Journal PrivateBin sécurise vos partages de texte en version 1.1

Posté par  (site web personnel) . Licence CC By‑SA.
17
26
déc.
2016
Ce journal a été promu en dépêche : PrivateBin sécurise vos partages de texte en version 1.1.

PrivateBin est un service libre de pastebin, qui permet d'héberger et de partager des données textuelles. Sont supportés le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d'en reparler, voyons un peu ce qu'est PrivateBin et quelles en sont les fonctionnalités-clefs.

Logo PrivateBin

Un panier sécurisé pour vos partages de texte

Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l'accent sur la sécurité des données. L'hébergeur n'ayant pas accès à la clef pour déchiffrer le contenu, Privatebin est ce que l'on appelle communément − et par abus de langage − un service de type « Zero Knowledge ».

Lorsqu'on crée un document, le navigateur compresse puis chiffre les données avant de les transmettre au serveur, et se garde bien de lui envoyer la clef. Le serveur renvoie alors au navigateur l'identifiant du document chiffré créé, ce qui permet à ce dernier en retour de générer une URL de la forme https://SERVEUR/?DOCUMENT#CLEF.

Chiffrement avant upload

Pour retrouver et déchiffrer le document, il nous faut donc entrer l'adresse complète. Par exemple, https://paste.unixcorn.org/?84ae3a39a305d229#1aV00MLZfFe125TO05dJve6je6fIMy0JeBHpGTbaLnA=. Dans ce cas, le navigateur ne transmet au serveur que le début de l'URL, omettant l'identifieur de fragment (la partie après le #) qui contient la clef de déchiffrement.

Déchiffrement dans le navigateur

Au-delà de ça, PrivateBin offre la possibilité de protéger par mot de passe l'accès au contenu chiffré, ce qui offre une couche de protection supplémentaire dans le cas où l'adresse du document finit entre de mauvaises mains.

Alors est-ce vraiment 100% sécurisé ? Oui, et non. Comme expliqué sur la page d'accueil du projet, PrivateBin ne protège pas d'abus de la part des administrateur⋅ice⋅s gérant le service, qui pourraient − volontairement ou sous la menace − distribuer un bout de Javascript exposant les clefs des documents auxquels vous accédez. Mais ce problème n'est pas lié spécifiquement à PrivateBin ; c'est là le fléau des applications web et de l'exécution de code non-signé.

Quoi de neuf dans la version 1.1 ?

La version 1.1 de PrivateBin apporte relativement peu de changements visibles… pour les francophones ! Deux nouvelles langues ont été ajoutées dans cette version : il s'agit de l'italien et du russe.

Sous le capot, une faille de sécurité XSS a été corrigée, et des nouveaux headers HTTP viennent au renfort de la politique de sécurité des contenus (ou CSP, en Anglais). Cette dernière a été mise à jour pour éviter de divulguer l'adresse du document lorsque l'on clique sur un lien en son sein (via les headers "referrer").

Enfin, un Dockerfile a été ajouté pour permettre de déployer rapidement PrivateBin sur une infrastructure Docker.

Conclusion

PrivateBin est facile de prise en main et semble prendre la question de la sécurité des données au sérieux, même si le développement se passe sur la plateforme centralisée Github. C'est donc une alternative très sérieuse à Pastebin, Github Gist, et autres services non-libres et centralisés du même acabit.

Enfin, pour celles et ceux qui se demandent si on ne pourrait pas faire d'autres choses super intéressantes avec les technologies employées par PrivateBin, je vous conseille d'aller jeter un coup d'œil à Cryptpad, qui met en place − avec des blockchains au milieu − un service d'édition collaborative (pads) intégralement chiffré.

Site officiel
Flux ATOM (en anglais)
Liste des instances publiques PrivateBin
Contribuer au code

  • # Coquille à corriger

    Posté par  . Évalué à 1.

    Dernier paragraphe:
    … je vous conseille d'aler…
    Merci

  • # Zerobin

    Posté par  . Évalué à 0.

    Qui a entendu parlé de Zerobin qui fait la meme chose ?
    Vous en pensez quoi ?

    • [^] # Re: Zerobin

      Posté par  (site web personnel) . Évalué à 4.

      Né des cendres de Zerobin, …

      Juste comme ça.

      • [^] # Re: Zerobin

        Posté par  . Évalué à 1. Dernière modification le 27 décembre 2016 à 13:41.

        Ah oui effectivement, j'avais pas vu ça.
        Mais bon, passer d'un projet en PHP a un projet en Java, il a pas du reprendre beaucoup de cendres… qq concepts tout au plus…

        • [^] # Re: Zerobin

          Posté par  . Évalué à 3.

          Mais bon, passer d'un projet en PHP a un projet en Java, il a pas du reprendre beaucoup de cendres… qq concepts tout au plus…

          C'est du NodeJS, absolument pas du Java.
          Je suis surpris qu'il y ait encore des gens qui confondent Java et Javascript.

          • [^] # Re: Zerobin

            Posté par  . Évalué à 2.

            C'est pas du Node non plus :)

            Et je confonds pas Java et Javascript… c'est juste que j'étais persuadé que c'était vraiment fait en Java. Je sais pas pourquoi…

        • [^] # Re: Zerobin

          Posté par  (site web personnel) . Évalué à 3.

          Mais bon, passer d'un projet en PHP a un projet en Java, il a pas du reprendre beaucoup de cendres… qq concepts tout au plus…

          PrivateBin est toujours écrit en PHP. Seul le programme client qui chiffre/déchiffre les données est écrit en Javascript (ce qui est différent de Java), exactement comme dans Zerobin.

          Le code source est hébergé sur Github.

          • [^] # Re: Zerobin

            Posté par  . Évalué à 2.

            Toutes mes confuses, je me suis fié à mes souvenirs qui semblent sérieusement mauvais concernant ce projet. J'étais persuadé qu'il était en Java suite à mes recherches sur le sujet il y a qq mois. J'ai du confondre avec autre chose…

            Ca devient alors une magnifique solution de remplacement pour moi car j'utilise ZeroBin et je suis toujours inquiet quant à la qualité du code étant donné son abandon.
            Je vais upgrader immédiatement. Merci beaucoup pour ce journal

            • [^] # Re: Zerobin

              Posté par  (site web personnel) . Évalué à 0.

              j'utilise ZeroBin et je suis toujours inquiet quant à la qualité du code étant donné son abandon.

              Il y a un article sur le blog de PrivateBin dédié aux mesures prises suite à un − bref et incomplet − audit de Zerobin en 2014.

              Je vais upgrader immédiatement. Merci beaucoup pour ce journal

              Super nouvelle ! Si ton instance est publique, n'hésite pas à l'ajouter à la liste :-)

              • [^] # Re: Zerobin

                Posté par  . Évalué à 2.

                Super nouvelle ! Si ton instance est publique, n'hésite pas à l'ajouter à la liste :-)

                Non désolé, je la garde en mode privé exclusivement pour des échanges avec des clients…

        • [^] # Re: Zerobin

          Posté par  (site web personnel) . Évalué à 0.

          Java ? Non, cela reste du PHP

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.