Réunion des développeurs I2P - 4 octobre 2013

20:09:33 <str4d> Heure de la réunion. Qui est là ? 20:09:53 * psi est là 20:10:04 * dg est là 20:11:34 * topiltzin . 20:11:51 <str4d> hottuna, zzz, welterde, kytv: ping 20:12:17 * orion est là 20:13:01 * str4d charge l'ordre du jour de la réunion 20:14:01 <str4d> Je n'arrive pas à atteindre zzz.i2p. Est-ce que quelqu'un d'autre accède à http://zzz.i2p/topics/1480 ? 20:14:35 <str4d> C'est bon. 20:14:43 <str4d> 1) Modèle de menace 20:14:44 <str4d> 1a) Discuter des mérites du schéma de classification DREAD (et en choisir un autre si nécessaire). 20:14:44 <str4d> 1b) Discuter du modèle de menace (et le mettre à jour si besoin). 20:14:44 <str4d> 1c) Appliquer DREAD (ou un autre schéma) aux vecteurs d'attaque du modèle de menace. 20:14:44 <str4d> 2) Refonte du site web - passer en revue en préparation du lancement. 20:14:53 <str4d> 3) Feuille de route. 20:15:22 <str4d> 4) Discussion sur la doc. 20:15:41 <str4d> Nous avons déjà couvert le 0) Dire bonjour ;-P 20:15:42 <str4d> 1) Modèle de menace 20:15:53 <str4d> 1a) Discuter des mérites du schéma de classification DREAD (et en choisir un autre si nécessaire). 20:17:07 <str4d> Comme je l’ai dit dans le post du forum, je pense que l’une des choses que nous pouvons faire pour améliorer la perception d’I2P par les autres est d’améliorer et de clarifier le modèle de menace. 20:17:29 <str4d> En ce moment, c’est un pavé de texte, et il est difficile pour les utilisateurs (et les devs peu motivés) d’identifier les points principaux. 20:17:45 <dg> C’est difficile de le classer aussi. 20:17:47 <dg> Comprendre l’urgence, etc. 20:18:03 <str4d> Et sans véritable modélisation des risques, on ne sait pas vraiment si on se concentre sur les bons aspects. 20:18:13 <psi> Ce serait bien d’avoir d’abord une version courte du modèle de menace et de construire à partir de là 20:18:23 <str4d> dg : exactement. 20:18:59 <str4d> J’ai fait quelques recherches, et https://www.owasp.org/index.php/Threat_Risk_Modeling propose une bonne « structure » de modélisation des risques de menaces, utilisée par ex. par Cryptocat pour leur modèle de menace. 20:19:04 <iRelay> Title: Threat Risk Modeling - OWASP (sur www.owasp.org) 20:19:53 <str4d> Le schéma DREAD qu’ils décrivent n’est pas complètement efficace pour identifier le risque correctement, d’après un retour mentionné dans un post ultérieur par le concepteur du modèle - https://blogs.msdn.com/b/david_leblanc/archive/2007/08/13/dreadful.aspx 20:20:49 <str4d> Je propose qu’on utilise le modèle DREAD modifié qu’il donne dans l’article ci-dessus, pour modéliser la sévérité et la priorité de nos vecteurs d’attaque. 20:20:50 <str4d> À discuter ! 20:21:13 <dg> Laissez-moi un peu de temps pour passer les modèles en revue ? :) 20:21:40 <str4d> dg : tu étais censé le faire déjà, j’y ai mis le lien dans le post du forum... 20:21:44 <str4d> :P 20:21:50 <dg> désolé 20:22:24 <str4d> (mais je n’ai en fait pas demandé aux gens de le faire, mea culpa) 20:23:08 <str4d> DREAD tl;dr - ils classent une menace sur cinq échelles de 1 à 10, additionnent les résultats et divisent par 5. 20:23:12 <str4d> Dommages potentiels 20:23:29 <str4d> Reproductibilité 20:23:29 <str4d> Exploitabilité 20:23:29 <str4d> Utilisateurs affectés 20:23:30 <str4d> Découvrabilité 20:24:12 <str4d> DREAD modifié tl;dr - mêmes cinq paramètres, mais une échelle 1–3 (faible, moyen, élevé) et un calcul « pondéré ». 20:25:09 <dg> Je lui jette un coup d’œil rapide ; je ne connais pas évidemment tous les détails mais tout système structuré est mieux. 20:25:18 <str4d> Le modèle DREAD modifié me paraît plus sensé que l’original. 20:26:06 <dg> J’ai beaucoup de respect pour l’OWASP aussi. :P 20:26:10 <str4d> « Si on regarde les cinq composants, on voit qu’aucun n’est fortement corrélé — l’un n’implique pas l’autre. Cela signifie que nous avons des facteurs indépendants, ce qui est l’un des critères les plus forts pour un modèle solide. Notre tâche est donc de déterminer comment pondérer correctement les entrées. Dans WSC, nous vous avons dit de les noter de 1 à 10, de les additionner, et de diviser par 5. Si l’on fait quelques tests évidents, on constate qu’un dommage de 1, et tous les autres facteurs à 10 (une nuisance bien connue 20:26:10 <str4d> , p. ex., des pop-ups) obtient le même poids qu’une découvrabilité de 1 et tout le reste à 10 (difficile à cerner, mais provoque la mort thermique de l’univers). C’est une anomalie évidente. » 20:27:10 <str4d> dg : moi aussi. Ils ont beaucoup d’autres modèles et docs potentiellement utiles là-bas. 20:27:31 <str4d> Quelqu’un d’autre a des commentaires ? 20:29:50 <str4d> Si personne n’a de commentaires pour l’instant, on passe au sujet suivant pendant que vous y réfléchissez. 20:30:05 <psi> pas de commentaires 20:31:03 <str4d> 1b) Discuter du modèle de menace (et le mettre à jour si besoin). 20:31:17 <str4d> http://vekw35szhzysfq7cwsly37coegsnb4rrsggy5k4wtasa6c34gy5a.b32.i2p/en/docs/how/threat-model 20:31:18 * psi commence à survoler le modèle de menace 20:31:39 <iRelay> Title: I2P's Threat Model - I2P (sur vekw35szhzysfq7cwsly37coegsnb4rrsggy5k4wtasa6c34gy5a.b32.i2p) 20:31:47 <dg> Je vois une notation ? 20:31:50 <dg> C’est nouveau ? 20:32:04 <str4d> dg : j’ai ajouté le système DREAD modifié. 20:32:12 <str4d> (en anticipant que personne n’aurait d’objection) 20:32:31 <str4d> (mais pas en anticipant qu’il n’y aurait aucun commentaire :-P ) 20:32:53 <str4d> Les notes sont invalides. 20:33:03 <dg> Ça ne semble pas correspondre— 20:33:05 <dg> ouais 20:33:09 <str4d> (c’est ce que je veux changer pendant cette réunion) 20:33:25 <str4d> Pendant qu’on discute du modèle de menace lui-même, pensez à des notations possibles (pour le sujet suivant) 20:33:28 <dg> Le design a l’air bon, donc avec de vraies valeurs, ça me plairait. On devrait aussi ordonner par niveau de sévérité. 20:34:48 <str4d> Notre page du modèle de menace ne suit pas la mise en page « standard » d’un modèle de menace (par ex. la page OWASP) 20:35:04 <str4d> Identifier les objectifs de sécurité 20:35:05 <str4d> Passer l’application en revue 20:35:05 <str4d> La décomposer 20:35:05 <str4d> Identifier les menaces 20:35:05 <str4d> Identifier les vulnérabilités 20:35:08 <psi> on va discuter des valeurs de ces notes maintenant... ou plus tard ? 20:35:50 <str4d> psi : sujet suivant. Là, on discute du modèle de menace lui-même — on ne peut pas noter des menaces si elles ne sont pas à jour. 20:35:58 <psi> d’accord 20:36:17 <str4d> (Et pour info la réunion se terminera à 22h00 UTC) 20:36:29 <str4d> (Au moins, moi je partirai à ce moment-là) 20:37:18 <str4d> La page du modèle de menace n’identifie pas clairement nos objectifs de sécurité. 20:37:21 <dg> Ils sont où, tous ? 20:37:29 <dg> On ne peut pas avancer à 3. 20:37:54 <str4d> topiltzin, hottuna, zzz, welterde, kytv: ping 20:37:55 <zzz> « Formaliser » le modèle, ce n’est pas juste noter chaque élément 20:37:56 <equinox> Je pense que ça vaut la peine de considérer les méthodes décrites dans les articles du Guardian d’aujourd’hui. La NSA a essayé de cibler le processus de dev 20:38:16 <str4d> zzz : je sais, mais il faut bien commencer quelque part. 20:38:18 <zzz> en particulier, la principale objection à notre modèle est qu’on ne précise pas clairement ce qui est inclus et ce qui ne l’est pas 20:38:40 <dg> Ce qui nous affecte et ce qui ne nous affecte pas ? 20:38:43 <zzz> c’est une étape qui devrait arriver avant la notation, si on veut répondre aux critiques 20:39:23 <str4d> zzz : c’est ce qu’on fait maintenant. 20:39:23 <str4d> <str4d> La page du modèle de menace n’identifie pas clairement nos objectifs de sécurité. 20:39:29 <zzz> le point majeur d’un modèle de menace est de spécifier ce qui N’y est PAS, p. ex. la NSA. Les projets l’utilisent pour agiter la main et dire « pas notre problème, pas dans notre modèle de menace » 20:39:44 <zzz> on ne l’a pas fait. 20:40:07 <idog98@freenode> . 20:40:10 <str4d> D’accord. Alors faisons-le. 20:40:29 <zzz> Si on fait un modèle formel et qu’on omet la NSA, on peut alors arrêter de travailler sur l’obfuscation de protocole, et peut-être même sur un chiffrement plus fort. 20:40:42 <zzz> ou, on pourrait appeler ça une esquive. 20:41:18 <dg> D’emblée, il est clair que Tor ne peut pas te sauver d’un GPA (Global Passive Adversary). Est-ce qu’on rend ceci et d’autres mises en garde explicites ? 20:41:26 <dg> et est-ce qu’on protège contre la NSA ? 20:41:59 <str4d> Les adversaires globaux (qui peuvent surveiller l’intégralité d’Internet) sont exclus par nature du design du routage en oignon. 20:42:18 <str4d> La NSA, aussi grosse soit-elle, n’est pas un adversaire global. 20:42:37 <psi> la NSA telle qu’elle est a tout de même une portée très étendue 20:42:38 <zzz> La majeure partie du modèle actuel est aspirationnelle, car nous sommes trop petits pour contrer de façon réaliste beaucoup d’éléments pour l’instant 20:42:50 <dg> Est-ce qu’on protégerait contre un GPA avec certaines choses de notre feuille de route ? ;) 20:42:52 <equinox> str4d : peut-être, mais ils collaborent avec d’autres 20:43:01 <zzz> la terminologie traditionnelle est « adversaire de niveau État », par ex. la NSA 20:43:03 <orion> GPA ? 20:43:11 <str4d> equinox : probablement. 20:43:13 <str4d> zzz : merci. 20:43:18 <dg> Global Passive Adversary (adversaire global passif) 20:43:56 <zzz> donc si tu veux faire un modèle strict et exclure le niveau État, et l’utiliser pour guider le dev, alors ça nous dirait par ex. de ne pas travailler sur l’obfuscation 20:44:47 <orion> C’est déjà assez difficile de maintenir l’anonymat, sans parler de faire de l’obfuscation. 20:45:43 <zzz> les critiques adorent les modèles de menace formels... en avoir un ne fait-il que donner du grain à moudre aux trolls, ou est-ce que ça nous aiderait vraiment à promouvoir et à développer ? 20:45:53 <str4d> On a toujours dit qu’I2P ne fait pas d’obfuscation (mais pas explicitement dans le modèle de menace) 20:46:19 <str4d> C’est un point valable. 20:46:28 <Mathiasdm> un modèle de menace aide à garder le focus 20:46:34 <dg> Les trolls ont déjà assez pour troller s’ils le veulent. Qu’ils aillent se faire foutre. 20:46:41 <Mathiasdm> les trolls sont toujours là, je n’en tiendrais pas compte 20:46:43 <Mathiasdm> (désolé d’intervenir) 20:46:51 <str4d> Mon objectif avec cette réunion n’était pas d’avoir un modèle de menace strict qu’on doive absolument suivre à la lettre. 20:47:02 <str4d> Même si on le voulait, ce ne serait pas possible en une seule réunion. 20:47:25 <dg> Pas de problème. Ravi de te voir, Mathiasdm. 20:47:28 <dg> Un modèle de menace formel nous aide aussi à définir contre quoi on essaie de protéger 20:47:37 <dg> Je suis là depuis presque un an et je ne suis toujours pas sûr exactement de quoi. 20:47:40 <str4d> La page du site qu’on appelle le « modèle de menace » est un énorme WoT et difficile à grep. C’est vraiment ça que je veux corriger. 20:48:20 <str4d> Je veux que les utilisateurs puissent la regarder et comprendre rapidement ce qu’on essaie de faire. 20:48:50 <equinox> Nous savons que les agences d’État et les acteurs au nom de l’État ne feront qu’augmenter leur champ d’action avec le temps (s’ils ne sont pas freinés). Je pense qu’il vaut mieux planifier cette éventualité plutôt que réagir à elle. 20:49:16 <str4d> Parce que la désinformation et les malentendus sont un problème pour I2P depuis longtemps. 20:50:28 <zzz> Je pense que la page est plutôt bonne. Mais elle a peut-être besoin d’une autre page qui en fasse le résumé. 20:51:12 <str4d> La modélisation des risques de menaces (avec DREAD) est quelque chose de facile à faire, et facile à retirer si l’on décide que ça ne nous donne pas d’info valable. 