Suivre

Il y a deux moyens, pour un espion, de savoir quel service
visite un utilisateur sur l'Internet, MÊME EN CAS DE CHIFFREMENT PAR : le DNS et , le Server Name Indication, qui est transmis par TLS en clair.

Pour le DNS, on s'occupe de boucher ce trou. Mais pour le SNI ? Le chiffrer ? Mais justement, le serveur TLS en a besoin avant de commencer à chiffrer.

Bref, un problème difficile, pas encore résolu. On a un cahier des charges du problème, le 8744 bortzmeyer.org/8744.html

@bortzmeyer est-ce que tu as écrit à un niveau un peu plus "vulgarisation" sur le SNI ?

@bortzmeyer (je dis ça mais la page wikipedia en français est pas mal du tout)

@bortzmeyer il y a quelque chose que je ne connais pas : quelle quantité d'information additionnelle est présente dans la requête SNI en clair par rapport au simple fait qu'un paquet circule entre l'IP 1 et l'IP 2 ?
Dans quelle proportion une adresse IP sert plusieurs service vraiment différents ?

@h30x Avec la concentration dans des gros trucs comme Cloudflare et les CDN, la différence est énorme. Une adresse IP ne dit plus grand'chose, car l'auto-hébergement est rare.

@bortzmeyer Donc en gros le scénario est le suivant :
1. je cherche à contacter nom-de-domaine.ici
2. un résolveur DNS me dit avec quelle adresse ip je dois ouvrir une connexion
3. j'ouvre une connexion en clair avec cette ip en lui disant "je viens pour voir nom-de-domaine.ici, pourriez-vous me fournir un certificat pour que nous puissions commencer une connexion chiffrée ?"
4. il répond "ok pas de problème, le voici" et nous commençons à échanger de manière chiffrée

(partie 1)

@bortzmeyer
à l'étape 2, je dois faire confiance à mon résolveur DNS, mais sinon il n'y a pas trop de fuite d'information

à l'étape 3 quelqu'un qui se positionne sur le réseau sait quelle ip (la mienne) cherche à joindre nom-de-domaine.ici, ce qui est une information plus précise que l'ip que je cherche à contacter (qui peut regrouper tout un tas de services)

à partir de l'étape 4, la seule information disponible pour un observateur sur le réseau est "telle ip parle avec telle ip"

(partie 2)

@bortzmeyer
donc regrouper un tas de services sous une même IP permet une forme d'anonymisation des connexions, un peu comme un proxy ou un vpn, mais :
- il faut avoir confiance en la personne qui s'occupe des machines à cette IP
- c'est sans compter l'information qu'on trouve dans la requête SNI qui est en clair
- par contre dans le cas de "une ip = un service", SNI ne change pas grand chose

(partie 3)

@h30x « dans le cas de "une ip = un service", SNI ne change pas grand chose » Oui, c'est sans doute vrai.

@ledeuns Ce n'est pas une solution normalisée, c'est une décision unilatérale de Cloudflare, qui ne marche qu'entre Firefox et eux.

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !