dimanche 16 janvier 2011

Sécuriser vos accès SSL avec Certpatrol!

En mars 2010, je recevais un mail sur l’article suivant “Law Enforcement Appliance Subverts SSL” décrivant officiellement (plus ou moins d’ailleurs) l’existence d’ “appliances” facilitant la mise en oeuvre d’un MITM pour les connections SSL (merci Jim!).

L’article concernait un produit de la société “Packet Forensics” qui fournit effectivement des “appliances” de ce type pour l’usage d’organisations gouvernementales comme l’indique la photo ci-dessous extraite de leur site web (voir l’encadré en rouge).

ScreenShot057

L’idée est la suivante. Ces boîtiers sont conçus pour interrompre le tunnel SSL afin de vérifier le contenu des échanges sans que l’utilisateur ne s’en aperçoive. Cela requière bien sûr la “complicité” des autorités de certification racines de confiance. Complicité qui n’est pas difficile à obtenir pour une organisation gouvernementale!

Donc de nouveaux certificats “serveur” sont créés pour les différents sites à espionner. Chaque certificat peut avoir été généré par une autorité de certification ayant “pignon sur rue”, ou par l’autorité de certification de votre entreprise, ou par l’autorité de certification d’une personne mal intentionné qui a pris le temps d’insérer le certificat racine correspondant dans le magasin des autorités de certifications de confiance de votre browser (voir l’article: Le “kriegspel” adapté au MITM).

Cette attaque correspond à une attaque “Man In The Middle”: Bob pense parler à Alice mais c’est en fait Jack qui s’est immiscé dans la conversation et qui relaie les messages entre Bob et Alice à leur insu. Pour plus d’informations sur l’attaque MITM vous pouvez jeter un oeil à l’article suivant: L'attaque MITM démystifiée avec Backtrack 3.

Bon, rien de surprenant! Si comme moi, vous vous intéressez à la sécurité, vous êtes certainement un brin paranoïaque!

Alors lorsque j’ai découvert le plug-in Certpatrol de Firefox (merci Sébastien!), j’’ai pensé qu’il y avait matière à faire un petit article! Certpatrol ne nous protège bien sûr pas d’une organisation gouvernementale mais il peut nous donner quelques informations sur les conditions de confidentialité avec lesquelles nous surfons!

Certpatrol permet de détecter tout changement dans votre certificat: renouvellement du certificat, changement d’autorité de certification racine.

Vous trouverez ci-dessous le message qui apparaît lors du premier accès à un site web HTTPS. Ce message vous informe que le certificat du serveur est stocké pour servir de référence aux vérifications que Certpatrol fera lors des prochains accès.

ScreenShot063

Pour modifier les options de Certpatrol, vous devez sélectionner “Tools / Add-ons” puis cliquer sur le bouton “Options” disponible sur le plug-in Certpatrol. Voici la configuration que j’ai choisie:

ScreenShot064

Par exemple si vous surfez sur le site gmail en HTTPS et si Certpatrol vous informe d’un changement, cela peut signifier que Google a mis à jour son certificat serveur (et dans ce cas tout va bien!) ou bien que quelqu’un de mal intentionné (ou pas d’ailleurs) surveille vos "échanges.

Un homme averti…

Source: Law Enforcement Appliance Subverts SSL

Tags:

dimanche 9 janvier 2011

L’authentification par reconnaissance faciale

Toujours à la recherche de la méthode d’authentification idéale dans un contexte familial, privilégiant la facilité d’authentification à la sécurité, voici un article sur l’utilisation de la biométrie et plus particulièrement de la reconnaissance faciale. Cet article est dans la lignée de “S’authentifier à la maison avec un certificat dans une carte à puce, c’est possible!” traitant de l’authentification par certificat dans une carte à puce sans avoir de contrôleur de domaine.

L’authentification par reconnaissance du visage est permise par la société Luxand avec leur produit Luxand Blink!. La version gratuite, mais limitée, du logiciel est téléchargeable à l’URL suivante: Luxand Blink!.

Nous allons utiliser un “Windows 7 Familial Premium 32 bits” en français pour réaliser notre test.

La première étape consiste à installer “Luxand Blink!”. Une documentation en anglais est disponible sur le site de Luxand.

Il est bien entendu nécessaire de posséder une webcam afin de permettre la reconnaissance faciale.

La phase d’installation est très simple et assez intuitive. Une fois l’installation terminée, il est possible d’accéder à la configuration de Luxand Blink! à partir de la barre de tâche: clique droit et “Settings”.

 ScreenShot046

En sélectionnant “History” on obtient la liste des authentifications réussies.

 ScreenShot047 

La phase d’authentification dure quelques longues secondes pendant lesquelles on se demande un peu ce qui se passe. On observe cependant un petit carré vert qui apparaît de temps à autres autour du visage confirmant l’acquisition des données biométriques.

ScreenShot048

Mais globalement l’expérience est plutôt concluante. Cependant, en revenant de chez le coiffeur (c’est parfois nécessaire!), la reconnaissance faciale ne fonctionnait plus et j’ai dû réinitiliaser mes données biométriques! La reconnaissance du visage a donc ses limites! D’un point de vue strictement sécuritaire, il est préférable de refuser l’accès à une personne autorisée qu’accorder l’accès à quelqu’un qui n’a pas les droits. Mais enfin! Heureusement que Luxand permet à l’utilisateur de choisir entre l’authentification par mot de passe et la reconnaissance faciale!

Par ailleurs on peut noter que Luxand conseille à l’utilisateur d’enregistrer les données biométriques dans des conditions optimales (i.e. peu variables) incluant une lumière homogène et une expression calme du visage.

Dans la version actuelle, chaque utilisateur du poste possédant son propre compte, lors de la connexion qui suit la première installation de Luxand Blink!, doit configurer ses données biométriques pour bénéficier de l’authentification par reconnaissance faciale. Dans une prochaine version Luxand annonce la possibilité de déclarer plusieurs utilisateurs sur le même compte.

La version professionnelle permet de vérifier votre présence devant l’ordinateur à intervalles réguliers paramétrables et de verrouiller le poste en cas d’absence.

Je n’ai cependant pas trouvé dans cette version la possibilité de stocker les données biométriques dans un token ou une carte à puce. C’est bien dommage! Cela permettrait d’ajouter un deuxième facteur d’authentification.

Partager avec...