La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: Darklight le 13 décembre 2015 à 13:15:27
-
C'est possible de prendre le contrôle d'une connexion https, après l'échange du certificat ?
Pour le certificat, c'est possible aussi avec les antivirus qui installent leurs propres certificats pour détecter des virus et codes JS exotiques, sur des sites en https. Petit HS mais je me pose la question de l'aspect sécuritaire vis-à-vis de l'antivirus lui même, si c'est pas dangereux de le laisser spoofer les certificats?
Exemple avec lafibre.info
(https://lafibre.info/images/ssl/201512_certificat_signe_par_avast.png)
-
Si tu génères un faux certificat "*.lafibre.info" avec Vivien Guéant dedans tu n'auras aucun moyen de le vérifier.
-
Exemple avec lafibre.info
Pourquoi tu as caché l'empreinte du certificat? ;)
-
Pour le certificat, c'est possible aussi avec les antivirus qui installent leurs propres certificats pour détecter des virus et codes JS exotiques, sur des sites en https. Petit HS mais je me pose la question de l'aspect sécuritaire vis-à-vis de l'antivirus lui même, si c'est pas dangereux de le laisser spoofer les certificats?
Cela crée automatiquement plusieurs soucis :
- l'utilisateur ne peut pas lui-même examiner le certificat du serveur par précaution
- l'utilisateur ne peut pas configurer la politique de vérification des révocations et le choix en cas d'impossibilité de vérifier le statut de révocation (ignorer et passer outre ou bloquer)
- le navigateur ne sait pas quel est le type de certificat du serveur :
de DV qui n'indique que le nom de domaine (ce qui suffit quand il est connu comme Google)
à EV qui indique le nom de la société légalement enregistrée et le pays (comme StartCom (https://www.startcom.org/?lang=fr))
- donc les sites avec un certificat EV n'affichent pas la société propriétaire
- les protections par "pinning" de certificat des navigateurs (Chrome n'accepte pas un certificat google.fr provenant du gouvernement français p.ex.) inopérantes
Et j'en passe...
Si peut être une vulnérabilité complète si l'agent mandataire (ici le logiciel AV) ne valide pas correctement la chaîne de certificats est bien enracinée (ou "ancrée") à partir d'un certificat de confiance.
Dans certains cas, le mandataire accepte son propre certificat comme racine. Il suffit de tipiaker la clé privée correspondante pour avoir une racine de confiance.
Dans certains cas, le mandataire utilise un certificat copié à l'installation et non généré aléatoirement, ainsi tous les utilisateurs ont le même certificat et la même clé privée. Il suffit de la récupérer dans le logiciel pour attaquer n'importe quel utilisateur!
-
J'ai séparé le hors sujet.
Je rajouterais un autre cas : les anti-virus qui remplacent le certificat par un certificat auto-signé ne vérifient pas si le certificat a été révoqué.
J'ai souvenir que ceux qui avaient un anti-virus avec du man-in-the-middle n'avaient aucun problème pour surfer sur le site Simyo, alors que les autres étaient bloqués :
En attendant, cela bloque l’accès au site Internet (la partie pour commander ou recharger son compte) :
(https://lafibre.info/testdebit/windows8/201412_win81_chrome39_1.png)
(https://lafibre.info/testdebit/windowsxp/201412_winxp_opera26.png)
-
Vivien, pourquoi tu parles de certificats auto-signés?
-
Merci vivien pour avoir déplacé le topic, c'est un sujet intéressant ;)
@corrector : Oui je me suis rendu compte ensuite que cacher l’empreinte ne servait à rien ;
Sinon c'est mon antivirus qui a généré le certificat, je suppose en installant une autorité sur mon pc puisque le certificat est présenté comme ci-dessous:
-
Vivien, pourquoi tu parles de certificats auto-signés?
Le certificat est auto-signé par Avast, non ?
-
Non, il est signé par Avast.
-
Mais Avast n'est pas une autorité de certification !
-
Alors pourquoi le navigateur accepte le certificat?
-
Car Avast a installé un certificat racine sur le PC.
-
Comme le certificat superfish de Lenovo, ou le certificat autosigné DSDTestProvider de Dell récemment :
http://www.journaldunet.com/solutions/saas-logiciel/superfish-quand-lenovo-installe-des-malwares-dans-ses-pc-0215.shtml
https://www.nextinpact.com/news/97487-dsdtestprovider-autre-certificat-auto-signe-dell.htm
-
Car Avast a installé un certificat racine sur le PC.
Donc c'est une autorité racine reconnue par le navigateur, et le certificat du site n'est pas auto-signé.
Le certificat racine lui est auto-signé par tradition mais ça n'est pas très important.
-
Comme le certificat superfish de Lenovo, ou le certificat autosigné DSDTestProvider de Dell récemment :
http://www.journaldunet.com/solutions/saas-logiciel/superfish-quand-lenovo-installe-des-malwares-dans-ses-pc-0215.shtml
https://www.nextinpact.com/news/97487-dsdtestprovider-autre-certificat-auto-signe-dell.htm
Après l'épisode Lenovo, je me suis dit : OK un vendeur chinois bas de gamme peut risquer sa faible réputation.
Mais Dell, ça me troue le c.!!!
-
Si, Avast est bien une autorité installée sur l'ordinateur, il apparait dans la liste des autorités reconnues par FF
-
Avast a rajouté son certificat racine dans Firefox, je te rassure pas de Avast sur un Windows sans Avast.
Est-ce que Firefox ne devrait indiquer d'une couleur différente les certificats rajoutés ? (en gras par exemple, comme pour les modifications réalisées dans about:config)
-
Non, il ne devrait pas.
-
La mise en évidence de modifications des certificats permettrait de voir si la connexion est réellement chiffrée, ou si un tiers la relaie, comme l'antivirus, un portail wifi captif, un proxy...
-
ou il faudrait une autorisation explicite de l'utilisateur pour rajouter un certificat dans le navigateur.
Autoriser un logiciel à déchiffrer tout le contenu, c'est mettre une grande responsabilité dans ce logiciel en terme de sécurité.
Je ne parle même pas d'un logiciel malveillant qui rajoute un certificat dans le navigateur pour récupérer les numéros de carte bleu (ou autre chose).
Des key-logger sont possibles sans certificat racine, mais limiter les possibilités techniques de récupérer des informations confidentielles est toujours une bonne chose.
-
Il y a plein de possibilité d'espionner les connexions, et je trouve cette méthode moche.
En principe ce n'est pas à un navigateur (ou autre logiciel) de se protéger des malwares. On marche sur la tête!
-
En principe ce n'est pas à un navigateur (ou autre logiciel) de se protéger des malwares. On marche sur la tête!
On est bien d'accord...
Ah tiens mon 110e message sur le forum! :D
-
Donc il faut adopter l'architecture type Android sur les PC.
-
D'après DSDTestProvider, l'autre certificat auto-signé de Dell (https://www.nextinpact.com/news/97487-dsdtestprovider-autre-certificat-auto-signe-dell.htm) :
Le souci de sécurité était exactement le même que pour SuperFish : un certificat racine auto-signé
Le rédacteur aurait pu nous épargner ce détail technique sans le moindre intérêt et qui fait penser à d'autres certificats auto-signés que les webmestres utilisent parfois.
D’une part, la possibilité de signer un malware avec le même certificat pour que les ordinateurs le reconnaissent comme un logiciel authentique
Un malware peut tout à fait être signé, ça n'a rien à voir. La signature permet juste de vérifier qu'un logiciel n'a pas été altéré. On peut facilement trouver des merdes pour Windows signées.
-
Sinon c'est mon antivirus qui a généré le certificat, je suppose en installant une autorité sur mon pc puisque le certificat est présenté comme ci-dessous:
Voici ce que tu devrais voir :
-
Mais Avast n'est pas une autorité de certification !
Définis "autorité de certification"!
