Diaspora est-il sécuritaire ?
Dernièrement un utilisateur Framasphère m’a demandé : Est-ce que Diaspora est sécuritaire.
J’ai décidé d’y répondre publiquement car :
1. je n’ai pas la science infuse et ne la veut pas :), vos collaborations et réflexions sont les bienvenues.
2. je crois que ça peut intéressé d’autre personne.
Voici donc ma réponse :
Je ne connais pas super bien diaspora mais la sécurité de manière générale est aussi forte que le maillon le plus faible. Dans cette logique tu dois tenir en compte des entrées DNS (ça me rappel lorsque j’ai passé ma certification CEH, le site Internet EC-Council n’était pas accessible car les DNS avait été détourné directement chez registraire, et oui le mot de passe avait été partagé et pas changer par la suite.), en passant par les versions des logiciels et librairies utilisés sur le serveur (OS, Apache, MySQL, Ruby, NodeJS, …), même ceux n’étant pas directement utilisé par Diaspora (car celle peuvent être utilisé en tant que backdoor ou pivot pour l’attaque), jusqu’aux mots de passe des utilisateurs même ceux sans privilèges car ils peuvent être utilisé pour escalader vers un utilisateur avec privilèges (exemple super utilisateur, modérateur, …) souvent par ingénierie sociale, oui l’humain est la plus grande faille des systèmes informatiques. Voici un exemple : Diapora Release History
Que ce soit un logiciel libre ou un logiciel fermé; le problème est le même; ce n’est pas parce que les failles sont dénoncés et que les solutions sont trouvées que celles-ci son mise en place par l’équipe qui gère les serveurs.
Ensuite il y a le fait que chaque pod sont fédérés ce qui avantage et désavantage en même temps. Avantage car c’est plus difficile de cibler. Désavantage car c’est plus difficile à contrôler et maintenir l’ensemble du réseau.
Fédéré vs Distribué
Je croyais faire une erreur de syntaxe en parlant de réseau fédéré pour Diaspora mais selon cette article : différence entre réseau décentralisé, fédéré et distribué, il n’y a que la charge qui peut être distribué. En sommes un réseau fédéré c’est le retour au vrai Internet.
Exemple OpenSSL
Un bon parallèle pour la sécurité sur un réseau non centralisé est les failles de OpenSSL. Bien que c’était exploitable sur 90% des équipements répondant sur le net (routeur, web & email server, …)tous n’appartenant pas au même réseau, à un endroit, ils n’ont pas tous leaké des infos. Certain se sont fait attaqué et exploité, tandis que d’autres sont encore vulnérable et se feront probablement jamais exploiter par manque d’intérêt.
PS: Côté configuration SSL framasphere.org assure : SSLTest Analyze
Côté récupération d’information; (je m’aventure un peu)
Je crois que c’est un peu comme les noeuds de sortie Tor. Tu te fais un noeud (un pod), tu acceptes d’être un noeud de publication, de sortie et tu fais partie de la gang. Certes les messages sont crypté lors de l’échange entre noeud, mais, côté Tor il ne l’est pas lorsque le message est sur le noeud de sortie. Reste à savoir si les messages transite systématiquement sur tous les noeud, à la demande ou de manière aléatoire.
Choisir son pod
Si tu es sur un pod et qu’ils y a des activistes politiques sûrement que ce dernier sera monitorer et même s’y infiltrer par des instances gouvernementaux. Si tu prends un pod et qu’il ya des utilisateurs se vantant des millions qu’ils ont dépensé la semaine dernière sûrement que des hackers malicieux vont s’y intéresser. Donc ça revient à de l’hygiène numérique : choisi tes contacts, tes amis, ton pod.
Créer son pod
Le mieux c’est que tu gère ton propre pod et que tu limites les inscriptions. Que tu héberges ce pod a un endroit sûr et de confiance. La plupart des hébergeurs (sinon tous) Gandi et OVH, … ne se battrons pas contre la police le jour qu’il y aura un mandat de perquisition pour ton pod, mais au moins choisir un hébergeur qui demandera à valider le mandat et informera le client entre temps c’est déjà bien.
Alternative
Un réseau que j’aime bien le principe est #HubZilla;
Il permet de faire du bruit entre les noeuds afin de rendre plus difficile l’interception de l’information.
En Conclusion
Il n’y aura jamais aucun système d’impénétrable, même les ordinateurs déconnecter de l’internet se font infecter (rappelez-vous du Stuxnet qui c’est infiltré par clé USB). Ce que tu veux garder secret, oublie-le, c’est le moyen le plus sûr, car à moins d’être un Jedi entraîné, toute personne sous l’emprise de la torture donnera son mot de passe.
Votre impression, vos questions ?
- Ai-je dis des bêtises ?
- Avez-vous des questions, des compléments d’informations ?
Au plaisir de vous lire.
Jonathan
PS: Désolé pour les fautes de français, je sais je suis terrible, et ce, même avec Antidote sous la main.
