En mars 2010, je recevais un mail sur l’article suivant “Law Enforcement Appliance Subverts SSL” décrivant officiellement (plus ou moins d’ailleurs) l’existence d’ “appliances” facilitant la mise en oeuvre d’un MITM pour les connections SSL (merci Jim!).
L’article concernait un produit de la société “Packet Forensics” qui fournit effectivement des “appliances” de ce type pour l’usage d’organisations gouvernementales comme l’indique la photo ci-dessous extraite de leur site web (voir l’encadré en rouge).
L’idée est la suivante. Ces boîtiers sont conçus pour interrompre le tunnel SSL afin de vérifier le contenu des échanges sans que l’utilisateur ne s’en aperçoive. Cela requière bien sûr la “complicité” des autorités de certification racines de confiance. Complicité qui n’est pas difficile à obtenir pour une organisation gouvernementale!
Donc de nouveaux certificats “serveur” sont créés pour les différents sites à espionner. Chaque certificat peut avoir été généré par une autorité de certification ayant “pignon sur rue”, ou par l’autorité de certification de votre entreprise, ou par l’autorité de certification d’une personne mal intentionné qui a pris le temps d’insérer le certificat racine correspondant dans le magasin des autorités de certifications de confiance de votre browser (voir l’article: Le “kriegspel” adapté au MITM).
Cette attaque correspond à une attaque “Man In The Middle”: Bob pense parler à Alice mais c’est en fait Jack qui s’est immiscé dans la conversation et qui relaie les messages entre Bob et Alice à leur insu. Pour plus d’informations sur l’attaque MITM vous pouvez jeter un oeil à l’article suivant: L'attaque MITM démystifiée avec Backtrack 3.
Bon, rien de surprenant! Si comme moi, vous vous intéressez à la sécurité, vous êtes certainement un brin paranoïaque!
Alors lorsque j’ai découvert le plug-in Certpatrol de Firefox (merci Sébastien!), j’’ai pensé qu’il y avait matière à faire un petit article! Certpatrol ne nous protège bien sûr pas d’une organisation gouvernementale mais il peut nous donner quelques informations sur les conditions de confidentialité avec lesquelles nous surfons!
Certpatrol permet de détecter tout changement dans votre certificat: renouvellement du certificat, changement d’autorité de certification racine.
Vous trouverez ci-dessous le message qui apparaît lors du premier accès à un site web HTTPS. Ce message vous informe que le certificat du serveur est stocké pour servir de référence aux vérifications que Certpatrol fera lors des prochains accès.
Pour modifier les options de Certpatrol, vous devez sélectionner “Tools / Add-ons” puis cliquer sur le bouton “Options” disponible sur le plug-in Certpatrol. Voici la configuration que j’ai choisie:
Par exemple si vous surfez sur le site gmail en HTTPS et si Certpatrol vous informe d’un changement, cela peut signifier que Google a mis à jour son certificat serveur (et dans ce cas tout va bien!) ou bien que quelqu’un de mal intentionné (ou pas d’ailleurs) surveille vos "échanges.
Un homme averti…
Source: Law Enforcement Appliance Subverts SSL
Tags:
Aucun commentaire:
Enregistrer un commentaire