Mylar : la plateforme conçue par le MIT pour sécuriser les applications web,
Que pensez-vous de cette approche ?

Le , par Stéphane le calme, Chroniqueur Actualités
Des chercheurs du MIT menés par Raluca Ada Popa, une chercheuse en intelligence artificielle, ont proposé Mylar, une nouvelle architecture web conçue pour développer des sites web sécurisés. A titre indicatif, Racula a participé à l'élaboration de la solution de base de données chiffrée CryptoDB, utilisée par SAP et Google.

Le mode actuel de sécurisation des données des applications web repose sur les serveurs pour le stockage et le traitement. Cependant, tout intrus capable de s'infiltrer dans le serveur peut accéder aux données non chiffrées. L'idée est donc de chiffrer les données dans le navigateur avant de les envoyer au serveur. Mylar garde les données chiffrées tout le temps, le déchiffrement ne sera effectué qu’une fois les données dans le navigateur de l’utilisateur.

« Cela n'a l'air de rien, mais vos données sont chiffrées en utilisant votre mot de passe dans le navigateur avant de migrer vers le serveur », précise Raluca Popa. Avec ce système, « si un gouvernement demande des données à un fournisseur de service ou un hébergeur, le serveur ne pourra pas fournir des informations non chiffrées »

Mylar a été conçu pour intégrer Meteor, une plateforme open source JavaScript pour construire des applications web. En utilisant le framework Meteor pour simplifier. La plateforme Mylar exécute le code dans le navigateur comme sur un serveur. Elle intègre un service qui permet d’effectuer une recherche par mots clé dans des données sécurisées sur le serveur sans avoir besoin de les déchiffrer. Ensuite, Mylar autorise le partage des clés et des données en toute sécurité. Enfin, Mylar s’assure de l’authenticité du code de l’application côté client même si le serveur est corrompu


Cette plateforme est testée en ce moment pour un site web sur les antécédents médicaux de certains patients à l'hôpital Newton-Wellesley à Boston. Les données médicales du patient sont déchiffrées uniquement par le médecin ou le patient. D’autres prototypes sont également en phase de test comme une messagerie en ligne ou encore un site de partage de photos. Pour montrer la facilité de développement, Raluca Popa estime que « 28 lignes de code sur 3659 ont été changées pour sécuriser l'application ». La plateforme sera présentée à la conférence Usenix, à Seattle, en avril prochain.

Source : MIT

Et vous ?

Que pensez-vous de cette approche ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 28/03/2014 à 8:43
c'est une manière de réduire les risques pas de les enlever completement
Avatar de Morksvard Morksvard - Nouveau Candidat au Club https://www.developpez.com
le 28/03/2014 à 11:49
Bonjour,

Projet qui semble sympa... </troll> Javascript 8..( </troll>

A mon humble avis, la NSA-GCHQ-DGSE-etc... pourra toujours tout casser, seulement si ce "coût" devient élévé par la généralisation de ce genre de techniques y compris pour aller sur lolcat.com, ils risquent bien d'être obligés de se concentrer seulement sur les suspects et non sur tout le monde. Bref de bien faire leur travail ("French Patriot Act" ou pas).

Pour information:

Extrait de l'Article D98-7

[...]
VI. - Pour répondre aux menaces ou aux atteintes à la sécurité des systèmes d'information des autorités publiques et des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense, l'opérateur prend les mesures utiles pour pouvoir répondre aux prescriptions de l'autorité nationale de défense des systèmes d'information.
[...]

http://www.legifrance.gouv.fr/affich...TI000025703459

Extrait de l'Article L1332-1

Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenues de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative.
[...]

http://www.legifrance.gouv.fr/affich...egorieLien=cid

Le pays des droits de quoi déjà?

Enjoy anyway
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 28/03/2014 à 14:26
la NSA par exemple s'infiltre même sur les PC alors où est l’échappatoire?

Si la NSA (ou un autre) met un virus sur votre PC, c'est pour écouter la connexion, ce qu'envois votre PC. Si j'ai bien compris, l'idée est de chiffré les données dans le navigateurs en javascript. Alors même en écoutant votre communication, la NSA ne saura pas ce que vous dites. Il faudrait corrompre le navigateur (ce qui n'est pas dur) et lire les données que chiffre votre navigateur en javascript ce qui dépends du site que vous regardez. C'est beaucoup plus dur.

Bref la sécurité total n'existe pas (ni dans le réel, ni dans le virtuel) mais plus c'est compliquer, plus ça coûte cher et même la NSA n'a pas les moyen de mettre un employé pour espionner chaque site/utilisateur, si c'est trop difficile a automatiser il seront gêner. Après si vous êtes le chef de la Mafia ou un grands terroriste, il prendront le temps de tout décortiquer...
Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 28/03/2014 à 16:29
Citation Envoyé par abriotde  Voir le message
Si la NSA (ou un autre) met un virus sur votre PC, c'est pour écouter la connexion, ce qu'envois votre PC. Si j'ai bien compris, l'idée est de chiffré les données dans le navigateurs en javascript. Alors même en écoutant votre communication, la NSA ne saura pas ce que vous dites. Il faudrait corrompre le navigateur (ce qui n'est pas dur) et lire les données que chiffre votre navigateur en javascript ce qui dépends du site que vous regardez. C'est beaucoup plus dur.

La NSA n'a pas besoin d'un virus pour écouter ta connexion, elle analyse les données qui transit dans les tuyaux (man in the middle).
L’intérêt de la NSA a coller des virus est justement de passer outre le chiffrement de tes données en les récupérant directement à la source, avant le chiffrement et le transfert.

Pour revenir au sujet, je trouve ça très intéressant. Je pense que l'architecture du web doit évoluer afin d'intégrer un chiffrement au plus bas niveau de son architecture ainsi que dans la conception des sites (ne pas juste se reposer sur HTTPs).
Avatar de DezMax DezMax - Membre régulier https://www.developpez.com
le 01/04/2014 à 9:19
C'est vraiment très intéressant je vois sa comme une réelle avancée, en revanche je suis sûre qu'il va falloir perséverer pour réaliser ce projet car le déchiffrement et le but principal d'un hacker.
Il devient de plus en plus facile de cassé le cryptage, loin de moi l'idée de sous-estimer ces développeurs je pense au contraire qu'ils ont largement les capacités mais que la perserverance doit être à l'appel.
Offres d'emploi IT
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil