après avoir lu l'interview d'Octave Klaba ici :
http://minilien.fr/a0ppef je retiens que :
-1- les FAI seront sûrement écoutés de manière non discriminée ;
-2- les centres d'hébergements resteront sur une technique "normale", à
savoir des écoutes ciblées et pas permanentes.
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire
un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Le premier est donc "Faux", il n'y a que le 5 qui est "plutôt vrai".
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Quel est votre usage du serveur dédié chez OVH ?
principalement mail et wiki perso.
De toutes façons, on voit bien (notamment le 1er cas est connu depuis longtemps : on est tous des terroristes, donc la loi anti-teroriste s'applique à tous) qu'il n'y a pas de solution simple, et aussi les lois peuvent évoluer.
-- siger
laurent a écrit :
On 08/05/2015 20:52, Yannix wrote:
Le 08/05/2015 11:42, laurent a écrit :
Bonjour,
après avoir lu l'interview d'Octave Klaba ici :
http://minilien.fr/a0ppef je retiens que :
Le premier est donc "Faux", il n'y a que le 5 qui est "plutôt vrai".
Donc me vient une question : j'ai un serveur dédiés chez OVH, si
je tire un VPN de chez moi à ce serveur, puis-je éviter les
écoutes massives ?
Quel est votre usage du serveur dédié chez OVH ?
principalement mail et wiki perso.
De toutes façons, on voit bien (notamment le 1er cas est connu depuis
longtemps : on est tous des terroristes, donc la loi anti-teroriste
s'applique à tous) qu'il n'y a pas de solution simple, et aussi les
lois peuvent évoluer.
Le premier est donc "Faux", il n'y a que le 5 qui est "plutôt vrai".
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Quel est votre usage du serveur dédié chez OVH ?
principalement mail et wiki perso.
De toutes façons, on voit bien (notamment le 1er cas est connu depuis longtemps : on est tous des terroristes, donc la loi anti-teroriste s'applique à tous) qu'il n'y a pas de solution simple, et aussi les lois peuvent évoluer.
-- siger
Yannix
Le 08/05/2015 23:55, laurent a écrit :
On 08/05/2015 20:52, Yannix wrote:
Le 08/05/2015 11:42, laurent a écrit :
Bonjour,
après avoir lu l'interview d'Octave Klaba ici : http://minilien.fr/a0ppef je retiens que :
A écouter aussi : https://reflets.info/radio-reflets-7-la-loi-sur-le-renseignement-invite-tristan-nitot/
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Quel est votre usage du serveur dédié chez OVH ?
principalement mail et wiki perso.
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" : stoker physiquement ses sauvegardes à l'extérieur.
X. -- syncing file systems... done Press any key to reboot.
Le 08/05/2015 23:55, laurent a écrit :
On 08/05/2015 20:52, Yannix wrote:
Le 08/05/2015 11:42, laurent a écrit :
Bonjour,
après avoir lu l'interview d'Octave Klaba ici :
http://minilien.fr/a0ppef je retiens que :
A écouter aussi :
https://reflets.info/radio-reflets-7-la-loi-sur-le-renseignement-invite-tristan-nitot/
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire
un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Quel est votre usage du serveur dédié chez OVH ?
principalement mail et wiki perso.
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par
définition, OVH peut déjà mettre le nez dans votre serveur et vos
données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" :
stoker physiquement ses sauvegardes à l'extérieur.
X.
--
syncing file systems... done
Press any key to reboot.
A écouter aussi : https://reflets.info/radio-reflets-7-la-loi-sur-le-renseignement-invite-tristan-nitot/
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Quel est votre usage du serveur dédié chez OVH ?
principalement mail et wiki perso.
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" : stoker physiquement ses sauvegardes à l'extérieur.
X. -- syncing file systems... done Press any key to reboot.
La Norme Française c'est pas le FN
On Sat, 09 May 2015 10:01:42 +0200, Yannix wrote:
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" : stoker physiquement ses sauvegardes à l'extérieur.
X.
Pour Monsieur Toulemonde (ou presque) un synology chez un membre de la famille qui a du haut débit, peut faire l'affaire et pour moins chere.
On Sat, 09 May 2015 10:01:42 +0200, Yannix <faitmoipeur@gmail.com>
wrote:
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par
définition, OVH peut déjà mettre le nez dans votre serveur et vos
données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" :
stoker physiquement ses sauvegardes à l'extérieur.
X.
Pour Monsieur Toulemonde (ou presque) un synology chez un membre de la
famille qui a du haut débit, peut faire l'affaire et pour moins chere.
