La confiance dans un monde sous surveillance


Découvrez OpenPGP et le "web of trust", des outils pour vérifier l'origine et assurer la confidentialité des échanges sur Internet.


Le modèle de sécurité sur Internet repose sur des autorités de certification centralisées et corruptibles (erreur récente de l'ANSSI sur des certificats Google, interceptions par la NSA...). Même lorsqu'il fonctionne, il ne garantit que l'intégrité des tuyaux, pas l'état des données transmises avant leur transfert (compromission de Rubygems.org, backdoors dans OpenX Source, phpMyAdmin, vsftpd, ProFTPD...).

Le "web of trust" OpenPGP, largement utilisé dans le développement de logiciels libres tels que la distribution Debian et le noyau Linux, offre une alternative décentralisée à ce modèle de sécurité.

Dans cette session, découvrez :

  • l'intérêt de vérifier les fichiers téléchargés
  • l'intérêt des autorités de certification
  • les faiblesses d'un système centralisé
  • OpenPGP : chiffrement, vérification
  • le web of trust
  • deux exemples d'utilisation: Debian et le noyau Linux

Vous apprendrez aussi comment créer une clé OpenPGP et l'intégrer au web of trust.

Vous pourrez mettre tout ça en pratique à la key-signing party MiXiT pendant la soirée du 29 à la Plateforme ; pensez à apporter votre empreinte de clé (en plusieurs exemplaires) et une pièce d'identité !

Le support de présentation se trouve sur http://confiance.sk2.org et https://github.com/skitt/lcd1mss ; les instructions pour créer une clé et le nécessaire pour la key-signing party sont à partir de http://confiance.sk2.org/#/etape1.


► Regarder la vidéo


#TALK en Français

Stephen Kitt

Red Hat

Stephen Kitt est un aficionado des logiciels libres ; il les utilise depuis 1992. Il a contribué à plusieurs projets libres, dont le noyau Linux. Il est développeur Debian depuis 2013. En 2015 il a rejoint Red Hat pour travailler à temps plein sur OpenDaylight, une plateforme de réseau défini par logiciel (SDN, software-defined networking). Quand il n'est pas en train de développer ou de packager, il aime jouer à d'anciens jeux sur son Atari 800XL ou son PC sous DOS.



Autres talks de Stephen

  • 2018 - Les dessous d'un embargo de sécurité

    Stephen Kitt

    Difficile d'échapper aux failles Meltdown et Spectre en ce début d'année. Outre les failles elles-mêmes, le processus impliqué dans leur découverte, leur documentation et leur correction peut surprendre : on parle de découverte début 2017, d'embargo depuis mi-2017, et un dévoilement soudain tout début 2018, quelques jours avant la date prévue, suivi de mesures d'urgence prises par plusieurs projets et hébergeurs cloud qui n'avaient pas été mis dans la confidence. Cette présentation expliquera comment sont gérés les bugs de sécurité dans les projets « open source », de la découverte à l'embargo puis au « responsible disclosure » voire « coordinated disclosure » ; qui participe, qui détermine le calendrier, comment est géré l'apparent besoin de secret même dans le cadre d'un projet développé en public...