

    Eux se chargeraient de regarder quel est le certificat que le site que tu visites présente généralement aux internautes à travers le monde, pas juste dans ton pays.

    Ton navigateur se connecterait alors à ce réseau de confiance pour comparer le certificat que le site web lui a présenté avec celui qui est considéré comme sûr.


votre avatar

Oki :)



1/ Aujourd’hui, ton navigateur se connecte en SSL/TLS sur un site, il récupère le certificat que lui donne le site et vérifie qu’il est signé par une autorité de certification (tiers de confiance donc - dans FF va dans Options/Avancé/Onglet Certificats/Afficher les certificats/Onglet Autorités). Il accorde une confiance aveugle dans tout certificats signés par ces autorités (et dans FF, l’autorité chinoise suspecte est présente. Ceci dit le renard te donne le choix de ne plus faire confiance en une autorité. Je ne sais pas si IE et Chrome le permette). Le problème c’est que tu ne sais pas à l’avance qui a signé tel ou tel certificats. Donc n’importe quel CA peut signer un faux certificat. Un exemple récent et français (et qui peut se défendre). Savoir qui certifie quoi (au moins pour les sites web à accès public) aiderait



2/ C’est une histoire de cravate… <img data-src=" /> Perspectives est un système de serveurs qui vont récupérer les certificats des sites auxquels tu te connectes pour les comparer à ceux qu’on vu les autres utilisateurs du système pour le même site et qui t’alertes si le certificat est différent avec ce qui a été vu les jours précédents. Ce n’est pas un système infaillible (notamment, ça génère des alertes suite à un changement naturel de certificat par le site), mais ça a le mérite de sensibiliser l’utilisateur.













wagaf a écrit :



On pourrait obtenir facilement la liste de tous les certificats émis, ça serait un énorme problème de confidentialité.







On peut restreindre à une liste des certificats émis pour des services (sites web ou autres) ayant un accès public. De toutes façons, c’est une info que tu récupères avec le certif <img data-src=" />


votre avatar







Drepanocytose a écrit :





  • Seulement les certificats revoqués et pas les valides sont publiés.





    Quand un certificat est révoqué, suspendu ou a expiré, l’autorité de certification qui l’a émis doit normalement ajouter son numéro de série sur une liste de révocation appelée CRL (Certificate Revocation List) à laquelle ton navigateur peut accéder pour vérifier si le certificat que le site web lui a présenté est toujours valide.


votre avatar

nan mais pirater en masse des compte icloud pour quelques photos de filles nues, mal cadrées et flou alors qu’il y a youporn, xhamster, redtube…..

votre avatar







darkbeast a écrit :



nan mais pirater en masse des compte icloud pour quelques photos de filles nues, mal cadrées et flou alors qu’il y a youporn, xhamster, redtube…..





Surtout que les chinoises sont plates… <img data-src=" />


votre avatar







Drepanocytose a écrit :



Surtout que les chinoises sont plates… <img data-src=" />





comme la terre&nbsp;


votre avatar







wagaf a écrit :



On pourrait obtenir facilement la liste de tous les certificats émis, ça serait un énorme problème de confidentialité.



C’est pourquoi l’approche black-list est préferrée.





C’est pas faux, mais l’approche black-list pose elle-aussi un problème de confidentialité puisqu’à chaque fois que ton navigateur veut vérifier la validité d’un certificat, il informe indirectement la CA que tu visites tel ou tel site web.


votre avatar

Le gouvernement chinois a ce je-ne-sais-quoi de culot qui manque cruellement aux fourbes de la NSA.

votre avatar







127.0.0.1 a écrit :



Le gouvernement chinois a ce je-ne-sais-quoi de culot qui manque cruellement aux fourbes de la NSA.





Plutôt que la Nsa fait plus discret à mon avis, car elle dispose d’un truc digne de la bombe H : le patriot act avec les plus grosses sociétés du web.


votre avatar







Lanthares a écrit :



C’est pas faux, mais l’approche black-list pose elle-aussi un problème de confidentialité puisqu’à chaque fois que ton navigateur veut vérifier la validité d’un certificat, il informe indirectement la CA que tu visites tel ou tel site web.





Je viens de découvrir l’OCSP stapling qui est censé résoudre ce pb.

Par contre je sais pas si c’est largement déployé sur les serveurs web actuels.


votre avatar







Lanthares a écrit :



Par contre je sais pas si c’est largement déployé sur les serveurs web actuels.







Pas tant que ça je dirais.



Par exemple Apache ne le supporte que depuis la version 2.3.3 or sur Debian stable par exemple, la version dispo est issue de la branche 2.2.



De plus, (et c’est dit sans troll), ça demande de mettre à jour la configuration SSL/TLS du serveur, or la modif à faire n’est pas critique (ya pas de problèmes aussi visible qu’un Heartbleed derrière), du coup, pas sûr que ce soit fait. J’ai testé quelque gros site via SslLabs, résultat, ce n’est pas supporté sur yahoo.com, google.com, icloud.com ou microsoft.com


votre avatar

Ah bin Adam Langley le “monsieur SSL” de Google explique le principal défaut du stapling. Google semblait l’utiliser à l’époque d’ailleurs

votre avatar







John Shaft a écrit :



Un exemple récent et français (et qui peut se défendre).





Encore une bonne raison de ne pas utiliser Chrome… s’il en fallait encore une.


votre avatar







John Shaft a écrit :



Ah bin Adam Langley le “monsieur SSL” de Google explique le principal défaut du stapling. Google semblait l’utiliser à l’époque d’ailleurs







Oui, en fait si j’ai bien compris, en temps normal c’est le client qui vérifie la validité du certificat auprès de la CA via le protocole OCSP.

Avec l’OCSP stapling, c’est le serveur qui fait la demande à intervalle régulier auprès de la CA qui lui donne une réponse datée et signée.



Si le client et le serveur le supportent, au moment de la négociation ssl, le client dit au serveur qu’il voudrait voir la dernière réponse de la CA que le serveur possède.

Le pb que tu soulignes dans ton lien, c’est que ça marche uniquement si le serveur présente juste un certificat, mais pas quand il a toute une chaîne de certificats entre le sien et l’autorité racine (ce qui est le cas le plus fréquent).



Il faut une extension du protocole ssl pour permettre au client de demander la vérification de toute une chaîne de certificats, ce que l’IETF a fait dans la RFC 6961.



Mais je sais pas si et quand les navigateurs / serveurs comptent l’implémenter.



Je crois qu’ils rechignent à le faire parce qu’alors la négociation client-serveur pourrait devenir trop longue, du coup il faudrait aussi mettre en cache les vérifications des certificats intermédiaires.



L’IETF travaille à la résolution de ce dernier pb :

http://www.ietf.org/mail-archive/web/tls/current/msg09566.html


votre avatar







Lanthares a écrit :



L’IETF travaille à la résolution de ce dernier pb :

http://www.ietf.org/mail-archive/web/tls/current/msg09566.html





Ah merde j’avais pas fait gaffe à la date de la conversation.

Je crois que c’est mort et qu’ils ont laissé tombé. <img data-src=" />


votre avatar







Lanthares a écrit :



Mais je sais pas si et quand les navigateurs / serveurs comptent l’implémenter.







La RFC en question a toujours le statut “Proposed Standard”, donc c’est peut être pas encore cuit (2013, c’est pas si vieux - et si ma compréhension des rouages de l’IETF est correcte) <img data-src=" />


votre avatar







John Shaft a écrit :



La RFC en question a toujours le statut “Proposed Standard”, donc c’est peut être pas encore cuit (2013, c’est pas si vieux - et si ma compréhension des rouages de l’IETF est correcte) <img data-src=" />





Ah ok je savais pas. <img data-src=" />



Va falloir que je me renseigne sur quels sont les différents statuts des RFCs et comment la validation d’une RFC fonctionne. <img data-src=" />


votre avatar







Lanthares a écrit :



