Mettez-vous vos identifiants membre dans une instance hébergée de Césium ?

Intro / Problème

Il s’agit d’une question de sécurité de la Ğ1.

Voyant les instances de césium fleurir sur le net, je me mets à penser, qu’encore beaucoup de membres inscrivent les identifiants de leur compte membre sur une instance hébergée de Césium.

Je souhaite rappeler à la communauté Ğ1 qu’il en va de la sécurité toute entière de la monnaie.

Supposons qu’une personne malveillante, hébergeant une instance de Césium modifie le code pour récupérer les identifiants des personnes qui s’y sont connectées. Ce dernier pourra :

• récupérer les unités stockées et profiter des futurs DU en envoyant le tout sur des clés anonymes ;
• prendre le contrôle de l’écrire de la chaîne de blocs avec plusieurs identités, car il ne subira pas l’handicap de la rotation de la difficulté personnalisée ;
• et pire encore : certifier des nouvelles identités menant à une attaque Sybil qui est simple à mettre en place.

Solutions

Voici les solutions que je vois à mettre en place dès le plus tôt pour tous les membres et les futurs membres sans exceptions :

• Césium : détecter si l’application est hébergée, à savoir non la verison desktop ou mobile ou local. Si c’est le cas, interdire l’authentification. Un avertissement n’est pas suffisant. Cette application hébergée est à prohiber et à déconseiller pour la manipulation d’un compte membre.

• Utiliser une application locale : césium desktop ou mobile, Sakia, silkaj.

Extra

Sinon, pour les personnes qui se demandent si utiliser ces logiciels est sécurisé lors de l’entrée des identifiants. Le code doit être vérifié pour en avoir le cœur sûr. S’agissant de logiciels libres, tout le monde a le pouvoir d’étudier, ou de demander à un informaticien de confiance d’étudier, le bon fonctionnement du code. Le fait que le code soit accessible à tout le monde apporte une sécurité, car plusieurs yeux ont scrutés ces lignes.

Outro

Voilà pour la piqure de rappel absolument nécessaire pour un avenir serein.

C’est un pavé dans la mare à l’encontre de la facilité qu’apporte une application que tout le monde semble chérir mais qui n’assure pas la sécurité nécessaire au bon fonctionnement d’une cryptomonnaie face à une attaque.

Tu fais bien de le rappeler. J’invite les différentes communautés locales à communiquer auprès de leurs mailing list sur les dangers encourus lorsqu’ils se connectent sur des Cesium hébergés.

J’avais déjà proposé a @kimamila il y a plusieurs mois déjà, d’interdire la connexion d’un compte membre sur une instance hébergée, il s’y était opposé, je ne me souviens plus exactement pourquoi, @kimamila peut tu nous rappeler ton point de vue sur ces questions ?

Pour me permettre d’être au clair, j’ai juste besoin d’une confirmation.

Cette adresse est sécurisée par définition ?

https://g1.duniter.fr/#/app/currency/lg

Ça fait bien trop longtemps que ce problème persiste et reste un point aveugle aux yeux de son auteur, à ceux qui mettent à disposition un césium hébergé ainsi qu’à ceux qui les utilisent.

La communauté grandissant à grands pas, il est temps de donner un coup de botte dans cette fourmilière.

J’imagine que son auteur souhaite faciliter la vie des petites gens. Oui, pourquoi pas, mais pas en fragilisant la sécurité de notre chère monnaie.

Les moyens de sécurité actuels des banques sont-ils conçus pour faciliter la vie des petites gens ou pour assurer la sécurité des comptes ?

Sur ces paroles, et en connaissance de cause, prenez la décision nécessaire à l’avenir que vous souhaitez donner à la suite de cette aventure.

Influencez l’auteur de Césium, les hébergeurs d’instances Césium. Apprenez, puis enseignez à vos proches à installer une application cliente Duniter localement sur vos ordinateurs.

Fuyiez pauvres fous !

La consultation des différentes facette de la monnaie via un césium hébergé ne pose pas de problèmes.

Par contre, son utilisation avec un compte membre l’est ! Lors d’envoi de documents sur le réseau qui nécessitent l’entrée des identifiants membre. À savoir son identité, des transactions, des certifications, son document de renouvellement/adhésion.