20:51:57 <str4d> zzz : elle est bien pour quelqu’un qui est prêt à prendre le temps de la lire. Elle n’est pas adaptée aux survols. 20:52:36 <str4d> Comme le post que j’ai lié ci-dessus le dit : « Attention ! N’APPLIQUEZ PAS ce système, ni aucun autre, sans y RÉFLÉCHIR. Ce système peut ou non vous aider à arriver à la bonne conclusion, et s’il ne le fait pas, considérez qu’il vaut ce que vous l’avez payé, c’est-à-dire zéro. » 20:53:26 <zzz> imho vous avez 3 objectifs orthogonaux pour la page unique : 1) simplifier pour le grand public, 2) formaliser, et 3) faire de la modélisation des risques 20:54:38 <str4d> 1) et 3) sont liés — avoir des notes permet au grand public de survoler, de trouver celles « importantes » pour eux, et de lire. 20:54:49 <str4d> Mais je reconnais que 2) est orthogonal (et aussi lié à 3) ) 20:56:04 <str4d> Si avoir un modèle de menace formel devient un blocage pour d’autres choses, alors il faudra le poursuivre. Mais quand j’ai dit « formaliser » à l’origine, j’aurais dû dire « clarifier ». 20:57:43 <str4d> Sondage rapide : est-ce que quelqu’un ici pense que passer en revue et appliquer DREAD aux vecteurs d’attaque sur notre page « modèle de menace » est utile ou une bonne idée ? 20:58:28 <str4d> Si oui, passons au sujet suivant et faisons-le, puis on pourra discuter du résultat. Si non, oublions et passons à autre chose. 20:58:44 <topiltzin> oui-du-moment-que-c’est-quelqu’un-d’autre-qui-le-fait 20:58:46 <dg> Quelle est l’alternative ? 20:59:09 <dg> hahaha 20:59:21 <topiltzin> en étant honnête :) 20:59:37 <dg> ou déprimant. :) 21:02:00 <hottuna> Ce n’est pas une mauvaise idée mais je ne suis pas sûr que ce soit la solution ultime pour le modèle de menace. 21:02:06 <psi> hmm <str4d> hottuna : Je n’ai pas l’intention que ce soit ça, mais je pense que c’est une étape utile. Et personne d’autre ne suggérait ou ne faisait quoi que ce soit :-P <psi> ça dépend s’il y a plus de monde pour aider <psi> si c’est juste 1 personne, pas question <psi> s’il y a des collaborateurs, éventuellement <str4d> psi : Je voulais le faire pendant la réunion maintenant, tant qu’on était plus d’une personne. <zzz> « formaliser » est important pour certains — OpenITP, critiques, relecteurs, auditeurs, financeurs, autres dans notre domaine, etc. <hottuna> est-ce que ce serait vraiment suffisant et suffisamment structuré pour juste le faire maintenant dans cette réunion ? <hottuna> je ne connais pas très bien tout le processus DREAD toutefois. <str4d> hottuna : on passe chaque vecteur d’attaque en revue, et on note les cinq catégories en faible, moyen ou élevé. C’est tout. <psi> je ne suis pas familier avec DREAD non plus <str4d> Je l’ai choisi parce qu’il est très simple à appliquer. <psi> ah <str4d> (Les cinq catégories que j’ai décrites juste au-dessus de l’index sur la page du modèle de menace) <psi> essayons-en un en exemple <hottuna> chaque vecteur d’attaque connu ? <hottuna> psi, bien sûr <str4d> J’ai intentionnellement tout fait à l’avance pour simplifier parce que je savais que ce serait dur d’obtenir un accord de quelqu’un ici pour le faire :P <str4d> D’accord, « timing attacks » <hottuna> sûr. <str4d> Dommages potentiels : Si une menace est exploitée, combien de dommages seront causés ? <str4d> Si elle est utilisée pour identifier un utilisateur, alors cet utilisateur est désanonymisé -> élevé ? <hottuna> des exploits statistiques basés sur le timing et la taille des paquets ont été employés contre Tor pour découvrir avec succès quel site était visité <hottuna> avec des taux de succès très élevés (~90% si je me souviens bien) <str4d> (utilisez p. ex. https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD pour avoir une idée des échelles - il y a déjà trois niveaux décrits) <str4d> Fiabilité : Quelle est la fiabilité de l’attaque ? — faible ? moyenne ? Elle dépend généralement de la charge du réseau. 21:12:28 <psi> chronométrer quoi exactement ? 21:13:26 <hottuna> n’importe quoi en général ? 21:14:11 <psi> d’accord 21:14:27 <hottuna> Je ne sais pas. 21:14:47 <hottuna> Mais les descriptions semblent orientées message. 21:14:52 <str4d> (utilisez p. ex. https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD pour avoir une idée des échelles - il y a déjà trois niveaux décrits) 21:14:54 <iRelay> Title: Threat Risk Modeling - OWASP (sur www.owasp.org) 21:14:56 <str4d> Fiabilité : Quelle est la fiabilité de l’attaque ? — faible ? moyenne ? Elle dépend généralement de la charge du réseau. 21:15:33 <str4d> psi : c’est un bon point — la section « Timing attacks » devrait probablement être scindée en attaques sur la livraison des messages et attaques sur le contenu des messages 21:15:36 <hottuna> dommages potentiels : 5 ? 21:15:51 <str4d> Supposons la livraison des messages pour l’instant. 21:15:55 <psi> « Destruction complète du système ou des données » veut dire que la machine explose, j’imagine ? 21:16:08 <hottuna> pour la fiabilité, les modèles statistiques se sont avérés fiables dans le cas de Tor.. 21:18:00 <str4d> hottuna : nous utilisons une échelle 1–3 21:19:08 <str4d> l’échelle 1–10 décrite dans l’OWASP est plus difficile à justifier. 21:19:08 <str4d> « Quelle est la différence entre une découvrabilité de 6 et de 7 ? Qui diable le sait ? » 21:19:08 <str4d> Utilisez l’échelle OWASP comme indicateur de comment assigner faible/moyen/élevé 21:19:11 <str4d> psi : Dans notre cas, je dirais que « élevé » est la corrélation complète entre un utilisateur particulier et son activité. 21:19:13 <psi> pour le timing je dirais 5 ou 6 21:19:13 <psi> (pour les dommages) 21:19:14 <str4d> (pour les dommages) 21:19:17 <str4d> https://blogs.msdn.com/b/david_leblanc/archive/2007/08/13/dreadful.aspx explique peut-être mieux les catégories. 21:20:00 <psi> je vois 21:20:16 <hottuna> mais le dommage serait la révélation d’une certaine information, ce qui peut être mauvais.. théoriquement cela pourrait révéler que je fais tourner une certaine application ou que je parle à une certaine destination 21:20:20 <hottuna> c’est un 5–6 ? 21:20:34 <str4d> Exploitabilité : De quoi a-t-on besoin pour exploiter cette menace ? — moyen ? L’attaquant doit surveiller plusieurs emplacements le long du chemin possible. 21:20:36 <str4d> faible ? 21:20:49 <psi> ça dépend de l’attaquant 21:20:55 <psi> et ça dépend aussi de la taille du réseau 21:21:34 <str4d> L’exploitabilité, ce sont les prérequis avant de lancer l’attaque. La fiabilité, c’est à quel point elle marche une fois déclenchée. 21:21:48 <psi> ah 21:21:49 <str4d> psi : oui, donc ces notations évolueront avec le temps. 21:22:05 <str4d> (Et c’est un exemple d’une limite du modèle, et un gros défaut du DREAD original) 21:22:06 <psi> l’exploitabilité serait moyenne 21:22:18 <str4d> L’exploitabilité n’est utilisée que pour calculer la priorité, pas la sévérité. 21:22:25 <psi> faire simplement tourner un i2p router standard ne suffirait pas 21:22:54 <str4d> psi : exact, donc pas élevé. 21:23:15 <str4d> Mais pas faible car ça ne nécessite pas de puissance de calcul avancée etc. 21:23:20 <str4d> Utilisateurs affectés : Combien d’utilisateurs seront affectés ? 21:23:27 <hottuna> Il faudrait faire partie d’un tunnel, puis simplement regarder le profil des messages. Si tu es l’ibgw d’un service, tu pourrais peut-être isoler quelques utilisateurs des autres. Ou au moins les regrouper en différents groupes d’utilisateurs 21:23:40 <hottuna> into* 21:24:23 <psi> moyen est peut-être un peu trop pour l’exploitabilité 21:24:29 <psi> bit* 21:24:36 <psi> moyen-faible 21:24:40 <hottuna> dans le cas ibg, je dirais que c’est assez facile, mais tu n’obtiendrais pas énormément d’informations 21:24:45 <hottuna> ibgw* 21:25:06 <str4d> psi : moyen ou faible. Ça n’affectera que le score de priorité. 21:25:48 <hottuna> Pour ce qui est de l’exploitabilité, je pense que c’est très faisable. Surtout comparé à d’autres exploits. 21:25:55 <str4d> Découvrabilité : À quel point est-il facile de découvrir cette menace ? — moyen ? Cela requiert au moins une certaine connaissance du fonctionnement d’I2P. 21:25:59 <psi> hottuna : d’accord 21:26:10 <str4d> « Quelque chose de très découvrable est public, ou très semblable à quelque chose de public. Une faible découvrabilité signifie qu’il faut une connaissance intime du fonctionnement interne de votre appli pour la déceler. » 21:26:22 <psi> moyen 21:26:51 <hottuna> On ne saurait jamais qu’il y a attaque puisqu’elle est passive 21:26:55 <str4d> hottuna : exactement. La classification dépend en partie de ce qui est choisi pour d’autres attaques. Tout est relatif. 21:27:26 <hottuna> str4d, tu notes une sorte de valeur en fonction de ce qui se dit ? 21:27:44 <str4d> hottuna : oui. 21:29:02 <hottuna> bien. 21:29:02 <hottuna> D : faible 21:29:19 <psi> hmm 21:29:29 <hottuna> Utilisateurs affectés : Élevé (tous ceux qui font effectivement quelque chose) 21:29:37 <str4d> Voici ce sur quoi je pense qu’on s’est mis d’accord, et ce que ça calcule : 21:29:37 <str4d> Dommages potentiels : moyen 21:29:37 <str4d> Fiabilité : moyen 21:29:37 <str4d> Exploitabilité : moyen 21:29:51 <str4d> Utilisateurs affectés : élevé 21:29:52 <str4d> Découvrabilité : moyen 21:29:53 <str4d> Sévérité : 4/5 21:29:54 <str4d> Priorité : 5/9 21:30:23 <psi> les attaques de timing sont assez mauvaises mais elles ne semblent pas pratiques 21:30:29 <psi> du moins, pour le moment 21:30:41 <str4d> Ça vous semble un résultat sensé ? Les niveaux que j’ai mis sont-ils bien ce qu’on a décidé ? 21:30:58 <hottuna> Je ne suis pas d’accord avec la découvrabilité. 21:31:01 <str4d> Et on devrait faire au moins un autre vecteur d’attaque, pour voir comment cela les compare. 21:31:09 <hottuna> Un nœud qui journalise passivement ne serait jamais découvert. 21:31:17 <str4d> hottuna : tu penses que ça devrait être élevé ? 21:31:17 <hottuna> Bien sûr. 21:31:29 <str4d> hottuna : mauvaise « découvrabilité ». 21:31:47 <hottuna> quoi que « indétectable » traduise 21:31:53 <str4d> C’est un modèle défensif. Il s’agit de la découvrabilité de la vulnérabilité par l’attaquant. 21:32:00 <psi> les ressources utilisées pour lancer une attaque seraient plutôt évidentes à moins qu’ils n’aient pwn toutes les machines 21:32:12 <hottuna> oh. Je vois. 21:32:18 <dg> Les attaques de timing sont spécifiques et peut-être pas si applicables à nous de toute façon.. 21:32:25 <hottuna> Oh, dans ce cas je suis d’accord. 21:33:28 <psi> faire une attaque de timing nécessiterait soit une vue d’ensemble, soit la possession de nombreux nœuds (combien ? je ne sais pas) 21:33:38 <str4d> La sévérité, c’est à quel point l’attaque est grave, la priorité c’est l’ordre auquel il pense qu’on devrait se concentrer. 21:33:55 <dg> Oh. 21:33:55 <psi> pas sûr qu’une vue d’ensemble suffirait non plus 21:33:57 <dg> Oui, 4/5. 21:34:10 <str4d> Laissons cette classification pour l’instant, et faisons-en une autre pour comparaison. 21:34:30 <psi> en y réfléchissant, 4/5 SI ils peuvent faire des attaques de timing alors pratiquement tout ce qui est à faible latence est affect 21:34:33 <psi> affected* 21:34:54 <psi> priorité... pas sûr que 5/9 soit approprié 21:35:15 <str4d> Les « attaques de marquage » devraient être faciles à classer. 21:35:32 <str4d> psi : on ne saura pas ce que signifie la priorité tant qu’on n’en aura pas classé davantage. La classification est un processus itératif. 21:35:38 <psi> d’accord 21:35:48 <str4d> Donc, attaques de marquage. 21:36:15 <psi> marquer des messages ? marquer des routers ? 21:36:48 <str4d> Messages 21:36:59 <str4d> (en quelque sorte) 21:37:07 <str4d> Déterminer quel chemin suit un message. 21:37:17 <str4d> Dommages potentiels : moyen ? 21:37:30 <psi> moyen, d’accord 21:37:38 <psi> faible d’une certaine manière 21:37:43 <hottuna> Dommages potentiels : faible 21:37:47 <hottuna> faible-moyen 21:37:58 <str4d> Le marquage (si possible) ne va révéler des infos que dans un tunnel particulier. 21:37:58 <psi> ça dépend de la situation 21:38:01 <str4d> Fiabilité : faible. 21:38:01 <psi> ouais 21:38:08 <str4d> Ou... 21:38:10 <str4d> Hmm. 21:38:41 <psi> à quelle échelle mesurerait-on le marquage ? 21:38:58 <hottuna> s’ils étaient utilisés dans une situation où ils pourraient identifier les participants au tunnel, ils marcheraient à chaque fois, non ? 21:39:00 <str4d> L’exploitabilité et la découvrabilité sont faibles — il devrait être impossible de marquer les messages eux-mêmes, et la collusion exige un placement exact des routers. 21:39:20 <hottuna> E : faible 21:39:21 <str4d> psi : un message allant entre deux extrémités (un client ou un serveur). 21:39:23 <hottuna> D : faible 21:39:39 <psi> je suis d’accord : FAIBLE 21:39:45 <psi> E et D 21:39:50 <str4d> hottuna : exactement. Si une attaque de marquage était découverte, elle fonctionnerait à chaque fois. 21:40:13 <hottuna> donc, R : élevé ? 21:40:21 <str4d> Mais une telle découverte devrait être impossible parce que tout est signé. 21:40:51 <str4d> Mais ça dépend de l’attaque de marquage. 21:40:56 <str4d> Marquage de messages : élevé. 21:40:57 <psi> s’ils ont tes clés alors ils peuvent signer aussi 21:41:06 <str4d> Marquage par collusion : moyen. 21:41:07 <hottuna> str4d, bien sûr, mais la découvrabilité est une autre métrique 21:41:13 * str4d dit élevé pour l’instant. 21:41:28 * hottuna est satisfait 21:41:44 <str4d> Utilisateurs affectés : seuls les utilisateurs avec des nœuds malveillants dans leurs tunnels sont affectés. 21:42:02 <psi> faible 21:42:16 <hottuna> A : très probablement faible 21:42:26 <str4d> D’accord : 21:42:26 <str4d> Dommages potentiels : faible 21:42:27 <str4d> Fiabilité : élevé 21:42:27 <str4d> Exploitabilité : faible 21:42:27 <str4d> Utilisateurs affectés : faible 21:42:27 <str4d> Découvrabilité : faible 21:42:28 <str4d> Sévérité : 2/5 21:42:29 <str4d> Priorité : 2/9 21:42:52 <hottuna> ça a l’air bien 21:42:59 <psi> ça semble bien 21:43:22 <str4d> ça fait bien l’affaire 21:43:57 <hottuna> on passe à une menace réelle ? 21:44:28 <str4d> On balaie rapidement les sujets restants de la réunion, puis on revient à ça ? 21:44:37 <hottuna> ok 21:44:56 * str4d retire 4) Discussion sur la doc, ça prendrait trop longtemps. 21:45:12 <str4d> 2) Refonte du site web — vérifier en préparation du lancement. 21:45:35 <psi> la refonte du site c’est appliquer un meilleur CSS ou il y a plus ? 21:45:48 <str4d> À part ce processus de classification (ou retirer les classifications), qu’est-ce qu’il reste à faire avant que welterde « lance » la refonte du site ? 21:46:12 <hottuna> Je ne sais pas. 21:46:21 <str4d> un CSS « meilleur », mais aussi beaucoup de changements structurels et de mise en page. 21:46:32 <str4d> Je pense que, structurellement, tout est prêt. 21:46:50 <hottuna> Le processus de mise à jour des traductions est automatique à quel point ? 21:46:50 <str4d> Complètement. 21:47:06 <hottuna> À quelle fréquence ? 21:47:28 <str4d> Chaque fois que je le mets à jour. 21:47:45 <hottuna> Ok. 21:47:48 <str4d> Jusqu’ici, chaque fois que je vois des changements de chaînes je lance les scripts pour extraire et mettre à jour les chaînes de traduction. 21:47:50 <psi> je dois filer je reviens dans 30 minutes 21:47:56 <hottuna> Je suppose que c’est suffisant. 21:48:01 * str4d sera parti d’ici là. 21:48:30 <str4d> psi : tu es le bienvenu pour continuer la discussion DREAD alors :) 21:48:44 <hottuna> oh, str4d : le gros bouton de téléchargement sur la page d’accueil ne semble pas se mettre automatiquement à jour vers la dernière version 21:48:45 <str4d> Il y a des problèmes CSS connus dans IE 7 et 8 si je me souviens bien 21:49:00 <str4d> hottuna : c’est un autre bug dont je dois parler avec welterde. 