PrivateBin sécurise vos partages de texte en version 1.1

Source: LinuxFR – les dépêches
Liens: PrivateBin sécurise vos partages de texte en version 1.1
PrivateBin sécurise vos partages de texte en version 1.1

PrivateBin est un service libre de pastebin, qui permet d’héberger et de partager des données textuelles. Sont supportés le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d’en reparler, voyons un peu ce qu’est PrivateBin et quelles en sont les fonctionnalités-clefs.

Logo PrivateBin

Un panier sécurisé pour vos partages de texte

Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l’accent sur la sécurité des données. L’hébergeur n’ayant pas accès à la clef pour déchiffrer le contenu, Privatebin est ce que l’on appelle communément − et par abus de langage − un service de type « Zero Knowledge ».

Lorsqu’on crée un document, le navigateur compresse puis chiffre les données avant de les transmettre au serveur, et se garde bien de lui envoyer la clef. Le serveur renvoie alors au navigateur l’identifiant du document chiffré créé, ce qui permet à ce dernier en retour de générer une URL de la forme https://SERVEUR/?DOCUMENT#CLEF.

Chiffrement avant upload

Pour retrouver et déchiffrer le document, il nous faut donc entrer l’adresse complète. Par exemple, https://paste.unixcorn.org/?84ae3a39a305d229#1aV00MLZfFe125TO05dJve6je6fIMy0JeBHpGTbaLnA=. Dans ce cas, le navigateur ne transmet au serveur que le début de l’URL, omettant l’identifieur de fragment (la partie après le #) qui contient la clef de déchiffrement.

Déchiffrement dans le navigateur

Au-delà de ça, PrivateBin offre la possibilité de protéger par mot de passe l’accès au contenu chiffré, ce qui offre une couche de protection supplémentaire dans le cas où l’adresse du document finit entre de mauvaises mains.

Alors est-ce vraiment 100% sécurisé ? Oui, et non. Comme expliqué sur la page d’accueil du projet, PrivateBin ne protège pas d’abus de la part des administrateur⋅ice⋅s gérant le service, qui pourraient − volontairement ou sous la menace − distribuer un bout de JavaScript exposant les clefs des documents auxquels vous accédez. Mais ce problème n’est pas lié spécifiquement à PrivateBin ; c’est là le fléau des applications web et de l’exécution de code non-signé.

Quoi de neuf dans la version 1.1 ?

La version 1.1 de PrivateBin apporte relativement peu de changements visibles… pour les francophones ! Deux nouvelles langues ont été ajoutées dans cette version : il s’agit de l’italien et du russe.

Sous le capot, une faille de sécurité XSS a été corrigée, et des nouveaux headers HTTP viennent au renfort de la politique de sécurité des contenus (ou CSP, en anglais). Cette dernière a été mise à jour pour éviter de divulguer l’adresse du document lorsque l’on clique sur un lien en son sein (via les headers « referer »).

Enfin, un Dockerfile a été ajouté pour permettre de déployer rapidement PrivateBin sur une infrastructure Docker.

Conclusion

PrivateBin est facile de prise en main et semble prendre la question de la sécurité des données au sérieux, même si le développement se passe sur la plateforme centralisée Github. C’est donc une alternative très sérieuse à Pastebin, Github Gist, et autres services non-libres et centralisés du même acabit.

Enfin, pour celles et ceux qui se demandent si on ne pourrait pas faire d’autres choses super intéressantes avec les technologies employées par PrivateBin, je vous conseille d’aller jeter un coup d’œil à Cryptpad, qui met en place − avec des blockchains au milieu − un service d’édition collaborative (pads) intégralement chiffré.

Lire les commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *