Auteur Sujet: Certificats signé par les anti-virus (man-in-the-middle) (Lu 21063 fois)

corrector · « **Réponse #48 le:** 03 janvier 2016 à 01:14:34 »

Citation de: Darklight le 03 janvier 2016 à 00:19:10

ça veut donc dire que l'antivirus à trouvé une parade pour analyser le traffic HTTPS sans changer le certificat ?

Peut être, en tout cas ça doit être assez facile.

Darklight · « **Réponse #49 le:** 03 janvier 2016 à 13:51:48 »

D'après toi comment/par quoi l'antivirus ferait ça?

vivien · « **Réponse #50 le:** 03 janvier 2016 à 14:56:35 »

Tu pourrais essayer avec Internet Explorer pour être sur que ce n'est pas un changement du coté des navigateurs pour empêcher ce type de déchiffrement des flux https ?

Au moins Internet Explorer, il est peu modifié (hors correctifs de sécurité)

Techniquement, je ne vois pas de solution. Le but du https c'est que les flux sont chiffrés de bout en bout si on a bien le bon certificat.

Darklight · « **Réponse #51 le:** 03 janvier 2016 à 14:59:59 »

Ou alors il existe une solution que les boites noires de Bernard utilisent aussi... Mais ça se saurait car en HTTPS tout repose sur les certificats pour être sur qu'il n'y a pas d'homme-au-milieu

corrector · « **Réponse #52 le:** 03 janvier 2016 à 20:14:18 »

En récupérant le flux après déchiffrement, par exemple?

vivien · « **Réponse #53 le:** 03 janvier 2016 à 21:33:03 »

C'est possible, mais cela demande un navigateur profondèment modifié.

C'est pas une extension qui peut faire ça.

corrector · « **Réponse #54 le:** 03 janvier 2016 à 21:48:47 »

Pourquoi pas?

alegui · « **Réponse #55 le:** 03 janvier 2016 à 21:49:20 »

Ou en récupérant la clé de déchiffrement du navigateur (en temps réel) pour déchiffrer en parallèle ? Dans ce cas-là, pas d'homme du milieu car le navigateur reçoit le message intact et celui-ci est à peine modifié...

corrector · « **Réponse #56 le:** 03 janvier 2016 à 21:51:24 »

Il suffit de définir une variable d'environnement pour que le navigateur log les clés de déchiffrement.

Marin · « **Réponse #57 le:** 03 janvier 2016 à 21:59:33 »

Citation de: vivien le 03 janvier 2016 à 21:33:03

C'est possible, mais cela demande un navigateur profondèment modifié.

C'est pas une extension qui peut faire ça.

Les antivirus étant développés par des gens qui se doivent d'être calés en programmation système pour reverser, comprendre et détecter aux bons endroits, et s'accordant d'ailleurs souvent eux-mêmes des fonctionnalités d'une complexité et d'un niveau de contrôle proche du rootkit, faire quelque chose comme mettre un hook au bon endroit devrait moyennement poser problème (même si les compétences peuvent être disparates au sein d'une grosse entreprise).

vivien · « **Réponse #58 le:** 03 janvier 2016 à 22:05:41 »

C'est pour cela qu'il est intéressant de test avec plusieurs navigateurs pour avoir un début de réponse.

Je ne pense pas qu'un hook soit compatible avec les 3 navigateurs. Internet Explorer et son code propriétaire ne simplifie pas les choses.

Ce type de hook entraîne de gros risques, au niveau confidentialité, mais aussi au niveau stabilité du navigateur (compatibilité avec les mises à jour régulières) et peut poser pb en cas de désinstallation de l'anti-virus. Bref, je ne pense pas que ce soit la solution retenue.

underground78 · « **Réponse #59 le:** 03 janvier 2016 à 22:09:09 »

Citation de: Marin le 03 janvier 2016 à 21:59:33

faire quelque chose comme mettre un hook au bon endroit devrait moyennement poser problème

Ils ne se privent pas pour le faire au niveau de Windows mais j'ai jamais entendu dire qu'ils le faisaient pour d'autres logiciels.

Auteur Sujet: Certificats signé par les anti-virus (man-in-the-middle) (Lu 21063 fois)

corrector

corrector

corrector

corrector