Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1712 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Source fiable de téléchargement

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Source fiable de téléchargement

n°3051973
jerome_du_​vin
Posté le 23-08-2012 à 13:52:31  profilanswer
 

Bonjour,
 
Je me posais une question sur le fait que je me connecte souvent sur des réseaux non sécurisés, depuis des cafés, aéroports ou autres.
 
Est-ce que quelqu'un sur le réseau pourrait rediriger mes téléchargements de drivers, logiciels ou autres (Disons HTTP, non sécurisé) au clic du lien, vers un serveur de fichier ou le même fichier infecté me serait envoyé à la place? Je pose cette question dans l'unique but de savoir si j'ai un intérêt quelconque à utiliser des transferts HTTPS même pour les téléchargements !
 
DONC en théorie, est ce que c'est possible d'usurper un lien de téléchargement de cette façon ? Ce qui m'intéresse ce n'est pas la façon de procéder, avant que quelqu'un demande, mais plutôt de comment m'en protéger...
 
Deuxième question, il m'arrive parfois d'utiliser des système GNU/Linux, comme par exemple la distribution FEDORA, ou UBUNTU. Dans un soucis de sécurité, me recommanderiez vous de ne pas lancer le processus de mise a jour lors d'une connexion dans un lieu publique ? (Disons juste après l'installation !)
 
Je vous remercie !

mood
Publicité
Posté le 23-08-2012 à 13:52:31  profilanswer
 

n°3052025
ccp6128
Syntax error
Posté le 23-08-2012 à 16:45:25  profilanswer
 

C'est possible oui, mais je te rassure, c'est aussi possible en HTTPS, même si plus compliqué.
 
Dans un souci de sécurité, tu ne devrais pas utiliser une connection autre que la tienne pour autre chose que lancer un VPN.

n°3052074
jerome_du_​vin
Posté le 23-08-2012 à 19:29:29  profilanswer
 

C'est plus compliqué... Mais je pense que c'est visible... Car le cadenas du https ne serais pas présent je pense. (?) De plus, j'ose supposer que les updateurs des distributions Linux (ainsi que Win Update), refusent une connexion non sécurisée (SSL/TLS) pour lancer le téléchargement pas vrai?
 
Je me suis mis a utiliser un logiciel de VPN qui s'appelle Hotspot Shield, et j'en suis très satisfait. Il est gratuit, et il permets de se connecter sans avoir trop de perte de débit. Question fiabilité, j'ai pas encore pu tester, mais je visualise en utilisant Wireshark, et il utiliser des trames UDP chiffrées, donc logiquement, niveau fiabilité, ça devrait rouler non ?

n°3052281
jerome_du_​vin
Posté le 24-08-2012 à 15:52:20  profilanswer
 

Un petit up

n°3052361
o'gure
Multi grognon de B_L
Posté le 25-08-2012 à 00:20:30  profilanswer
 

jerome_du_vin a écrit :

De plus, j'ose supposer que les updateurs des distributions Linux (ainsi que Win Update), refusent une connexion non sécurisée (SSL/TLS) pour lancer le téléchargement pas vrai?


Pour les distrib linux, pas de connexion SSL/TLS pour les mises à jours. Les paquets sont téléchargés en http ou ftp.
Par contre les paquets sont signés numériquement. Les utilitaires de mises à jour/installation vérifient et alarment au besoin celui qui fait la mise à jour/installation si la signature n'est pas de confiance.

n°3052370
Z_cool
HFR profile rating:⭐⭐⭐⭐
Posté le 25-08-2012 à 01:17:20  profilanswer
 

jerome_du_vin a écrit :

C'est plus compliqué... Mais je pense que c'est visible... Car le cadenas du https ne serais pas présent je pense. (?) De plus, j'ose supposer que les updateurs des distributions Linux (ainsi que Win Update), refusent une connexion non sécurisée (SSL/TLS) pour lancer le téléchargement pas vrai?

 

Je me suis mis a utiliser un logiciel de VPN qui s'appelle Hotspot Shield, et j'en suis très satisfait. Il est gratuit, et il permets de se connecter sans avoir trop de perte de débit. Question fiabilité, j'ai pas encore pu tester, mais je visualise en utilisant Wireshark, et il utiliser des trames UDP chiffrées, donc logiquement, niveau fiabilité, ça devrait rouler non ?


Si c est pas ton ordinateur, il est tout a fait possible d avoir installe un CA prive, puis rediriger toutes les requettes vers un proxy qui va decrypter tout ce qui est https, pour l uilisateur le cadena sera bien la, et valide.

 

Pour voir le subterfuge, il faut verifier le certihficat du site et qui l a fournis


Message édité par Z_cool le 25-08-2012 à 01:21:27

---------------
#mais-chut
n°3052391
jerome_du_​vin
Posté le 25-08-2012 à 10:06:15  profilanswer
 

Merci pour vos réponses,
 
très intéressant.
 
@o'gure
Effectivement, la signature numérique semble être la meilleure solution pour garantir l'authenticité des paquets téléchargés par les installeurs.
 
@z_cool
Il suffirait juste d'un coup de sslstrip au niveau du proxy, et un rechiffrement avec le CA installé frauduleusement sur le PC attaqué depuis le proxy. Juste avoir un accès physique au PC une fois pour installer ce CA privé.
 
Cela me donne envie de chiffrer mon disque système tout ça. (Je m'en vais de ce pas télécharger TrueCrypt ^^)
 
merci à tous !


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Source fiable de téléchargement

 

Sujets relatifs
Téléchargement W7 en toute légalitéTéléchargement impossible
dropbox like multi plateforme (et open-source) ?Problème Streaming et Téléchargement
Fichier endommagé durant un téléchargement ?problème téléchargement sur le site amd (pilote graphique)
Gros fichiers en téléchargement toujours interrompus ?Solution la plus fiable pour sauvegarder Windows 7
source twainDemande conseils téléchargement à partir d'une source peu fiable
Plus de sujets relatifs à : Source fiable de téléchargement


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR