Pour le certificat, c'est possible aussi avec les antivirus qui installent leurs propres certificats pour détecter des virus et codes JS exotiques, sur des sites en https. Petit HS mais je me pose la question de l'aspect sécuritaire vis-à-vis de l'antivirus lui même, si c'est pas dangereux de le laisser spoofer les certificats?
Cela crée automatiquement plusieurs soucis :
- l'utilisateur ne peut pas lui-même examiner le certificat du serveur par précaution
- l'utilisateur ne peut pas configurer la politique de vérification des révocations et le choix en cas d'impossibilité de vérifier le statut de révocation (ignorer et passer outre ou bloquer)
- le navigateur ne sait pas quel est le type de certificat du serveur :
de DV qui n'indique que le nom de domaine (ce qui suffit quand il est connu comme Google)
à EV qui indique le nom de la société légalement enregistrée et le pays (comme
StartCom)
- donc les sites avec un certificat EV n'affichent pas la société propriétaire
- les protections par "pinning" de certificat des navigateurs (Chrome n'accepte pas un certificat google.fr provenant du gouvernement français p.ex.) inopérantes
Et j'en passe...
Si peut être une vulnérabilité complète si l'agent mandataire (ici le logiciel AV) ne valide pas correctement la chaîne de certificats est bien enracinée (ou "ancrée") à partir d'un certificat de confiance.
Dans certains cas, le mandataire accepte son propre certificat comme racine. Il suffit de tipiaker la clé privée correspondante pour avoir une racine de confiance.
Dans certains cas, le mandataire utilise un certificat copié à l'installation et non généré aléatoirement, ainsi tous les utilisateurs ont le même certificat et la même clé privée. Il suffit de la récupérer dans le logiciel pour attaquer n'importe quel utilisateur!