ovh - le "Net Secure" authentifié et chiffré

Attention, c’est le message d’Octave au 1e avril.

Bonjour,
Les derniers évènements donnent raisons à nos réflexions
internes qu’on souhaite partager aujourd’hui avec vous. Votre
feedback est essentiel pour nous permettre de prendre les décisions
qui s’imposent. En gros, il faut faire bouger les lignes et
on pense que le mouvement doit prendre à partir des hébergeurs.

Voici nos réflexions.

Il existe des technologies qui permettent d’assurer le chiffrement
des informations qui transitent sur le Net. On parle bien sûr du
SSL et plus globalement de "clés numériques" alias les certificats.
Des certificats pour crypter les informations entre client/serveur,
serveur/serveur, mais aussi pour authentifier les personnes. Sauf
que ces technologies sont tenues par 2-3 géants américains, suivez
mon regard, qui bloquent l’utilisation de ces technologies à travers
le prix. Ce n’est pas un secret pour personne que le SSL coûte
relativement cher, et puis finalement même si on a les moyens de les
acheter on préfère de ne pas les mettre en place. Recherche de
simplicité ? Trop de problèmes techniques ? Manque d’habitude ?
Paresse ? En tout cas c’est bien parce que les technologies ne sont
pas gratuites et que tout le monde ne peut pas les utiliser au
quotidien que finalement personne ne les utilisent. Et il existe
beaucoup d’exemple de problèmes qui en résultent : il a fallu que
l’un des géants américain (suivez mon regard) constate le vol de
sessions webmail de la part des chinois, où pourtant tout le monde
sait que tout le trafic passe par les firewall gouvernementaux, pour
rendre obligatoire le SSL sur leur webmail. Dernièrement seulement un
grand FAI français a mis en place le SSL sur les pages "Mon Compte".
L’endroit où on saisit le login et le mot de passe. Et plus
banalement, beaucoup de nos clients proposent des "mon espace"
sans crypter les informations qui circulent. Le phishing, le spam,
les hacks, le sniffage de paquets ça existe, c’est utilisé et les
conséquences vont d’un simple vol d’information, d’argent à
plusieurs années de prison parce qu’on pense tout haut ce que
les gens ne s’autorisent pas à imaginer.

Nous avons fait ce constat il y a déjà plusieurs années. Et c’est
pourquoi nous avons proposé un certificat SSL pas cher il y a déjà
3 ans. Puis nous avons diminué encore le prix de cette technologie
de 3 fois il y a moins de 12 mois.

Il est temps d’aller encore plus loin et rendre toutes ces
technologies au main des administrateurs systèmes et de
développeurs au lieu de quelques entreprises américaines (suivez
mon regard) qui les vendent bien trop cher.

Il y a quelques semaines, nous avons fait un test d’un certificat
SSL sur https://test.ovh.com. Merci pour vos feedbacks qui nous
ont permis d’avancer dans ce projet du "Net Secure".

Ovh va distribuer gratuitement des certificats SSL avec tous les
noms de domaines pas seulement déposés chez Ovh, mais tous les
noms de domaines hébergés chez Ovh. Y compris les wildcards et les
conteneurs. Avec une garantie de 1 Euro pour le class 1 jusqu’à
1’000’000 Euro pour l’EV.
Totalement gratuitement, mais il faudra héberger vos noms de
domaines chez Ovh, sur les hébergements mutualisés ou les serveurs
dédiés. Et là on vous fournit tout gratuitement à volonté et pour
tout ce que vous voulez. L’objectif est double. D’abord rendre
toutes ces technologies accessible, un peu comme "open-source" et
de les populariser auprès des administrateurs systèmes, auprès des
utilisateurs finaux et des visiteurs. Puis créer un réseau
totalement sécurisé où la confiance numérique n’est pas seulement
une loi mais elle est une réalité au quotidien.

En dehors du WEB (https) on souhaite sensibiliser les sysadmins
à l’utilisation de SSL sur le POP3, l’IMAP et le SMTP. Le fait de
proposer la variante S (SSL) de ces 3 protocoles ne doit pas être
une question de choix mais doit s’imposer d’elle même. Pour cela
nous allons aussi proposer les certificats SSL totalement
gratuits pour les serveurs.