21:49:09 <hottuna> ok. bien. 21:49:25 <str4d> Chaque fois qu’un fichier .py change, un script est censé redémarrer le serveur (et à chaque changement de traductions, il les recompile) 21:49:49 <str4d> Mais pour une raison quelconque, les changements des fichiers .py ne sont pas détectés sur le serveur de welterde... 21:49:49 <str4d> (Avant, oui) 21:50:24 <str4d> D’accord, s’il n’y a rien d’autre, alors je 21:50:43 <str4d> suis satisfait de la refonte et, une fois le bug .py corrigé, on peut la mettre en ligne. 21:50:52 <hottuna> Très bien ! 21:51:11 <str4d> (Le CSS IE 7/8 sera atténué quand j’en aurai l’occasion, mais je ne considère pas ça comme bloquant) 21:51:23 <hottuna> Ça paraît raisonnable. 21:51:42 <str4d> « en ligne » == welterde la mettra en ligne sur https://geti2p.net (l’URL qu’on a décidée il y a plusieurs réunions), mais laissera www.i2p2.de tel quel. 21:51:52 <iRelay> Title: I2P Anonymous Network - I2P (sur geti2p.net) 21:52:00 <hottuna> Pourquoi i2p2.de sera laissé tel quel ? 21:52:03 <str4d> Ensuite je lancerai des tests, vérifierai que Google etc. en sont contents. 21:52:30 <str4d> hottuna : au cas où quelque chose de catastrophique arriverait et qu’on doive revenir en arrière. 21:52:42 <hottuna> ok, donc c’est juste temporaire 21:52:51 <str4d> Ce n’est que lorsque tout aura été absolument vérifié et prêt que nous ferons une redirection 301 de i2p2.de vers geti2p.net 21:53:15 <hottuna> ça a du sens 21:53:23 <str4d> Parce que 301 est un déplacement permanent, et amènera les moteurs de recherche à mettre à jour leurs liens. 21:54:08 <str4d> Le code de redirection hérité utilise pour l’instant des redirections 302, mais sera changé en 301 une fois que tout sera en place (pour que nous ne perdions pas de pagerank à partir des anciens liens) 21:54:28 <str4d> D’accord, on continue : 21:54:28 <str4d> 3) Feuille de route. 21:54:42 <str4d> hottuna : à toi. 21:55:44 <str4d> Vous avez environ dix minutes de mon temps (peut-être plus pour ceux qui sont encore là) 21:55:45 <hottuna> feuille de route ? Tout ce que je sais, c’est que j’ai un peu plus de temps ces derniers temps, et que je me remets à regarder le code DHT. Surtout le code de gestion des réponses. 21:56:08 <hottuna> Je n’ai pas vraiment autre chose à ajouter. 21:56:48 <str4d> La feuille de route actuelle pour 0.9 : 21:56:48 <str4d> Inclure quelques données de seed dans la distribution pour qu’un emplacement de reseed central ne soit pas requis ? 21:56:48 <str4d> Cartographie de la joignabilité / gérer les pairs partiellement joignables / routes restreintes améliorées 21:56:49 <str4d> Améliorer les pages d’aide et le site web 21:56:49 <str4d> Plus de traductions 21:56:56 <str4d> message de déconnexion SSU 21:56:57 <str4d> recherches floodfill itératives 21:57:13 <str4d> Je n’ai aucune idée d’où on en est sur certains points, ni de quand cela a été mis à jour pour la dernière fois. 21:57:54 <hottuna> Les recherches floodfill sont itératives d’après ce que j’en comprends. 21:57:59 <str4d> 1.0 – 3.0 ont été mis à jour pour la dernière fois en 2008. 21:58:14 <str4d> 0.9 a été ajoutée en 2010. 21:58:14 <dg> les routes restreintes sont peu probables 21:58:37 <hottuna> Je vais devoir partir dans une minute ou deux 21:58:42 <str4d> Je pense qu’une évaluation correcte de la feuille de route nécessite une autre réunion, avec plus de participation. 21:59:01 <hottuna> D’accord. 21:59:14 <str4d> content d’entendre que tu te remets au code DHT. 21:59:29 <str4d> Reporté à plus tard. 21:59:33 <hottuna> Et le modèle de menace proprement dit devrait être pris en charge. 21:59:43 <str4d> D’accord. 21:59:47 <hottuna> Pourrait-on avoir une longue réunion la prochaine fois pour cela ? 22:00:35 <str4d> hottuna : J’espérais que 2 heures suffiraient, mais on a passé au moins une heure à débattre de savoir si ça valait la peine de le faire >_< 22:00:36 <hottuna> Je dois partir, mais merci pour la réunion str4d. Tu es un naturel ! 22:01:19 <str4d> On n’a pas le temps de revenir à 1c), donc : 22:01:23 <str4d> str4d *baf* clôt la réunion