Je m'appelle Evan, j'ai 16ans et j’étudie actuellement en 1ère S. Je code en C /SDL / Objective C, HTML/CSS et PHP. Mes centres d'intérêts ? La programmation, l’électronique et le bidouillage de manière générale.
Genèse :
En Juin dernier, des documents sur le projet de surveillance PRISM ont été rendus publiques. Les entreprises chez qui je stockais jusqu'alors mes données ce sont retrouvées impliquée dans ce vaste projet (Google drive, iCloud). C'est à ce moment qu j'ai eu l'idée d'iData : un projet qui permettrait aux utilisateurs de pourvoir stocker leurs données en toute sureté. L'idée me semblait bonne, alors je me suis lancé : j'ai acheté un Raspberry et j'ai appris le PHP.
Capture d'écran de la page d'accueil :
Généralités et avancement :
iData a pour but de devenir a terme une suite bureautiques en ligne. Actuellement, chacun peut se créer un compte pour mettre en ligne des fichiers et les partager. Par ailleurs le site est bilingue : Anglais-Français.
Vous êtes septiques ? Voici une capture d'écran de l'espace membres et de l'éditeur de texte :
Qu'est ce que je peux mettre sur le "cloud" ? Tout types de fichiers de moins de 500Mo
Comment ça fonctionne tout ça ?
L'installation matérielle est très simple : le serveur est un Raspberry model B (sous Raspbian) avec PHP/MYSQL/APACHE. Pour ceux qui ne connaissent pas le Raspberry Pi c'est un petit ordinateur ARM au coût très réduit.
Et niveau stabilité ?
Pour la disponibilité des documents il n'y a pas grand souci a avoir sauf si plantage de la Box ou coupure de courant. Pour l'instant le Raspberry tourne avec succès depuis presque 1 mois. Le petit débit en téléchargement s'explique par ma connexion : offre ADSL 2+ chez Orange qui ne m'offre qu'un petit 120ko/s montant.
Objectifs :
Mon rêve serait de voir ce petit projet grandir : le simple fait d'offrir un outil de sauvegarde et de travail a des internautes est une idée qui me plait beaucoup, par ailleurs, si cette expérience réussi elle pourrait éventuellement trouver une place dans un CV.
Il serait envisageable de "monnayer" le site en proposant par exemple un service payant offrant plus d'espace de stockage.
Bien entendu mon deuxième but est de proposer le service le plus efficace possible (édition de documents en ligne) et performant : vitesse et espace de stockage. Si ce projet porte ses fruits, j'envisagerais d'acheter du matériel pour le faire vivre ainsi qu'un nom de domaine. Sans oublier de mettre en place d'autres fonctionnalités innovantes.
Le projet et son originalité :
Quel public pour iData ?
Le publique visé est large : du lycée au milieu professionnel il y a toujours un moment ou il faut faire passer des documents de chez soi vers le lieu de travail et inversement.
Pourquoi iData plutôt que les géants du secteur ?
iData ne partage vos données avec personne : je ne vends rien aux publicitaires. Pour ceux d'entre nous qui veulent que leurs données restent secrètes iData est fait pour ça.
iData est écologique : pour l'instant le site fonctionne sur un seul Raspberry : il consomme donc très peu.
iData est Français.
iData est simple a utiliser : pour la manipulation des fichiers : 10 boutons suffisent a tout faire.
iData contribue a la diveristé du net : utilisation de logiciles libres et fonctionnement sur des Raspberry Pi.
Si vous êtes intéressés c'est ici que ça se passe !
Puisque c'est l'aspect sécurité qui est mis en avant, je pense que tu devrais un peu développer ce point. Il y a quelques infos sur le site, mais je reste sur ma faim. Par exemple, quelle est l'adresse physique des serveurs. Comment sont physiquement protégées les machines (Sécurisation des accès au locaux, notamment). Qu'est-ce qui me garantit qu'entre le serveur et mon ordinateur, les données ne transitent pas par un autre pays? Ces questions ont leur importance pour, par exemple, un médecin ou un avocat qui souhaite stocker des données confidentielles.