Nous allons intégrer dans nos webmails des "certificats de personnes"
que vous allez pouvoir activer d’un simple clic. Ainsi tous les
emails que vous allez envoyer à partir de nos webmails seront signés
avec votre certificat. La personne qui va recevoir votre email,
pourra vérifier que l’email vient de votre part et n’a pas été
modifié par un tiers, ceci grâce à votre clé publique. Vous signez
avec votre clé privée et vous autorisez à vérifier votre signature
avec votre clé publique. On pense qu’au bout de 12-18 mois, nous
allons pouvoir ajouter cette vérification au niveau des serveurs
pour vérifier les signatures de tous les emails et ceci
automatiquement. Puis de classer les emails en SPAM ou pas, en se
basant aussi sur cette signature. En tout cas ça sera une
information qu’on prendra en compte dans l’algorithme de détection
de SPAM.

Enfin, nous allons proposer ces "certificats de personnes" pour
remplacer, à moyen terme, l’authentification avec "login/mot de
passe" par l’authentification avec un "soft-token". En effet, pour
accéder à "Mon Compte", "Manager", "mon espace" vous allez pouvoir
oublier le login/le mot de passe et utiliser votre certificat.
Oubliez le phishing, oubliez le hack, oubliez le sniffage de
paquets. En plus d’être cryptées les informations ont été
authentifiés et donc le serveur sait qui est connecté réellement.
C’est une vraie avancée technologique qu’Ovh utilisera pour vous
proposer un paiement sécurisé vraiment sécurisé. On ne pensait pas
faire autrement en vous demandant et en stockant votre numéro de
carte bancaire, pour tout simplement éviter les erreurs que les
autres acteurs ont fait avant nous. Suivez mon regard, toujours
là des géants américains. Et aucun géant en Europe dans tous
ces métiers ! Est-ce normal ?

Nous avons donc notre webmail que vous pouvez utiliser de manière
sécurisée sans login/mot de passe, uniquement grâce à votre
certificat. Vous pouvez signer et vérifier les signatures des
emails que vous recevez et envoyez. Voilà l’endroit idéal pour
vous proposer un coffre fort de qualité avec les services
d’horodatage et le stockage longe durée (30ans). Ainsi, chaque
document reçu est signé et donc a une valeur juridique, car vous
n’allez pas pouvoir antidater ce document, ni le modifier. Mais
me direz-vous le document est toujours stocké "en clair". Ca c’est
simple. On ajoute une couche de cryptage dans votre coffre fort et
l’ensemble de vos documents sont cryptés automatiquement avec
votre clé public. Ils sont désormais stockés de manière cryptée et
personne ne pourra les lire sans votre clé ... privée. Rien à
avoir avec les espaces mutualisés ... euhh "les coffres forts" que
certains assureurs ou banques commencent à proposent à leur clients.
Une vraie blague technologique ... Nos coffres fort authentifié,
crypté, horodaté sont intelligents dans la mesure où ils peuvent
recevoir les documents tel qu’une fiche de salaire, ou une facture.
Simplement par l’email ! Le fait de signer un document, permettra de
vérifier qui l’a signé et donc de classifier ce document dans votre
coffre fort. Automatiquement.

Les certificats de personnes class 1 se baseront uniquement sur 1
élément, par exemple votre email. Et de class 3 sur 3 éléments et
donc une rencontre "face-to-face" que vous allez pouvoir
effectuer ... à la Poste ou à votre Banque. En effet, grâce au
projet IDeNum de l’état Français les certificats de personnes vont
devenir une réalité en France à l’horizon de 5 ans environ. Déjà
pour déclarer vos revenus vous allez avoir besoins d’un tel
certificat que vous allez pouvoir acheter pour quelques euros sur
le support "carte à puce". Alors pourquoi ne pas généraliser et
utiliser ce même certification pour toutes les interfaces sur le
web. Oubliez TOUS vos logins/mot de passe sur tous les sites,
simplifiez vous la vie, sécurisez vos échanges, authentifiez-vous
de manière sûr. Insérez votre carte à puce et surfez de manière
sécurisé.