L’implication est énorme !
Césium est ‹ populaire › !

Ton message nous rappelle la chose suivante :

• Le réseau bitcoin n’a été l’objet de vol de clef privées que sur des sites web hébergés. Souvent par attaque du serveur, celui-ci représentant un honey-pot (« pot de miel ») pour les pirates.
• Donc les victimes sont toujours des personnes qui désirent un outil facile, pratique et joli. Ne pas se soucier de ces histoires de clefs. Mais cela se paie très cher parfois.
• Les personnes qui sont à l’abri des pirates gardent précieusement leur clef sur leur propres machines et utilisent des clients installés en local.

Que faire pour le cas de Cesium, populaire, mais très vulnérable.

1 - Simple et rapide : supprimer l’authentification sur la version hébergée. Radical. Empêche même une attaque par phishing, si on communique bien dessus : aucun Cesium dans votre navigateur ne demande les identifiants !

2 - Complexe et long : trouver un moyen de « certifier » un Cesium comme étant de confiance. Mais là, je ne vois pas trop comment… Je pense que c’est à l’auteur d’y réfléchir.

Une idée bête : et si les certificats SSL « let’s encrypt » n’était délivrés que par l’auteur ou son association ou son entreprise, pour tout Cesium hébergé. Ainsi, celui-ci aurait la responsabilité de certifier les hébergeurs autorisés à héberger Cesium.

Hum on fait tout pour décentraliser (y compris encourager à utiliser un Cesium local), donc là, centraliser les autorisations d’hébergement, bof, je suis pas fan, même si j’ai confiance dans le développeur, je trouve que ça va à l’encontre d’un certain nombre de valeurs qui ont abouti à la mise en place de la monnaie libre telle qu’on la connaît aujourd’hui, non ?

Oui et de toute façon c’est hyper simple à attaquer avec une autorité SSL de man in the middle. De plus, une instance « trustée » ne veut pas dire qu’elle n’a pas été piratée.

Après au pire tu te fais juste vider ton compte, car tout le monde à bien préalablement téléchargé et stocké à plusieurs endroits son document de révocation n’est-ce pas tout le monde ?

Alors dites moi si je me trompe, mais dans tous les cas, Cesium n’enregistre absolument pas les clé privés côté serveur. Seul Cesium+ stock des meta-données non sensibles.
Donc même si une instance comme g1.duniter.fr se fait pirater, le pirate ne pourra rien en tiré de sensible ?

La seule faille de sécurité reste donc le fishing classique, sur une instance non trusté, mais conseiller les gens d’utiliser g1.duniter.fr reste 100% sécurisé pour moi vue que tous se passe dans le navigateur.

Le code de Cesium est aisément modifiable, a moins d’être celui qui a installé l’instance cesium g1.duniter.org tu n’a aucune garantie qu’il ne s’agit pas d’une instance modifiée pour capter les clés privées, tu est obligé de faire confiance en l’hébergeur de l’instance.

Le hacker pourrait peut être exploiter une faille pour modifier le comportement de l’instance et lui faire logger d’une façon ou d’une autre ce qui est saisi coté client.

Défini ce qu’est une instance trustée stp, car pour moi ça n’existe pas.

Non car déjà l’utilisateur peut être victime de DNS menteur, donc même s’il fait 100% confiance en l’hébergeur de l’instance g1.duniter.org il n’a aucune garantie que c’est bien sur cette instance qu’il s’est connecté. Face au niveau de technicité nécessaire pour s’en assurer (vérifier la signature DnsSEC, etc) il est infiniment plus simple d’installer Cesium en local.

Oui du fishing quoi, c’est pk je parle d’instances de confiance uniquement et non de n’importe quelle instance inconnue.

Bah typiquement g1.duniter.fr, je lui fait confiance car je sais qui sont les administrateur derrière, c’est à eux que je fais confiance, et je n’ai pas de scrupule a inviter les gens à l’utiliser.

Oui on est d’accords là dessus, mais au quel cas le navigateur alertera du certificat non valide avec un gros message d’avertissement qu’il est difficile de passer à côté.

