Quand vous vous connectez à Internet à travers un réseau sans fil non protégé, comme un cybercafé ou à l’aéroport, votre trafic peut être intercepté, analysé, et modifié. Ceci est dangereux à la fois pour votre vie privée et pour la sécurité de vos mots de passe. Un pirate peut très facilement récupérer vos requêtes vers internet et ainsi mettre la main sur vos mots de passe lorsque vous vous connectez à tel ou tel site web. Alors oui, lorsque le site web sur lequel vous voulez vous connecter utilise HTTPS votre connexion est sécurisée. Néanmoins le pirate peut remplacer le certificat du site web par son propre certificat et ainsi être capable de lire le contenu crypté. Vous aurez alors un warning signalant la non validité du certificat. Faites attention ! Bien heureusement, il existe des solutions et Sidestep en fait justement partie. Mais attention car ce programme n’est disponible que sur Mac OS X.
Note : Accessoirement et avant de commencer, voici une extension Firefox qui vous permet de voir le danger d’une connexion dans un réseau public : http://codebutler.com/firesheep. Je definis par public l’accès par une tierce personne pouvant etre un pirate. Un réseau “privé” est supposé être accessible uniquement par des personnes de confiance.
Présentation du logiciel
Sidestep est donc un petit programme pour Mac OS X permettant d’encrypter votre trafic en le passant dans un tunnel appelé tunnel SSH (over ssh). Vous devez disposer d’un serveur, de préférence sous Linux, accessible via internet. Pour rendre un serveur “maison” accessible sur internet, vous devez utiliser le NAT de votre box pour rediriger le protocole SSH – port 22 de votre box – vers votre serveur. Pour plus d’infos, voir ce lien. Ne vous inquiétez pas, ce n’est pas compliqué du tout, que vous soyez chez Orange, SFR, Free, … ou que vous ayez votre propre routeur. Si vous louez une machine dédiée, tout est déjà prêt vu qu’elle est accessible depuis internet.
Sidestep propose également l’utilisation d’un VPN, mais je ne couvrirai pas cela dans cet article, la mise en place de VPN étant plus compliqué que celle de SSH.
Vous allez me dire : si mon traffic est encapsulé dans un tunnel, il est impossible d’intercepter ou de monitorer mes connexions à distance, pas vrai ? Puis-je donc me connecter à un site bloqué par la politique de l’entreprise dans laquelle je travaille ? La réponse est oui. Votre trafic est protégé. Par exemple, si Facebook est interdit sur votre lieu de travail, en utilisant ce principe de tunnel, vous pourrez y accéder tout de même. En effet, l’entreprise dans laquelle vous travaillez n’aura aucun moyen (ou presque) de connaitre et ainsi de bloquer le site sur lequel vous tentez d’acceder.
Configuration du tunnel SSH
Après avoir installé l’application, rendez-vous dans les préférences en cliquant sur son icone et en sélectionnant l’option adéquate.
Configurez le port local (mettez 9999 si vous ne savez pas) comme ceci :
Puis renseignez le nom de l’utilisateur de votre serveur, son adresse IP et son port SSH (par defaut 22).
Vous n’avez plus qu’a cliquez sur “Test Connection to Server” pour vérifier la connexion. Pour activer le tunnel, cliquez sur l’icone puis sur “Reroute traffic through proxy server now”.
Et quand on a pas de mac sous la main au bureau (c’est souvent le cas hélas …).
Il reste de petits outils comme Proxy Switchy (extension pour chrome) qui fait sensiblement la même chose.
En fait c’est un ssh -L graphique. On peut le faire aussi sous Windows avec Putty (dans les options: Connection > SSH > Tunnels)
@Juava: Bien entendu, l’application ne joue le role que de petit raccourci, mais c’est bien pratique de pouvoir basculer vers un tunnel SSH en 2 clicks sur l’icone dans la barre de mac os x.