On parle bien de 5ans. Allez 2015. A cet échéance on pense qu’il
faudra commencer à forcer la main de tous les sysadmins qui n’ont pas
fait le virage vers le "Net Secure". En effet, si malgré la gratuité
de toutes ces technologies, les visiteurs utilisent encore le http,
consultent les emails via POP3 et envoient les emails sans les
signer, c’est qu’un sysadmin n’a pas fait son boulot.

L’étape 1 consistera à rendre plus chers les services sans le
cryptage. C’est à dire que si vous souhaitez qu’Ovh vous autorise
à utiliser les services "non cryptés" il faudra payer plus cher.
2 fois plus cher en 2015, 3 fois en 2016 ... et 10 fois plus cher
en 2025. Sinon ? Sinon vous allez pouvoir utiliser uniquement les
services cryptés et sécurisé pour le prix inchangé. L’étape 2 c’est
la manière forte. A partir de 2025 on pense qu’il faudra réduire
les ressources alloués à ces protocoles non sécurises et donc
diminuer la bande passante. Maintenant l’étape 3. A partir de 2030
tous les services non sécurises sur notre réseau seront coupés
définitivement et le "Net Secure" sera une réalité sur notre
réseau au niveau de l’hébergement.

En parallèle, au niveau de l’accés sur Internet, Ovh proposera du
VDSL basé sur la future norme VDSL2-S. Il s’agit d’un accés Internet de
34Mbps symétrique sur une simple paire de cuivre avec le cryptage
intégré. A ne pas confondre avec un simple VPN qui est un service
sur la couche IP.

En effet, nous travaillons actuellement avec un géant américain
d’équipements réseau (suivez mon regard) sur cette futur norme de
VDSL2-S qui permettra un débit intéressant mais assurera le cryptage
de bout en bout. Tout se passe au niveau de la couche 2 d’OSI où
on souhaite intégrer l’authentification des paquets Ethernet grâce à
des certificats de MAC et le cryptage entre les switchs, les
modems et les routeurs. Chaque MAC aura son propre certificat et ne
pourra communiquer avec les autres MAC qu’après un échange de
certificat avec les autres MAC. Aussi, si une MAC n’a pas de
certificat elle ne pourra pas communiquer avec les autres MAC.
En gros, exactement le même principe que sur le SSL. Sauf qu’en
intégrant le certificat au niveau des MAC, nous allons pouvoir créer
les tunnels cryptés entre les MAC et les IP et ainsi établir la
connexion sécurisée entre vos postes au bureau et les sites finaux,
en dehors de notre réseau, totalement automatiquement. Personne
ne pourra sniffer vos paquets, même un admin chez nous. La confiance
c’est bien. Assurer la confiance à travers les technologies c’est
mieux. Cette technologie fonctionne dans notre labo mais nous avons
encore des problèmes de performances. Comme vous pouvez imaginer,
il faut crypter beaucoup d’informations à très très bas niveau.
On pense que ce problème là sera résolu avec l’arrivée futur du
CPU 8 cores que notre partenaire va intégrer directement au niveau
du switch 2960-S. L’ensemble des clients de serveurs dédiés pourront
ainsi profiter d’un réseau sécurisé au niveau 2 OSI et ceci sans
les vlans dédiés, vlans privés ou mode protected de switchport.
Des bidouilles techniques toujours parce que la technologie qui a été
développée pour assurer la sécurité n’est pas accessible.

Pour tous ces projets, Ovh se donne 10 ans. Si on réussit c’est parce
que vous allez utiliser toutes ces technologies. Et vous les utiliserez
si vous êtes d’accord avec notre constat et sur les moyens qu’on
souhaite mettre en place pour rectifier l’Internet d’aujourd’hui et
proposer le "Net Secure" de demain.

Merci pour vos feedbacks

Amicalement
Octave

Envie de recevoir nos dernières nouvelles? Inscrivez-vous à notre newsletter