Question:
Comment sécuriser mes échanges sur une messagerie instantanée ?
2009-10-02 09:59:12 UTC
MSN, Yahoo! Messenger, Skype, Google Talk, Facebook... nous avons tous déjà utilisé au moins une fois un service de messagerie instantané. Mais sommes-nous autant à l'abri que ça avec ces outils ?
Treize réponses:
Olivier M
2009-10-03 12:51:52 UTC
Tout dépend de ce que tu appelles sécuriser.

Est-ce que tu veux que ta conversation ne puisse pas être intercepté, ou juste qu'elle ne soit pas enregistrée ?

Facebook est le top du non sécurisé : tout ce que tu écris est connu de tous (au minimum de tes contacts) et peut être exploité par l'éditeur du logiciel (tu n'est pas propriétaire de tes messages).

MSN, yahoo et GTalk permettent la transmission de tiers à tiers (le message est perdu une fois qu'il est transmis) mais le flux réseau n'est pas crypté et peut-être donc être intercepté et écouté. Éventuellement la conversation peut aussi être conservé par l'un et/ou l'autre des interlocuteur.

Skype crypte le flux réseau, mais ne donne pas d'indication sur la protection qu'il propose. Il est donc possible que le flux puisse être intercepté et écouté par les éditeurs du logiciels ou des personnes qui auraient accès aux codes. L'opacité sur le protocole d'échange (qui a tendance à saturer les réseaux) et de cryptage a d'ailleurs poussé les autorités française à interdire son utilisation dans les universités et dans les entreprises françaises ayant une production stratégique (en même temps que les Blackberry).

Il faut savoir que tous les services de messagerie instantanée passent par des serveurs centraux qui sont tous capable, techniquement, d'enregistrer les conversations bien que les éditeurs s'engagent à ne pas le faire.



Ensuite, une autre approche consiste à la sécurisation des comptes (l'impossibilité d'utiliser de te faire usurper ton compte ou de voir les informations disponibles sur le compte d'à côté). Si on excepte tous les problème de complexité des mots de passe. En principe, il existe un protocole de vérification de la connaissance des mots de passe qui permet de ne pas le transmettre sur le réseau, même en crypté. Cependant, le web ne permet pas cette approche (tout ce qui s'utilise dans un navigateur web). MSN a l'air d'utiliser cette méthode, mais je ne peux pas le garantir (je n'ai fait que de l'analyse de flux). Les échanges étant cryptés sur Skype, je n'ai pas pu déterminer le protocole utilisé, quant à Yahoo et GTalk, je n'ai pas encore fait d'analyse. Si le mot de passe est transmis, en clair ou en hachage standard, il est possible pour une personne qui intercepte le message de se faire passer pour le possesseur réel du compte.



Encore, un virus sur un poste peut essayer d'intercepter le mot de passe lors de la frappe, ou d'utiliser le logiciel à l'insu de l'utilisateur lorsque celui-ci est connecté au service. Il peut également essayer d'intercepter les conversations et de les transmettre sur un autre canal.



Enfin, un faille dans un logiciel peut faciliter le piratage d'un compte, voire du poste, comme indiqué par d'autres personnes, il ne faut pas ouvrir n'importe quel lien proposé sous risque de se faire infecter par un virus. Les attaques tendent à devenir plus difficiles à mesure qu'elles sont connues et protégés sur les logiciels. Les développeurs apprennent également à anticiper les attaques et protègent les logiciels à priori.



Voilà l'état aujourd'hui. Le protocole d'échange d'informations le mieux sécurisé reste le mail, mais savoir se servir d'un système de cryptage reste assez complexe.



Edit : Pour ma dernière phrase un petit changement : le protocole d'achange le mieux SECURISABLE reste le mail.



@Sonor7_CM :

Les cookies ne sont pas en soit un problème de sécurité. Il s'agit d'une information stockée sur le poste du client (dans le sens client réseau, càd utilisateur d'une ressource) pour pouvoir l'indentifier. Par ailleurs, les cookies n'ont rien à voir avec les programmes de messageries instantanées qui est la question posée ici (exception faite de Facebook).

Mais pourquoi vouloir indentifier un utilisateur ? En fait, contrairement à un protocole réseau classique qui consiste à maintenir une connexion ouverte entre le client et le serveur, le protocole HTTP coupe sa connexion une fois la ressource chargée sur le client (une page, une image, un script...). Ceci signifie qu'une fois la ressource chargée, le serveur est incapable de reconnaitre le client s'il vient à demander une nouvelle ressource, d'autant plus que plusieurs ordinateurs peuvent partager la même adresse IP. Pour palier à ce problème, les concepteurs des navigateurs Web ont mis en place un système de stockage d'information sur le poste client conservées pendant la durée d'utilisation du navigateur (cookies de session) ou plus longtemps (cookies d'indentification).

Les cookies posent deux problèmes.

En premier, transmis sur les réseau, ils peuvent être interceptés par un tiers et réutilisés par celui-ci. Si l'accès à un site se fait par mot de passe, il peut se faire passer pour un utilisateur déjà enregistré sur le site. La parade consistant pour l'exploitant du site web à utiliser un protocole sécurisé (https = http/ssl).

Le deuxième, c'est la transmission correcte des cookies. En principe, il sont censé n'être envoyés qu'au site qui les a émis, parfois limité à une URL en particulier. Sur les vieux navigateurs, une image appartenant à une site tiers recevait le cookie de la page principale dans laquelle il était affiché. Ce problème est résolu. Les ressources n'appartenant pas à la page principale ne peuvent d'ailleur plus, par défaut, recevoir de cookies d'identification et les ressources non sécurisées dans un environnement sécurisé ne sont plus chargées.

Le deuxième, c'est qu'un exploitant de site web peut effectivement utiliser les cookies pour optimiser à son profit l'"expérience utilisateur", mais c'est un processus lourd et inefficace, il est nettement plus pertinent de pousser les utilisateurs à créer un compte pour accéder à des ressources particulières (personnalisation de l'interface du site par exemple) et de stocker sur son serveur les historique de navigation de l'utilisateur connecté.
Flo ♪
2009-10-03 01:47:58 UTC
Ne pas accepter les liens douteux

Ne pas parler à n'importe qui

Ne pas dévoiler des informations sur toi à une personne que tu ne connais pas
2009-10-03 10:03:21 UTC
déjà savoir que toute conversation peut etre enregistrée par l'interlocuteur. donc bien faire attention à ce qu'on dit et de qui on parle.



ensuite y'a des saleté de virus qui s'affiche sur une fenetre ou vos contacts vous envoie ce type de message: tiens regarde mes photos de vacances et vous envoie un fichier. Le truc pour pas se faire piéger? Ne jamais accepter ce type de fichier si vous n'etes pas en conversation avec la personne et qu'il ne peut pas vous assurer que c'est lui qui vous envoie ça.



Sinon bah, y'a aucune sécurité poto, c'est internet tous les gars qui font des logicoiels ou des sites gardent tout en mémoire et l'utilise, c'est écrit dans leur charte
alexdamias
2009-10-03 01:08:04 UTC
Les problèmes de sécurité informatique c'est à 90% du pipeau, il suffit d'avoir un peu de bon sens et de prendre le temps de comprendre comment fonctionnent les outils qu'on utilise, c'est valable pour des logiciels de messagerie instantanée comme pour une machine à laver ou un lecteur DVD !

Donc pour sécuriser tes échanges, choisis bien ce que tu souhaites partager et avec qui, regarde comment ça marche, et tu n'auras aucun problème
?
2009-10-02 10:22:28 UTC
Ne pas accepter les liens douteux sur msn que proposent les contacts car ils sont eux mêmes contaminés par un virus.
Romancero
2009-10-06 07:01:00 UTC
On a beau se protéger par tel ou tel autre moyen, mais le risque zéro n'existe pas. Celui qui nous menace, connaît notre faiblesse. Donc jamais à l'abri, selon moi. Même si d'un service à l'autre, la sécurité est relative. Enfin, je n'y crois pas à la sécurisation des échanges sur Internet.
Jiim F
2009-10-05 05:42:21 UTC
@ "?" sécurité informatique c'est du pipo à 90 %? mais tu déconnes ou quoi?

est-ce que tu sais ce que c'est les cookies? Pour informations, ce sont de petits fichiers textes stockés par le navigateur web sur le disque dur du visiteur d'un site web et qui servent (entre autres) à enregistrer des informations sur le visiteur ou encore sur son parcours dans le site. Le webmaster peut ainsi reconnaître les habitudes d'un visiteur et personnaliser la présentation de son site pour chaque visiteur ; les cookies permettent alors de garder en mémoire combien d'articles il faut afficher en page d'accueil ou encore de retenir les identifiants de connexion à une éventuelle partie privée : lorsque le visiteur revient sur le site, il ne lui est plus nécessaire de taper son nom et son mot de passe pour se faire reconnaître, puisqu'ils sont automatiquement envoyés par le cookie.



