Lantern, le logiciel qui veut éradiquer la censure d'Internet - Serendipity
lundi 25 août 2014 à 13:26Httqm, le 25/08/2014 à 13:26
Ca a l'air intéressant, en effet. Dans tous les cas, c'est une solution parmi d'autres, comme indiqué dans l'article et les commentaires.
En très gros, ça revient donc à avoir un pool "infini" de proxies web SSL. En pratique, y'a pas mal de trucs qui me gênent :
- celui qui est le noeud de sortie verra son IP enregistrée sur le site consulté (comme avec Tor). En cas de pépin : téléchargement illégal, publication de contenu interdit (raciste, etc) ou de piratage, c'est tout pour sa g***le. Rien que pour ça, je ne souhaiterais pas utiliser Lantern.
==> Rectification (https://www.getlantern.org/#faq_installed_lantern) : "seules les personnes dans votre réseau Lantern pourront se connecter à vous (...) Alors invitez autant de contacts de confiance que vous pouvez!" Soit, mais comment savoir qui est digne de confiance ou pas ? Si quelqu'un se présente comme un "bon père de famille" et dit habiter en Chine / Corée du Nord / autre pays ami d'Internet, comment savoir si on peut lui faire confiance ou pas ?
- comme indiqué dans la FAQ (https://www.getlantern.org/#faq) : "Lantern n'est pas un outil d'anonymat." Comprendre : il est possible de savoir quels sites visite un utilisateur de Lantern.
- https://www.getlantern.org/#faq_vulnerable_to_hackers :
1. "Les données échangées sont chiffrées pour qu'aucun intermédiaire (par exemple votre gouvernement ou fournisseur de services Internet ou le sien) ne puisse le lire" : il faut bien que les infos ressortent en clair quelque part pour atteindre le site web à visiter. Et cet endroit c'est... le noeud de sortie.
2. "Lantern exige aussi une authentification mutuelle pour toutes les connexions, ce qui veut dire que Lantern ne permettra qu'aux utilisateurs se trouvant dans votre réseau Lantern de se connecter à vous, et pas à n'importe qui." C'est bien sur le principe, mais avec un peu de social engineering, on peut devenir l' "ami" d'une personne ciblée, l'inciter à nous faire confiance, et ensuite voir passer tout le trafic...
- https://docs.google.com/spreadsheet/pub?key=0Ap6nn0WEcFTRdHUtTm9GcFpsNFpoOGFXQlBfODN4TkE&single=true&gid=0&output=html : "Server name of All Web Pages
Viewed through Lantern" + IP + email + nom + URL + contenu des pages non chiffrées sont visibles par "Immediate Friends" ainsi que "Other Lantern Users". On est donc bien dans l'outil d'ACCESSIBILITE, mais absolument pas de l'ANONYMAT. Know the difference ;-)
C'est quand même un système qui repose beaucoup sur la confiance entre des personnes qui ne se connaissent pas, a priori. Ca me semble être le maillon faible du système.
EDIT : le truc qui me gêne le plus avec ce concept, c'est que ce qui est censuré est en général interdit. Les censeurs auront toujours une bonne raison de vérifier qui accède à des contenus interdits. Or Lantern permet un accès à du contenu interdit mais sans suffisamment protéger les utilisateurs.
(Permalink)
Ca a l'air intéressant, en effet. Dans tous les cas, c'est une solution parmi d'autres, comme indiqué dans l'article et les commentaires.
En très gros, ça revient donc à avoir un pool "infini" de proxies web SSL. En pratique, y'a pas mal de trucs qui me gênent :
- celui qui est le noeud de sortie verra son IP enregistrée sur le site consulté (comme avec Tor). En cas de pépin : téléchargement illégal, publication de contenu interdit (raciste, etc) ou de piratage, c'est tout pour sa g***le. Rien que pour ça, je ne souhaiterais pas utiliser Lantern.
==> Rectification (https://www.getlantern.org/#faq_installed_lantern) : "seules les personnes dans votre réseau Lantern pourront se connecter à vous (...) Alors invitez autant de contacts de confiance que vous pouvez!" Soit, mais comment savoir qui est digne de confiance ou pas ? Si quelqu'un se présente comme un "bon père de famille" et dit habiter en Chine / Corée du Nord / autre pays ami d'Internet, comment savoir si on peut lui faire confiance ou pas ?
- comme indiqué dans la FAQ (https://www.getlantern.org/#faq) : "Lantern n'est pas un outil d'anonymat." Comprendre : il est possible de savoir quels sites visite un utilisateur de Lantern.
- https://www.getlantern.org/#faq_vulnerable_to_hackers :
1. "Les données échangées sont chiffrées pour qu'aucun intermédiaire (par exemple votre gouvernement ou fournisseur de services Internet ou le sien) ne puisse le lire" : il faut bien que les infos ressortent en clair quelque part pour atteindre le site web à visiter. Et cet endroit c'est... le noeud de sortie.
2. "Lantern exige aussi une authentification mutuelle pour toutes les connexions, ce qui veut dire que Lantern ne permettra qu'aux utilisateurs se trouvant dans votre réseau Lantern de se connecter à vous, et pas à n'importe qui." C'est bien sur le principe, mais avec un peu de social engineering, on peut devenir l' "ami" d'une personne ciblée, l'inciter à nous faire confiance, et ensuite voir passer tout le trafic...
- https://docs.google.com/spreadsheet/pub?key=0Ap6nn0WEcFTRdHUtTm9GcFpsNFpoOGFXQlBfODN4TkE&single=true&gid=0&output=html : "Server name of All Web Pages
Viewed through Lantern" + IP + email + nom + URL + contenu des pages non chiffrées sont visibles par "Immediate Friends" ainsi que "Other Lantern Users". On est donc bien dans l'outil d'ACCESSIBILITE, mais absolument pas de l'ANONYMAT. Know the difference ;-)
C'est quand même un système qui repose beaucoup sur la confiance entre des personnes qui ne se connaissent pas, a priori. Ca me semble être le maillon faible du système.
EDIT : le truc qui me gêne le plus avec ce concept, c'est que ce qui est censuré est en général interdit. Les censeurs auront toujours une bonne raison de vérifier qui accède à des contenus interdits. Or Lantern permet un accès à du contenu interdit mais sans suffisamment protéger les utilisateurs.
(Permalink)