-
Est-ce que Firefox ne devrait indiquer d'une couleur différente les certificat rajoutés ? (en gras par exemple, comme pour les modifications réalisées dans about:config)
Pour commencer, je voudrais voir pour chaque certificat :
- qui s'en porte garant
- sous quelle juridiction il se trouve
- la politique de certification résumée
Tout ça devant être affiché sur une ligne.
Les certificats correspondant à une politique d'interception devraient être à part.
-
La mise en évidence de modifications des certificats permettrait de voir si la connexion est réellement chiffrée, ou si un tiers la relaie, comme l'antivirus, un portail wifi captif, un proxy...
La connexion est bien sûr chiffrée, le problème est l'autorité du serveur TLS.
-
ou il faudrait une autorisation explicite de l'utilisateur pour rajouter un certificat dans le navigateur.
Et une "autorisation explicite" pour installer une extension?
Et une "autorisation explicite" pour changer une option?
Et comment tu comptes gérer les autorisations? Stockées où?
-
Est-ce que Avast déchiffre tout le trafic https ou est-ce que pour certains nom de domaine type banque ou Google, il laisse le trafic passer sans y toucher ?
Il me semble que Chrome remonte l'information quand il voit un certificat Google qui n'est pas le bon.
Certains se sont fait prendre comme ça...
-
Est-ce que Avast déchiffre tout le trafic https ou est-ce que pour certains nom de domaine type banque ou Google, il laisse le trafic passer sans y toucher ?
Je crois qu'il y a une liste blanche pour laquelle il ne fait pas d'interception.
Je trouve quand même étonnant qu'un logiciel tiers puisse ajouter un certificat racine dans un navigateur sans même que le dit navigateur te demande de confirmer l'action.
-
A un moment j'ai eu une erreur avec Thunderbird qui me disait que le certificat n'était pas valide, pour les mêmes raisons que ce dont je parlais au début de ce topic...
Pour revenir à la question, quelle est votre impression sur cette interception de certificats? Es-ce que Avast est vraiment de confiance?
-
Es-ce que Avast est vraiment de confiance?
Non, c'est un logiciel propriétaire = le démon.
-
Est-ce que Avast déchiffre tout le trafic https ou est-ce que pour certains nom de domaine type banque ou Google, il laisse le trafic passer sans y toucher ?
Il me semble que Chrome remonte l'information quand il voit un certificat Google qui n'est pas le bon.
Non, pas si le certificat racine est inconnu.
Il y a une liste NOIRE de racines reconnues qui sont signalées si elles trichent.
-
Je crois qu'il y a une liste blanche pour laquelle il ne fait pas d'interception.
Je trouve quand même étonnant qu'un logiciel tiers puisse ajouter un certificat racine dans un navigateur sans même que le dit navigateur te demande de confirmer l'action.
J'espère bien qu'il n'existe pas UN certificat Avast à mettre sur "liste blanche".
-
Pour revenir à la question, quelle est votre impression sur cette interception de certificats? Es-ce que Avast est vraiment de confiance?
Question étrange quand tu l'utilises comme AV, en lui demandant de fouiller tous tes fichiers.
-
L'autre choix est de passer sur Linux. Après tout ce qui est proprio (=sources fermées) est suspect je suis d'accord mais dans ce cas faut remettre en question pas mal de choses...
Mais sur le principe ? non je ne définis pas ce mot ;D
-
J'ai séparé le hors sujet.
Je rajouterais un autre cas : les anti-virus qui remplacent le certificat par un certificat auto-signé ne vérifient pas si le certificat a été révoqué.
Oui, la vérification des certificats envoyés est assez compliquée :
- vérification du nom du site
- vérification des signatures (de type RSA, DSA, DH, ECDSA....)
