ZeroBin, ou comment faire Google Keep sans Google mais avec AES

Je veux vous présenter un outil qu’un collègue anonyme (merci Grégoire) m’a fait découvrir ce matin : ZeroBin.

ZeroBin :

ZeroBin

Ce projet open source propose de vous fournir un Pastebin qui a le bon goût de ne pas analyser tout ce que vous y écrivez pour vous placer de la pub ensuite.

Pourquoi ?

Parce que tout ce que vous y enverrez est chiffré en AES (256), et que le serveur ne sait donc pas ce qu’il stocke, il ne voit que du texte chiffré, du bruit en gros.

Comment ça marche ?

Lors de l’upload votre navigateur chiffre le contenu via une clé *secrète*.
C’est simple d’utilisation, car la clé est placée dans le lien que l’outil vous renvoi après l’upload, comme ci-dessous :

https://zerobin.net/?ca9e881b88da443e#/mubgNofdYrpDu61GikEmsPlZqJGKS0v2RD4IEtvNiE=

Mais si c’est dans l’URL le serveur reçoit bien la clé ?

C’est là que c’est beau, en fait si vous regardez bien le lien en exemple ci-dessus :
On a 3 morceaux :

A. le site,

https://zerobin.net/

Je passe c’est comme d’hab ça.

B. votre “note”,

?ca9e881b88da443e

Ça c’est comme sur n’importe quel site en PHP, ou vous demanderiez l’accès à la ressource `man of stelle` (par exemple). Vous verrez dans l’URL :

www.un-site-de-video-de-vacances.ch/recherche.php?q=man+of+stelle

 C. et la clé

#/mubgNofdYrpDu61GikEmsPlZqJGKS0v2RD4IEtvNiE=

Qui est la clé de ~~décryptage~~ déchiffrement (je vais vous éduquer, moi) de votre contenu.
(Les plus avertis y reconnaîtrons un encodage base 64 d’ailleurs). Elle n’est pas envoyée au serveur, car elle est reconnue comme une balise de page par votre navigateur[^n] qui s’en sert seulement pour placer votre affichage à l’écran.
Par exemple, si l’internaute clique sur :

http://www.wikiwand.com/fr/Windows_PowerShell#/Comparaison_de_Windows_PowerShell_et_des_langages_de_script_UNIX

Il arrivera directement sur la section : Comparaison de Windows PowerShell et des langages de script UNIX.

Mais Chrome ou Firefox appelle la destination au niveau réseau sous la forme suivante :

http://www.wikiwand.com/fr/Windows_PowerShell

Et c’est votre navigateur en local qui s’occupe d’afficher la section demandée après le ‘#’ et ne l’envoie donc pas au serveur (dépends tout de même du navigateur).

Et la boucle est bouclée, la clé reste chez vous, et si vous souhaitez partager le contenu avec quelqu’un, il suffit de lui envoyer l’URL complète avec la clé.

Et si j’ai un doute ?

  1.  C’est que vous êtes paranoïaque, c’est bien : c’est une qualité.
  2.  Je vous renvoie vers la foot note 4 de la page du projet :

http://sebsauvage.net/wiki/doku.php?id=php:zerobin#fnt__4
4) If you don’t trust me, Wireshark the damn thing!

Pour finir

ZeroBin : Un Notepad en ligne, Open source, qui fait de l’AES à la volée, qui a le bon goût d’être utilisable simplement, et que vous pouvez même héberger à la maison sur votre raspberry-pi si vous voulez.
Ce n’est pas si courant que ça.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.