Un cookie a une durée de vie limitée, fixée par le concepteur du site. Ils peuvent aussi expirer à la fin de la session sur le site, ce qui correspond à la fermeture du navigateur. Les cookies sont largement utilisés pour simplifier la vie des visiteurs et leur présenter des informations plus pertinentes. Mais une technique particulière permet sur d'anciens navigateurs de suivre un visiteur sur plusieurs sites et ainsi de collecter et recouper des informations très étendues sur ses habitudes. Cette méthode a donné à l'usage des cookies une réputation de technique de surveillance violant la sphère privée des visiteurs.



En réponse à ces craintes légitimes, un mécanisme appelé P3P a été mis en place afin de prémunir les internautes des éventuelles utilisations abusives.



Les cookies permettent de donner un état au protocole de communication HTTP, donc de définir des transactions. Ils ont été inventés par Lou Montulli alors qu'il travaillait chez Netscape Communications, dans le but d'adapter dynamiquement le contenu des sites web aux habitudes de navigation de l'internaute. Le fonctionnement technique des cookies est décrit précisément dans la RFC 2109[1].



Leur usage a donné lieu à quelques controverses. L'usage le plus décrié est celui aux fins de suivi. Le principe est le suivant :



1. Le visiteur consulte une page web P1 d'un site web A.

2. La page P1 contient une image I1 provenant d'un site web S spécialisé dans le suivi.

3. Le site S enregistre que l'image I1 sert à la page P1 du site A.

4. Le site S envoie l'image au visiteur avec un cookie C.

5. Le visiteur consulte une page web P2 d'un site web B, qui n'a a priori rien à voir avec le site A.

6. La page P2 contient une image I2 du même site de suivi S.

7. Comme le navigateur du visiteur envoie automatiquement le cookie C avec la requête pour charger l'image I2, le site S peut observer que le même visiteur a visité les sites A et B.

8. Le site S peut suivre la trace du visiteur sur tous les sites comportant une de ses images.

9. Si en outre le visiteur s'est identifié auprès d'un des sites A ou B qui a transmis ces informations au site S, alors le suivi n'est plus anonyme.



En réaction à ces pratiques, les navigateurs n'enregistrent généralement plus les cookies provenant de sites tiers lors du chargement d'une page web.

Stockage des cookies



Avec certains navigateurs, un cookie est facilement modifiable, un simple éditeur de texte comme le bloc notes suffit à changer ses valeurs manuellement.



Les cookies sont enregistrés différemment selon les explorateurs :



* Internet Explorer enregistre chaque cookie dans un fichier différent.

* Mozilla Firefox enregistre tous ses cookies dans un seul fichier.

* Opera enregistre tous ses cookies dans un seul fichier et le chiffre (impossible de les modifier sauf dans les options du logiciel)

* Safari enregistre tous ses cookies dans un seul fichier .plist. La modification est possible mais très peu aisée, à moins de passer par les options du logiciel.



Les cookies sont soumis a plusieurs contraintes :



* Leur nombre total est limité à 300 ;

* La taille maximale d'un cookie est de 4 ko ;

* Il ne peut exister au maximum que 20 cookies par domaine.



POUR INFOS CERTAINS SITES NE VOUS DONNENT PAS L'ACCÈS CAR VOTRE NAVIGATEUR N'ACCEPTE PAS LES COOKIES. CE QU'IL FAUT FAIRE CE DE LES ACCEPTER ET DE LES SUPPRIMER À CHAQUE FOIS QUE VOUS FERMER LA PAGE DE VOTRE NAVIGATEUR. (PARAMETTRER VIA L'ONGLET "OUTILS" OPTION INTERNET)
yande
2009-10-03 04:41:56 UTC
pour sécuriser mes échanges sur une messagerie instantanée, il faut toujours avoir l'habitude de ferme, la fênetre après avoirs fini de l'utiliser
?
2009-10-05 14:27:57 UTC
je discute suelement avec mes amis d'école et ma famille ;)
Apricot
2009-10-02 11:28:17 UTC
À part les lettres que tu envoies par la poste tout est contrôlé.
?
2009-10-06 03:21:45 UTC
G SWI MAITENANT LA
Lotfi H
2009-10-05 02:27:47 UTC
dd
SamePlayerShootAgain
2009-10-03 09:48:33 UTC
Non, il peut même y avoir de l'anthrax dans le courrier papier.


Ce contenu a été initialement publié sur Y! Answers, un site Web de questions-réponses qui a fermé ses portes en 2021.
Loading...