Non absolument pas… l’instance g1.duniter.fr n’a pas de signature DnsSec et le navigateur ne donne aucune alerte, sauf a avoir un plugin qui check DnsSec sur tout les sites, ce que 99,99% des utilisateurs n’ont pas. Et d’ailleurs toi non plus car si tu avait ce plugin tu aurait vu que l’instance g1.duniter.fr n’utilise pas dnssec

Donc non, perso je ne m’authentifie jamais sur g1.duniter.fr, et pourtant j’ai toute confiance en @kimamila ce n’est pas la question, il peut subir une attaque de l’homme du milieu par DNS menteur.

On ne le dit pas forcément afin que chacun se protège d’une surestimation de sa memoire, mais le simple fait de se souvenir de ses identifiants secrets permet de révoquer le compte à tout moment, fichier de révocation sauvegardé ou non.

Je m’authentifie régulièrement sur une instance hébergé de cesium.
Pourquoi ? C’est moi qui l’héberge sur mon étagère, du coup, je considère qu’elle bénéficie du même degré de sécurité qu’une instance locale (et je ne m’authentifie dessus que depuis une de mes machine ou une machine linux de quelqu’un de confiance).

Je comprend l’enjeu de sécurité dont vous parlez, mais je comprend aussi l’enjeu d’utilisabilité qui amène kimamila à refuser d’empécher l’authentification membre sur instance hébergée.

Pour moi, certes, une instance hébergé fourni une sécurité moindre qu’une instance locale. Ceci dit, une unique instance hébergé même « certifiée » me semble représenter un risque plus important pour la monnaie si elle est largement utilisé qu’un plus grand nombre d’instances hébergées, par exemple une ou plus par groupe locale, pour que l’hébergeur soit quelqu’un de confiance, à l’échelle locale de ceux qui utilise cette instance, et du coup, en cas de piratage, d’une part, même si ça impacte le groupe d’utilisateur concerné, ça n’est pas suffisent pour prendre la main sur la monnaie, et l’admin de l’instance peu remplacer son instance durant le mois qui suis par un message du style : cette instance à été compromise, merci de révoquer votre compte et d’en faire un nouveau pour empêcher le pirate d’utiliser votre à votre insu.

Bref, oui, c’est un problème de sécurité, mais si on le répartie suffisamment pour que ça ne le soit pas à l’échelle de toute la monnaie, ça me semble un compromis utile pour ouvrir la monnaie à des non techno-entousiaste.

Concrètement ça veux dire que toute instance cesium hébergé utilisé par un nombre de membre se rapprochant de la moitiés du nombre de membre qui forge des bloc devrait bloquer l’authentification membre.

ça me semble plus modéré que d’interdire l’authentification membre a toute instance hébergée, et pousser dans la direction de la décentralisation pour maintenir l’utilisabilité pour les non tech qu’apporte césium.
(pour être tranquille on pourrait bloquer au 1/4 des membres calculant de la fenêtre actuelle ou de la plus petite fenêtre des 30 derniers jours).

En bonus, ça ferais une motivation de plus pour augmenter le nombre de nœuds membres.

Qu’en pensez-vous ?

Exactement, ce qui est donc largement le cas de g1.duniter.fr utilisée par beaucoup beaucoup plus que 35 personnes (la moitié des membres calculants).

Ce que serait déjà urgent c’est qu’on est cette possibilité dans la configuration de notre instance, car aujourd’hui a moins de modifier le code ce n’est pas possible, c’est du tout ou rien

@HgO et moi avons mis en place un serveur pour les « duniterriens » belges. Dessus, il y a une instance de Césium.

Je me connecte régulièrement dessus. J’ai une confiance importante dans le serveur vu que je l’administre. C’est une Debian, régulièrement mise à jour.

Je suis d’accord avec vous que dans l’absolu, ce serait mieux de ne pas utiliser une application hébergée ailleurs. Comme il serait mieux de chiffrer tous les mails avec PGP, d’utiliser Tor au quotidien, des messageries instantanées chiffrées, etc. Mais de là à bloquer les solutions faciles d’accès…

Tite question de vocabulaire technique pour être sure de suivre, l’instance hébergée c’est la version en ligne de cesium?