Projet très intéressant, même si le iData comme nom est (très) inspiré d'Apple. Faudrait innover Pour ce qui est du design (enfin de la page d'accueil), J'ADORE. un mauvais point cependant, le site est non responsive. L'idée d'un cloud français et des données hébéergées en france constituent un bon argument de vente.
Je n'ai pas testé le site, mais pense à plus mettre en avant le coté sécuritaire.
Par exemple, quelle est l'adresse physique des serveurs. Comment sont physiquement protégées les machines (Sécurisation des accès au locaux, notamment). Qu'est-ce qui me garantit qu'entre le serveur et mon ordinateur, les données ne transitent pas par un autre pays? Ces questions ont leur importance pour, par exemple, un médecin ou un avocat qui souhaite stocker des données confidentielles.
a+
Nyll
En ce qui concerne l'adresse des serveurs (si tu parlais bien de l'ip ) : Je possède, comme dit précédemment une offre ADSL standard qui me donne une IP dynamique : elle change toutes les 24à72H ce qui m'oblige a me tourner vers no-ip (service de DNS).
Protection physique : Alarme et serrure sur le local.
Sécurité serveur-client : Je ne peux pas utiliser le HTTPS : pour un certificat SSL c'est dans les + 100€.
Qu'est ce qui me garanti que les données ne transitent pas par un autre pays ? : Je ne vois pas trop comment le certifier ceci à l’utilisateur : ce dernier peut faire une requête ping sur l'adresse -> ceci lui donnera l'IP du serveur. Il peut en suite vérifier via un service comme mon-ip.com si l'IP est bien Française (Bretonne plus précisément).
FabienIserois a écrit:
Bonjour,
Projet très intéressant, même si le iData comme nom est (très) inspiré d'Apple.
Un mauvais point cependant, le site est non responsive. L'idée d'un cloud français et des données hébéergées en france constituent un bon argument de vente.
Je n'ai pas testé le site, mais pense à plus mettre en avant le coté sécuritaire.
Cordialement.
Pour le design non responsive la remarque est prise en compte : une version mobile viendra (surement pour les vacances d'octobre). En attendant ça marche bien sur les tablettes
En ce qui concerne le nom c'est vrai que c'est inspiré de l'univers Apple, mais vu que je devais trouver un nom pour commencer mon site, la réflexion n'a pas été très poussée
Mettre en avant le coté sécuritaire : c'est une bonne idée : en effet après réflexion deux paragraphes pour un site qui s'axe sur la confidentialité des utilisateurs ça me semble aussi un peu faible !
iData ne partage vos données avec PERSONNE : ni les publicitaires ni la NSA. Pour ceux d'entre nous qui veulent que leurs données restent secrètes iData est fait pour ça.
Sauf que si tu ne protèges pas tes données avec un certificat SSL, même partagé, genre avec les offres OVH, n'importe qui peut intercepter les fichiers, NSA comprise... Après, tu dois toujours pouvoir te démerder pour faire transiter tes fichiers en SSH avec des sockets JS, ce qui résout en partie le problème, mais en cas de man in the middle, c'est foutu...
iData ne partage vos données avec PERSONNE : ni les publicitaires ni la NSA. Pour ceux d'entre nous qui veulent que leurs données restent secrètes iData est fait pour ça.
Sauf que si tu ne protèges pas tes données avec un certificat SSL, même partagé, genre avec les offres OVH, n'importe qui peut intercepter les fichiers, NSA comprise... Après, tu dois toujours pouvoir te démerder pour faire transiter tes fichiers en SSH avec des sockets JS, ce qui résout en partie le problème, mais en cas de man in the middle, c'est foutu...
Je comprends l'intérêt de cette méthode cependant il va me falloir une deuxième ip non ?
Pour le certificat de sécurité j'ai trouvé ça : http://www.cacert.org/ : le certificat n'est pas reconnu comme valide mais il en faut un de toute façon. Qu'en penses tu ?
Je comprends l'intérêt de cette méthode cependant il va me falloir une deuxième ip non ?
Je vois pas trop pourquoi il te faudrait une deuxième ip, c'est juste une question de port.
EDIT : FAIL
Pour le certificat de sécurité j'ai trouvé ça : http://www.cacert.org/ : le certificat n'est pas reconnu comme valide mais il en faut un de toute façon. Qu'en penses tu ?
Franchement, je vais pas m'avancer là dessus, parce que je connais pas du tout les différents fournisseurs.
Le gros problème après, c'est que à cause de la bullshit qui s'affiche quand le certificat n'est pas valide sur chrome/firefox, ça fait flipper les MMe Michu. Propose les deux choix, une version ssl et une sans, comme ça les michu pourront naviguer sans messages qui fait flipper, et les autres avec le certificat pour leur garantir une certaine sécurité.
Sinon, je te conseil de faire une demande auprès de ton FAI pour qu'il te fournissent une ip fixe. No-ip c'est sympa pour un ptit serveur de jeu avec ses potes, mais c'est clairement pas adapté à de la prod.
Projet intéressant, par contre un compte démo serait le bien venu (parce que beaucoup d'utilisateurs n'ont pas envie de s'inscrire juste pour tester 2min...)
Projet intéressant, par contre un compte démo serait le bien venu (parce que beaucoup d'utilisateurs n'ont pas envie de s'inscrire juste pour tester 2min...)
Salut,
Merci de ta suggestion : c'est une bonne idée en effet. Par la même occasion googlebot pourrait explorer une nouvelle page (ce qui améliorerait le ranking du site ?). Je me me mettrai à l'oeuvre ce soir.
kanak'ma a écrit:
Propose les deux choix, une version ssl et une sans, comme ça les michu pourront naviguer sans messages qui fait flipper, et les autres avec le certificat pour leur garantir une certaine sécurité.
Sinon, je te conseil de faire une demande auprès de ton FAI pour qu'il te fournissent une ip fixe. No-ip c'est sympa pour un ptit serveur de jeu avec ses potes, mais c'est clairement pas adapté à de la prod.
- Edité par kanak'ma le 9 septembre 2013 à 20:18:10
Pour le SSL : je mettrai ceci en place dès que j'auai un autre Raspberry.
Pour l'ip fixe : étant chez Orange, cette option m'est facturée environs 18€ par mois : c'est pour ça que j'utilise no-ip pour le moment. Par ailleurs j'ai pré-réservé un nom de domaine en .cloud et en .data pour le site : ne n'ai plus qu'a attendre que ces nouveaux dommaines soient disponibles à l'enregistrement réél.
En ce qui concerne l'avancement général j'ai également activé la fonctionnalité "reminder" qui permet aux utilisateurs d'être notifié par mail lorsqu'ils doivent se rappeller de quelquechose.
Pour protéger plus efficacement la vie privée des utilisateurs, je desactiverai ce soir les fonctionnalités utilisant des cookies (notemment Google Analytics).
Je me permet de faire un petit "up" pour vous informer des nouvelles fonctionnalités mises en place au cours du mois :
-iData MyAccount : Une fonctionnalité qui permet de gérer vos comptes, mois par mois directement sur iData.
-Une autre fonctionnalité est la mise en place d'un editeur de texte, lui aussi intégré au site. Il ne permet pour l'instant de n'éditer que des fichiers ".txt"
-La dernière fonctionnalité est la prise en charge des dossier à l'ntérieur de votre "cloud" personnel, je travaille actuellement à rendre cette fonctionnalité pleinement fonctionnelle.
Voilà, c'est tout pour le moment, mais de nouvelles fonctionnalités enrichissent le site chaque jour !
En ce qui concerne la "demo" sans compte, j'y intégrerai les nouvelles fonctionnalités ce soir. Merci de votre attention
Tu parles de NSA, tu veux pas qu'elle t'espionnes. Ok, mais mon petit, la NSA a des backdoors ! Tout les systèmes propriétaires connus sont corrompus (Windows, iOS, OS X), même Nokia a mis une backdoor dans son hardware. Et il y a tous ceux qu'on connais pas (ta box en a surement ).
Et puis, pourquoi tu n'irai pas voir mes fichiers toi, hein ? Tu fournis un certificat pour ça ?
Et à partir du moment où tu n'es pas sécurisé, tu n'as plus d'argument. Parce qu'entre deux services que la NSA peut espionner, je ne choisis pas celui qui fourni 120ko (partagé !) (sans compter tous les services qu'ils proposent).
Edit: Je te conseillerai plutôt de t'orienter vers un système comme Méga, tout chiffré. Après, reste à voir comment la clé est sécurisée
C'est vrai que tu as raison, il faudrait peut être que je mette moins l'accent sur la vie privée au profit d'autres choses. Cependant :
Sony. a écrit:
Tu parles de NSA, tu veux pas qu'elle t'espionnes. Ok, mais mon petit, la NSA a des backdoors ! Tout les systèmes propriétaires connus sont corrompus (Windows, iOS, OS X), même Nokia a mis une backdoor dans son hardware. Et il y a tous ceux qu'on connais pas (ta box en a surement
Si tu as lu le premier post, tu t'es aperçu que le système n'utilise pas de logiciels propriétaires : Linux et Apache tournent sur un Raspberry. Si nous sommes dans le cas d'un mouchard dans la box et que l'utilisateur est méfiant et emploi le HTTPS il ne devrait pas y avoir trop de soucis non ?
Malgré cela, je pense à changer cette ligne sur mon site. Qui se soucie vraiment de la NSA ?
Sony. a écrit:
Et puis, pourquoi tu n'irai pas voir mes fichiers toi, hein ? Tu fournis un certificat pour ça ?
Et à partir du moment où tu n'es pas sécurisé, tu n'as plus d'argument. Parce qu'entre deux services que la NSA peut espionner, je ne choisis pas celui qui fourni 120ko (partagé !)
Si tu as une idée pour faire face à la première option explique moi comment car j'aimerais bien ne PAS avoir accès aux données des utilisateurs.
J'étudie actuellement la possibilité utiliser TrueCrypt mais ça me semble compliqué à mettre en œuvre : pour accéder au volume, il faudra bien que la clé soit écrite quelque part à savoir en clair.
Sony. a écrit:
Je te conseillerai plutôt de t'orienter vers un système comme Méga, tout chiffré. Après, reste à voir comment la clé est sécurisée
Chez Mega à quel niveau à lieu le chiffrement ? Le fichier est il crypté ou la clé est une sorte d'identifiant pour le télécharger ?
Enfin pour finir sur le débit misérable, je ne peux malheureusement pas faire grand chose, j'ai la 4G mais pas encore la fibre
Tu utilises quoi pour hasher ?
Pour les mots de passe, il ne faut pas utiliser sha2 ou md5, mais plutôt bcrypt, scrypt, ou pbkdf2.
Ensuite, si tu veux assurer la confidentialité des données, et que toi même ne puisses pas lire les données des utilisateurs, il faut que tu fasses de la cryptographie asymétrique, au moins pour crypter une clé privée avec laquelle tu feras de la cryptographie symétrique (plus rapide) pour les données.
C'est vrai que tu as raison, il faudrait peut être que je mette moins l'accent sur la vie privée au profit d'autres choses.
Au contraire, c'est un des critères les plus importants dans le choix d'un cloud (pour moi, en tout cas). Je ne vais pas confier mes données personnelles à un cloud non sécurisé.
Tu utilises quoi pour hasher ? Pour les mots de passe, il ne faut pas utiliser sha2 ou md5, mais plutôt bcrypt, scrypt, ou pbkdf2
J'utilise Whirlpool avec des "sels".
programLyrique a écrit:
Ensuite, si tu veux assurer la confidentialité des données, et que toi même ne puisses pas lire les données des utilisateurs, il faut que tu fasses de la cryptographie asymétrique, au moins pour crypter une clé privée avec laquelle tu feras de la cryptographie symétrique (plus rapide) pour les données.
Tu aurais un tuto/site qui explique comment mettre ça en œuvre ? Merci
Petite faute d'orthographe : ce n'est pas "boutton" ou "button" mais "bouton" ! Essaye d'éviter les fautes et demande à quelqu’un de te relire !