Ah ok je savais pas. <img data-src=" />



Va falloir que je me renseigne sur quels sont les différents statuts des RFCs et comment la validation d’une RFC fonctionne. <img data-src=" />







La validation se fait à coup de hmmmmm <img data-src=" />



Ensuite, il n’y a pas de statut “Rejeté ou équivalent”. Si une RFC avait remplacé celle là, on l’aurait vu cependant (la RFC la remplaçant devrait indiquer Updates:6961 ou Obsoletes:6961


votre avatar







John Shaft a écrit :



La validation se fait à coup de hmmmmm <img data-src=" />





Très intéressant comme lien. <img data-src=" />





We reject kings, presidents and voting. We believe in rough consensus and running code.





« la science n’est pas une démocratie »



<img data-src=" />







John Shaft a écrit :



Ensuite, il n’y a pas de statut “Rejeté ou équivalent”. Si une RFC avait remplacé celle là, on l’aurait vu cependant (la RFC la remplaçant devrait indiquer Updates:6961 ou Obsoletes:6961





Merci pour les précisions. <img data-src=" />



D’après wikipedia, le cycle d’une RFC pour qu’elle devienne un standard serait :

RFC -&gt; Proposed Standard -&gt; Draft Standard -&gt; Internet Standard



Donc la 6961 est bloquée à l’étape 2 depuis plus d’un an.

Faut croire que le consensus approximatif dont parle bortzmeyer est très difficile à atteindre ici. <img data-src=" />



PS : grâce à ton lien j’ai découvert la loi de futilité de Parkinson ; ça pourrait être utile de la sortir des fois pour troller argumenter sur NXI. <img data-src=" />


votre avatar







Lanthares a écrit :



PS : grâce à ton lien j’ai découvert la loi de futilité de Parkinson ; ça pourrait être utile de la sortir des fois pour troller argumenter sur NXI. <img data-src=" />





Une argumentation qu’on pourra ressortir… <img data-src=" /> … sans trembler (yeaaaaaaaah !)


votre avatar







John Shaft a écrit :



Oki :)



1/ Aujourd’hui, ton navigateur se connecte en SSL/TLS sur un site, il récupère le certificat que lui donne le site et vérifie qu’il est signé par une autorité de certification (tiers de confiance donc - dans FF va dans Options/Avancé/Onglet Certificats/Afficher les certificats/Onglet Autorités). Il accorde une confiance aveugle dans tout certificats signés par ces autorités (et dans FF, l’autorité chinoise suspecte est présente. Ceci dit le renard panda roux&nbsp;te donne le choix de ne plus faire confiance en une autorité. Je ne sais pas si IE et Chrome le permette). Le problème c’est que tu ne sais pas à l’avance qui a signé tel ou tel certificats. Donc n’importe quel CA peut signer un faux certificat. Un exemple récent et français (et qui peut se défendre). Savoir qui certifie quoi (au moins pour les sites web à accès public) aiderait



2/ C’est une histoire de cravate… <img data-src=" /> Perspectives est un système de serveurs qui vont récupérer les certificats des sites auxquels tu te connectes pour les comparer à ceux qu’on vu les autres utilisateurs du système pour le même site et qui t’alertes si le certificat est différent avec ce qui a été vu les jours précédents. Ce n’est pas un système infaillible (notamment, ça génère des alertes suite à un changement naturel de certificat par le site), mais ça a le mérite de sensibiliser l’utilisateur.











On peut restreindre à une liste des certificats émis pour des services (sites web ou autres) ayant un accès public. De toutes façons, c’est une info que tu récupères avec le certif <img data-src=" />&nbsp;





Petite correction. ;-)



Edit: bon vraisemblablement il a pas pris en compte le “barré” et le “gras” dans la citation.

