Alerté par mon collègue Charly hier, le groupe hacktiviste Anonymous et le groupe Peoples Liberation Front semblent avoir décidé de proposer leur propre Pastebin ! En effet, le groupe désormais mondialement connu des Anonymous a créé un site de partage de données appelé AnonPaste, non pas destiné à recueillir des fichiers ou autre contenu, mais plutôt des portions de code et d’autres messages et ce, sans aucune modération évitant ainsi la censure de l’information affichée.
Pastebin devenu trop curieux ?
Ce nouveau site, accessible en cliquant sur ce lien, utilise un domaine .tk disponible gratuitement, et permet aux utilisateurs de fixer un délai d’expiration pour votre message.
Les Anonymous affirment que les données sont cryptées et décryptées dans votre navigateur en utilisant le chiffrement AES (Advanced Encryption Standard) de 256 bits, de sorte que le serveur ne voit pas toute l’information contenue dans le paste. Le site indique qu’il fonctionne à l’aide de dons sous la forme d’WePay ou BitCoins.
Les deux groupes semblent avoir lancé AnonPaste comme étant une alternative à Pastebin, l’un des sites de partage de code le plus populaire, qui lutte pour faire face à sa réputation de plus en plus vue comme un dépôt de codes malveillants ou de données volées. Récemment Pastebin a connu une énorme croissance de trafic, mais il est également confronté à des attaques DDOS croissantes.
Pour faire face à la croissance du trafic parfois illégal, Jeroen Vader, le propriétaire de Pastebin, a affirmé que le site allait occasionnellement filtrer les informations illégales qui sont collées sur ce dernier. Il a même indiqué la semaine dernière à la BBC que le site pouvait fournir les données stockées occasionnellement en cas de demande.
Selon le communiqué de presse publié le AnonPaste cette semaine, les revendications de Pastebin sont en grande partie la raison de la création de ce dernier !
AnonPaste est construit en utilisant un logiciel libre appelé ZeroBin, créé par le développeur français Sébastien Sauvage, qui a de l’expérience dans la création de systèmes d’authentification en ligne pour les banques françaises ! Autant vous dire qu’il doit connaître une chose ou deux sur le cryptage des données…
Comment ça marche ?
Si l’on en croit la page du projet de ZeroBin, lorsque vous collez un texte dans ZeroBin, et désormais sur AnonPaste, et que vous cliquez sur le bouton « Envoyer », un clé aléatoire de 256 bits est généré dans le navigateur. Ensuite, les données sont compressées et cryptées avec un chiffrage AES en utilisant des bibliothèques spécialisées JavaScript. Puis, ces données chiffrées sont envoyées au serveur et stockées. Une fois fait, le navigateur affiche l’URL finale avec la clé qui n’est jamais transmise au serveur, qui ne peut donc pas déchiffrer les données.
Pour mieux comprendre voici un schéma de ce processus :
Enfin, afin que vous puissiez récupérer le contenu du fichier au sein de votre navigateur, il suffit de cliquer sur le lien fourni, le navigateur requête les données chiffrées à partir du serveur, la clé de déchiffrement présente dans l’URL et qui n’est jamais envoyé au serveur est utilisée, permettant ainsi aux données d’être décryptées dans le navigateur !
C’est aussi simple que cela ! Si le système peut comme vous vous en doutez comporter de nombreux avantages, celui-ci contient également quelques inconvénients tels que :
- Ne fonctionnera pas si le JavaScript est désactivé ! (à quoi bon naviguer de nos jours sur le Web si on désactive le JS ?)
- Les utilisateurs font toujours confiance au serveur en ce qui concerne le respect de leur vie privée. D’ailleurs, ZeroBin indique clairement qu’il ne protège pas les utilisateurs contre les serveurs malveillants
- Ne protège pas contre les attaques Man-in-the-middle, qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis
- Affichage plus que détérioré au sein d’Internet Explorer… Mais qui s’en soucie ? 🙂
Quel avenir pour Pastebin ? et AnonPaste ?
Bien que Anonymous utilise désormais AnonPaste pour narguer Pastebin, Vader ne s’inquiète pas de la popularité de son propre site. Au contraire, il est plutôt ravi de voir ce système arriver lui évitant ainsi d’être contraint à devoir gérer les nombreuses attaques.
#Anonymous Hackers Launch AnonPaste | bit.ly/Ja28Lm | EHacker News Report | #Anonymous #AnonPaste #PLF #FuckPasteBin
— Anonymous Sweden (@AnonOpsSweden) Avril 19, 2012
Dans le communiqué de presse, les créateurs d’AnonPaste indiquent ne pas se soucier des données comme le rapporte TG Daily :
Paste services have become very popular, and many people want to post controversial material. This is especially so for those involved in Information Activism. We feel that it is essential that everyone, and especially those in the movement – have a safe and secure paste service that they can trust with their valuable and often politically sensitive material. As always, we believe in the radical notion that information should be free
En effet, sans la possibilité de supprimer des informations, les autorités pourraient faire valoir que le site constitue une menace à la vie privée et aux opérations institutionnelles…
Reste à savoir si AnonPaste va subir des DDOS et autres attaques qui pourraient menacer son fonctionnement et la philosophie d’AnonPaste d’être anonyme…
Que pensez-vous de cette initiative ? Est-ce une bonne chose ? N’est-il pas un peu prématuré de lancer ce projet alors que ZeroBin n’a pas reçu une batterie de tests bien spécifique ? Venez réagir…