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" : stoker physiquement ses sauvegardes à l'extérieur.
X.
Pour Monsieur Toulemonde (ou presque) un synology chez un membre de la famille qui a du haut débit, peut faire l'affaire et pour moins chere.
siger
Yannix a écrit :
principalement mail et wiki perso.
Si c'est perso, un "hébergement" chez soi suffit non ?
Si on peut laisser tourner un ordinateur 24h/24, oui.
Un petit hébergement, si on n'a besoin que de ça, ne coute pas cher.
0,1kW × 24h × 365j × 0,1¤ = 90 euros
-- siger
Yannix a écrit :
principalement mail et wiki perso.
Si c'est perso, un "hébergement" chez soi suffit non ?
Si on peut laisser tourner un ordinateur 24h/24, oui.
Un petit hébergement, si on n'a besoin que de ça, ne coute pas cher.
Si c'est perso, un "hébergement" chez soi suffit non ?
Si on peut laisser tourner un ordinateur 24h/24, oui.
Un petit hébergement, si on n'a besoin que de ça, ne coute pas cher.
0,1kW × 24h × 365j × 0,1¤ = 90 euros
-- siger
laurent
On 09/05/2015 10:01, Yannix wrote:
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" : stoker physiquement ses sauvegardes à l'extérieur.
oui et non. L'avantage d'un hébergement dans un datacentre est multiple : bande passant élevée, haute disponibilité (électrique, connectivité, ...). Les mails que je reçois sont certes perso mais importants : fisc, réponse d'employeur quand je cherchais du taf, ...
Au niveau du wiki, je m'en sers dans un cadre professionnel aussi en capitalisant mes maigres connaissances et l'air de rien ça marche mieux avec une vraie connexion internet qu'un pauvre ADSL en 256k de remontée.
De plus, si je dois faire une démo quelconque à un client d'une webapp que j'aurais développée, monter un VPN quand je suis dans des pays où la liberté sur internet est limitée, ... avoir une bande passante élevée est une sûreté de fonctionnement est agréable.
Enfin, je ne suis pas convaincu que ça coûte vraiment moins cher de s'auto héberger. Je paye 15€ / mois l'hébergement. Entre le coût de la machine et de l'électricité, ça doit s'équivaloir. Et il y a des VPS encore moins chers.
Laurent
On 09/05/2015 10:01, Yannix wrote:
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par
définition, OVH peut déjà mettre le nez dans votre serveur et vos
données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" :
stoker physiquement ses sauvegardes à l'extérieur.
oui et non. L'avantage d'un hébergement dans un datacentre est multiple
: bande passant élevée, haute disponibilité (électrique, connectivité,
...). Les mails que je reçois sont certes perso mais importants : fisc,
réponse d'employeur quand je cherchais du taf, ...
Au niveau du wiki, je m'en sers dans un cadre professionnel aussi en
capitalisant mes maigres connaissances et l'air de rien ça marche mieux
avec une vraie connexion internet qu'un pauvre ADSL en 256k de remontée.
De plus, si je dois faire une démo quelconque à un client d'une webapp
que j'aurais développée, monter un VPN quand je suis dans des pays où la
liberté sur internet est limitée, ... avoir une bande passante élevée
est une sûreté de fonctionnement est agréable.
Enfin, je ne suis pas convaincu que ça coûte vraiment moins cher de
s'auto héberger. Je paye 15€ / mois l'hébergement. Entre le coût de la
machine et de l'électricité, ça doit s'équivaloir. Et il y a des VPS
encore moins chers.
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données. Pour un particulier, je ne vois qu'un seul intérêt au "cloud" : stoker physiquement ses sauvegardes à l'extérieur.
oui et non. L'avantage d'un hébergement dans un datacentre est multiple : bande passant élevée, haute disponibilité (électrique, connectivité, ...). Les mails que je reçois sont certes perso mais importants : fisc, réponse d'employeur quand je cherchais du taf, ...
Au niveau du wiki, je m'en sers dans un cadre professionnel aussi en capitalisant mes maigres connaissances et l'air de rien ça marche mieux avec une vraie connexion internet qu'un pauvre ADSL en 256k de remontée.
De plus, si je dois faire une démo quelconque à un client d'une webapp que j'aurais développée, monter un VPN quand je suis dans des pays où la liberté sur internet est limitée, ... avoir une bande passante élevée est une sûreté de fonctionnement est agréable.
Enfin, je ne suis pas convaincu que ça coûte vraiment moins cher de s'auto héberger. Je paye 15€ / mois l'hébergement. Entre le coût de la machine et de l'électricité, ça doit s'équivaloir. Et il y a des VPS encore moins chers.