Enfin c’est pas un renard mais un panda roux, le “firefox”. ;-)


votre avatar







Lanthares a écrit :



D’après wikipedia, le cycle d’une RFC pour qu’elle devienne un standard serait :

RFC -&gt; Proposed Standard -&gt; Draft Standard -&gt; Internet Standard







Ah, dans mon esprit, le “Draft” était avant le “Proposed”. Ça sent le sapin pour 6961 du coup. <img data-src=" />





votre avatar







Guyom_P a écrit :



Enfin c’est pas un renard mais un panda roux, le “firefox”. ;-)







J’ai écris renard… <img data-src=" />



J’ai écris… renard… <img data-src=" /> <img data-src=" />



<img data-src=" />


votre avatar

A cette grande “démocratie” “pacifique” qui devient une puissance mondiale par hypothèse auto-réalisatrice et a en 60 années eu au moins une guerre avec chacun de ses voisins…

votre avatar







flamwolf a écrit :



A cette grande “démocratie” “pacifique” qui devient une puissance mondiale par hypothèse auto-réalisatrice et a en 60 années eu au moins une guerre avec chacun de ses voisins…





En 75 ans on a eu une guerre mondiale avec notre voisin, puis une guerre civile chez nous (Algerie), puis on a participé à tout un tas de conflits partout dans le monde.

Et quand on n’y a pas participé, on les armé ou au moins on a essayé de le faire…..


votre avatar

il est évidemment stupide d’utiliser iCloud en général, et plus particulièrement dans des pays dont le régime est répressif. La discussion pourrait donc s’en arrêter là.

votre avatar







Drepanocytose a écrit :



En 75 ans on a eu une guerre mondiale avec notre voisin, puis une guerre civile chez nous (Algerie), puis on a participé à tout un tas de conflits partout dans le monde.

Et quand on n’y a pas participé, on les armé ou au moins on a essayé de le faire…..





+1



Il y a pas de raison que les autres se marrent sans nous.


votre avatar







Drepanocytose a écrit :



En 75 ans on a eu une guerre mondiale avec notre voisin, puis une guerre civile chez nous (Algerie), puis on a participé à tout un tas de conflits partout dans le monde.

Et quand on n’y a pas participé, on les armé ou au moins on a essayé de le faire…..





Déjà pour ce qui est de la guerre mondiale nous avons été attaqués. Ensuite effectivement les guerres coloniales ne sont pas roses et nous devons être fier d’appartenir à une société qui a mis fin à ces horreurs. Bien-sûr certaines des interventions que nous avons mené sont discutables mais le mouvement général des peuples européens ce n’est pas une idée de supériorité ethnique ou de conquête de nouveaux territoires ce fameux “espace vital” cher à tous les bouchers de la planète.

&nbsp;Et justement le problème de la Chine c’est qu’elle continue de mener une politique de conquête territoriale et que son nationalisme est de plus en plus en virulent et violent.

Ce n’est pas pour rien que les dépenses d’armement dans la région augmentent de 15% chaque année. Si cette escalade continue la troisième guerre mondiale aura lieu en Asie.


votre avatar







Drepanocytose a écrit :



En 75 ans on a eu une guerre mondiale avec notre voisin, puis une guerre civile chez nous (Algerie), puis on a participé à tout un tas de conflits partout dans le monde.

Et quand on n’y a pas participé, on les armé ou au moins on a essayé de le faire…..









ActionFighter a écrit :



+1



Il y a pas de raison que les autres se marrent sans nous.





Le choix a été fait entre “abandonnez les armes et ne faites plus la guerre” et “voila des armes : foutez-nous la paix”


votre avatar







WereWindle a écrit :



Le choix a été fait entre “abandonnez les armes et ne faites plus la guerre” et “voila des armes : foutez-nous la paix”





En même temps, à 20h devant la télé avec du popcorn, la guerre, c’est mieux qu’Indigènes.


votre avatar







ActionFighter a écrit :



En même temps, à 20h devant la télé avec du popcorn, la guerre, c’est mieux avec des Indigènes. Si possible musulmans.





<img data-src=" />



Edit : v6 en mousse qui prend pas le formatage dans les quotes…


Le gouvernement chinois s’en prend-il directement aux comptes iCloud ?

  • Le gouvernement chinois s'en prendrait directement à iCloud

  • iCloud.com concentre un nombre croissant de données personnelles 

  • Apple explique comment se méfier des sites frauduleux 

Fermer