Aussi, je te conseille de garder la réécriture d'url pour la version anglaise : pas https://idata.no-ip.info/index.php?lang=en mais https://idata.no-ip.info/en
Je ne sais pas si Whirpool est le meilleur choix : voir ici. En particulier, comme Whirpool était utilisé pour AES, des circuits spécialisés peuvent réduire considérablement le temps de calcul pour ce hash dans le cas d'un attaque bar brute-force.
Quand à la question du chiffrement des données, je ne suis pas un spécialiste, mais tu peux tourner vers RSA, ou, chiffrement d'avenir, la cryptographie par courbe elliptique (ECC) pour la cryptographie asymétrique, et vers AES, pour le chiffrement symétrique.
Je crois qu'il y a un tuto sur RSA sur OC.
Il y a des bibliothèques en PHP pour la crypto asymétrique, par exemple mcrypt, et pour la crypto asymétrique, RSA.
Pour les courbes elliptiques, j'ai trouvé ceci sur github, mais je ferais attention avant de prendre une implémentation pas trop utilisée, car il peut se cacher des failles dans l'implémentation...
Tu peux regarder cette page de wikipédia sur le crypto cloud computing.
Il y aussi une page de Microsoft research sur le sujet, et tu peux lire les articles qu'ils ont publié dessus...
J'aime beaucoup le projet, cependant je trouve le design vraiment pas top. Après je sais bien que c'est une question de goûts, mais personnellement en arrivant sur ton site je n'ai absolument pas envie de stocker mes données dessus.
Sinon ton projet est sympa, je te souhaite bonne chance
Merci pour tes information précieuses, programLyrique. Je vais consulter tout ça. Cependant, le cryptage nécessite surement des ressources importantes au niveau du processeur : ce qui n'est pas du tout le cas du hardware actuel.
Chooooouuuuuby a écrit:
Concernant le stockage, tu disposes de combien d'espace disque ? Tu n'as pas peur d'être vite surchargé ?
J'ai un disque dur de 500Go actuellement. Le site grandi à son rythme : j'ai de quoi voir venir. Le déploiement d'un autre Raspberry est prévu avant la fin de l'année, sur une ligne différente (peu être fibrée) ce qui permettrait de doubler (au moins) le stockage et le débit.
JulienSld a écrit:
J'aime beaucoup le projet, cependant je trouve le design vraiment pas top. Après je sais bien que c'est une question de goûts, mais personnellement en arrivant sur ton site je n'ai absolument pas envie de stocker mes données dessus.
Remarque prise en compte pour l'avenir !
Merci à tous pour votre soutient et vos remarques pertinentes
sympa mais grosses failles de sécurité qui permettent de faire ce que l'on veut sur ton RPi.
pour éviter d'avoir tout l'internet informé, tu peux me mp.
Bien que non concerné je trouve le projet intéressant ! (Raspberry, toussa)
Par contre pourquoi utiliser le service Google Analytics ? Je pense que l'enlever serait une bonne nouvelle pour les utilisateurs de ton service: j'ai généralement du mal avec les sites contenant des trackers.
(t'es encore loin d'OpenClassrooms et ses 11 trackers mais bon ^^)
Par contre pourquoi utiliser le service Google Analytics ?
Pour savoir si il y a des visiteurs sur le site : si personne n'y allait il serait inutile de continuer à développer iData. Au début j'avais voulu utiliser Piwik : logiciel libre du même genre mais le Raspberry n'est pas assez puissant pour le faire tourner.
iData "premium" à été mis en place : concrètement, ça permet d'obtenir plus d'espace de stockage en échange d'une modeste contribution (1,15€ = 100Go) ce qui permet de diminuer les coûts de fonctionnement du site.
Il y a une barre de navigation personnalisée pour les utilisateurs connectés.
Il n'y a plus besoin de se reconnecter à chaque fois que le navigateur est fermé : des cookies sont utilisés pour la connexion.
Une page de réglages à été instaurée, elle permet par exemple de changer son mot de passe.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.