Laurent
laurent
On 09/05/2015 10:01, Yannix wrote:
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données.
Je n'avais pas rebondi sur ce point. Effectivement OVH peut mettre le nez dans mon serveur et je me suis toujours demandé comment je pouvais éviter cela.
Aujourd'hui j'utilise des containers KVM dont l'image est chiffrée sur le host. On peut y accéder en SSH. Donc plusieurs cas de figure (c'est exploratoire et pas péremptoire ! Il y a sûrement des failles et je suis à votre écoute !) : - le serveur est arrêté. Les containers sont donc chiffrés et à priori indéchiffrables (on part du principe que AES-256 est fiable ) ; - la machine est allumée, OVH peut prendre la main en console dessus mais ne dispose à priori pas des mots de passes et ne peut donc pas rentrer. Admettons qu'ils rentrent quand même (j'aimerai savoir comment sachant que j'ai réinstallé la machine complètement avec un noyau Vanilla et les drivers d'origine) : -> ils se retrouvent sur un host avec rien dedans hormis un vSwitch et des containers qui tournent. Ils peuvent accéder aux données non chiffrées qui transitent sur le vSwitch et les interfaces réseau. Ils peuvent sûrement accéder à des clés de chiffrement en fouillant la mémoire des processus KVM. Mais comment ? /dev/mem n'est pas présent, en fouillant la mémoire processus par processus ? Une idée ?
Enfin il y a aussi la solution d'un MITM pour trafiquer les connexions réseaux avant qu'elles ne soient chiffrées par SSH et introduire des backdoors. Mais une fois de plus, les paquets Debian sont signés, les signatures vérifiées, je ne pense donc pas que ce soit trivial.
Ou alors je passe à côté de quelque chose ?
Laurent
On 09/05/2015 10:01, Yannix wrote:
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par
définition, OVH peut déjà mettre le nez dans votre serveur et vos
données.
Je n'avais pas rebondi sur ce point. Effectivement OVH peut mettre le
nez dans mon serveur et je me suis toujours demandé comment je pouvais
éviter cela.
Aujourd'hui j'utilise des containers KVM dont l'image est chiffrée sur
le host. On peut y accéder en SSH. Donc plusieurs cas de figure (c'est
exploratoire et pas péremptoire ! Il y a sûrement des failles et je suis
à votre écoute !) :
- le serveur est arrêté. Les containers sont donc chiffrés et à priori
indéchiffrables (on part du principe que AES-256 est fiable ) ;
- la machine est allumée, OVH peut prendre la main en console dessus
mais ne dispose à priori pas des mots de passes et ne peut donc pas
rentrer. Admettons qu'ils rentrent quand même (j'aimerai savoir comment
sachant que j'ai réinstallé la machine complètement avec un noyau
Vanilla et les drivers d'origine) :
-> ils se retrouvent sur un host avec rien dedans hormis un vSwitch et
des containers qui tournent. Ils peuvent accéder aux données non
chiffrées qui transitent sur le vSwitch et les interfaces réseau. Ils
peuvent sûrement accéder à des clés de chiffrement en fouillant la
mémoire des processus KVM. Mais comment ? /dev/mem n'est pas présent, en
fouillant la mémoire processus par processus ? Une idée ?
Enfin il y a aussi la solution d'un MITM pour trafiquer les connexions
réseaux avant qu'elles ne soient chiffrées par SSH et introduire des
backdoors. Mais une fois de plus, les paquets Debian sont signés, les
signatures vérifiées, je ne pense donc pas que ce soit trivial.
Si c'est perso, un "hébergement" chez soi suffit non ? Sinon, par définition, OVH peut déjà mettre le nez dans votre serveur et vos données.
Je n'avais pas rebondi sur ce point. Effectivement OVH peut mettre le nez dans mon serveur et je me suis toujours demandé comment je pouvais éviter cela.
Aujourd'hui j'utilise des containers KVM dont l'image est chiffrée sur le host. On peut y accéder en SSH. Donc plusieurs cas de figure (c'est exploratoire et pas péremptoire ! Il y a sûrement des failles et je suis à votre écoute !) : - le serveur est arrêté. Les containers sont donc chiffrés et à priori indéchiffrables (on part du principe que AES-256 est fiable ) ; - la machine est allumée, OVH peut prendre la main en console dessus mais ne dispose à priori pas des mots de passes et ne peut donc pas rentrer. Admettons qu'ils rentrent quand même (j'aimerai savoir comment sachant que j'ai réinstallé la machine complètement avec un noyau Vanilla et les drivers d'origine) : -> ils se retrouvent sur un host avec rien dedans hormis un vSwitch et des containers qui tournent. Ils peuvent accéder aux données non chiffrées qui transitent sur le vSwitch et les interfaces réseau. Ils peuvent sûrement accéder à des clés de chiffrement en fouillant la mémoire des processus KVM. Mais comment ? /dev/mem n'est pas présent, en fouillant la mémoire processus par processus ? Une idée ?
Enfin il y a aussi la solution d'un MITM pour trafiquer les connexions réseaux avant qu'elles ne soient chiffrées par SSH et introduire des backdoors. Mais une fois de plus, les paquets Debian sont signés, les signatures vérifiées, je ne pense donc pas que ce soit trivial.
Ou alors je passe à côté de quelque chose ?
Laurent
Francois Lafont
Bonjour,
Le 08/05/2015 11:42, laurent a écrit :
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Je suis peut-être un peu naïf mais théoriquement le trafic VPN est censé être chiffré et donc inexpoitable pour celui qui récupére ce trafic. Même chose pour du https etc. Ou alors c'est au niveau de chaque extrémité qu'il faut installer des boîtes noires ce qui me paraît irréaliste.
Je me trompe ?
-- François Lafont
Bonjour,
Le 08/05/2015 11:42, laurent a écrit :
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Je suis peut-être un peu naïf mais théoriquement le trafic VPN est
censé être chiffré et donc inexpoitable pour celui qui récupére ce
trafic. Même chose pour du https etc. Ou alors c'est au niveau de
chaque extrémité qu'il faut installer des boîtes noires ce qui me
paraît irréaliste.
Donc me vient une question : j'ai un serveur dédiés chez OVH, si je tire un VPN de chez moi à ce serveur, puis-je éviter les écoutes massives ?
Je suis peut-être un peu naïf mais théoriquement le trafic VPN est censé être chiffré et donc inexpoitable pour celui qui récupére ce trafic. Même chose pour du https etc. Ou alors c'est au niveau de chaque extrémité qu'il faut installer des boîtes noires ce qui me paraît irréaliste.
Je me trompe ?
-- François Lafont
laurent
On 09/05/2015 13:57, Francois Lafont wrote:
Je suis peut-être un peu naïf mais théoriquement le trafic VPN est censé être chiffré et donc inexpoitable pour celui qui récupére ce trafic. Même chose pour du https etc. Ou alors c'est au niveau de chaque extrémité qu'il faut installer des boîtes noires ce qui me paraît irréaliste.
Je me trompe ?
ben justement, l'idée est de dire que comme tu seras écouté sur la ligne de ton FAI, tu chiffres ce trafic jusqu'à un datacentre qui lui ne sera pas écouté (selon Klaba). Donc le trafic sur ta ligne perso n'est pas exploitable jusqu'au datacentre et non écouté en sortie de ce dernier. Sauf que apparemment, le datacentre sera écouté lui aussi, rendant par là même caduque cette solution.
Laurent
On 09/05/2015 13:57, Francois Lafont wrote:
Je suis peut-être un peu naïf mais théoriquement le trafic VPN est
censé être chiffré et donc inexpoitable pour celui qui récupére ce
trafic. Même chose pour du https etc. Ou alors c'est au niveau de
chaque extrémité qu'il faut installer des boîtes noires ce qui me
paraît irréaliste.
Je me trompe ?
ben justement, l'idée est de dire que comme tu seras écouté sur la ligne
de ton FAI, tu chiffres ce trafic jusqu'à un datacentre qui lui ne sera
pas écouté (selon Klaba). Donc le trafic sur ta ligne perso n'est pas
exploitable jusqu'au datacentre et non écouté en sortie de ce dernier.
Sauf que apparemment, le datacentre sera écouté lui aussi, rendant par
là même caduque cette solution.
Je suis peut-être un peu naïf mais théoriquement le trafic VPN est censé être chiffré et donc inexpoitable pour celui qui récupére ce trafic. Même chose pour du https etc. Ou alors c'est au niveau de chaque extrémité qu'il faut installer des boîtes noires ce qui me paraît irréaliste.
Je me trompe ?
ben justement, l'idée est de dire que comme tu seras écouté sur la ligne de ton FAI, tu chiffres ce trafic jusqu'à un datacentre qui lui ne sera pas écouté (selon Klaba). Donc le trafic sur ta ligne perso n'est pas exploitable jusqu'au datacentre et non écouté en sortie de ce dernier. Sauf que apparemment, le datacentre sera écouté lui aussi, rendant par là même caduque cette solution.