- vérification du chaînage : chaque certificat est bien signé
- vérification du statut de révocation des différents éléments de la chaîne (sauf la racine)
- vérification de la date de validité
- vérification que tous les éléments sauf le certificat final sont des autorités de certification
- vérification des "rôles" autorisés
- vérification des contraintes comme la longueur de la chaîne de certification
- vérification des contraintes "rares" comme les restrictions sur les domaines (limite aux domaines dans fr par exemple)
- vérification qu'il n'a pas de contrainte obligatoire que l'outil ne reconnait pas : une contrainte obligatoire inconnue doit faire rejeter le certificat
Quelque failles connues :
- vérification du nom du site : les données texte dans un certificat sont préfixées par la taille et non délimitées par un terminateur comme en C; manipuler le nom de domaine comme une chaine C conduit à un résultat incorrect si un nul est présent : la fin du nom de domaine n'est pas pris en compte; faille dans GNU TLS
- vérification du statut de révocation : Google Chrome pendant longtemps n'a pas fait la vérification en ligne du statut de révocation, considérant (à raison) que cela n'apporte rien; Firefox la fait mais par défaut considère que ne pas pouvoir vérifier ne conduit pas à une erreur. La vérification en ligne du statut de révocation est un bricolage mal conçu qui a été complété par la suite (stapling).
- vérification du statut de révocation des différents éléments de la chaîne : je ne crois pas que tous les outils le fassent pour chaque élèment sauf la racine
- vérification que tous les éléments sauf le certificat final sont des autorités : une version de IE ne le faisait pas; avoir la clé privée d'un certificat valide (pour n'importe quel domaine) suffisait pour s'authentifier comme n'importe quel autre domaine : il fallait simplement produire un certificat signé avec la clé privée. Un "responsable" de M$ a affirmé que c'était pas grave et qu'en cas de doute l'utilisateur n'avait qu'à valider lui même les certificats!
- vérification des contraintes : la contrainte de longueur de la chaine est essentielle :
est une autorité + longueur nulle = n'est pas une autorité
Une obscure autorité produisait des certificats clients spécifiant qu'ils étaient des autorités de certification mais avec une longueur nulle!!!!
J'en oublie sans doute.
-
Mais Avast n'est pas une autorité de certification !
Est une autorité ce qui est dans la liste des autorités.
Avast n'est pas L'autorité désignée par le site. C'est d'un certain point une falsification, une usurpation.
Si c'est fait à l'insu de l'utilisateur, on peut plaider la violation de marque, AMHA.
-
Est-ce que Avast déchiffre tout le trafic https ou est-ce que pour certains nom de domaine type banque ou Google, il laisse le trafic passer sans y toucher ?
En voulant vérifier ça, je me suis aperçu qu'Avast! ne déchiffrait plus le trafic. Le certificat d'origine de chaque site s'affiche...
-
Peut être une option à activer?
-
Justement j'avais regardé et l'option "Autoriser l'analyse HTTPS est activée".
-
J'ai les mêmes paramètres et l'antivirus continue à remplacer le certificat original par le sien. Tu as quelle version du programme?
-
Quel navigateur?
-
Je crois que je constate la même chose en utilisant la dernière version de Firefox et d'Avast sous Windows 7.
-
Quel navigateur?
Chrome habituellement, mais j'ai aussi testé avec Firefox et le certificat est aussi celui du site.
-
ça veut donc dire que l'antivirus à trouvé une parade pour analyser le traffic HTTPS sans changer le certificat ? Ou il analyse à postériori lorsque la page/code est affichée sur le navigateur ?
-
Ça me semble peu probable, à mon avis Avast ne fait plus l'analyse mais je ne sais pas pourquoi.
-
ça veut donc dire que l'antivirus à trouvé une parade pour analyser le traffic HTTPS sans changer le certificat ?
Peut être, en tout cas ça doit être assez facile.
-
D'après toi comment/par quoi l'antivirus ferait ça?
-
Tu pourrais essayer avec Internet Explorer pour être sur que ce n'est pas un changement du coté des navigateurs pour empêcher ce type de déchiffrement des flux https ?
Au moins Internet Explorer, il est peu modifié (hors correctifs de sécurité)
Techniquement, je ne vois pas de solution. Le but du https c'est que les flux sont chiffrés de bout en bout si on a bien le bon certificat.
-
Ou alors il existe une solution que les boites noires de Bernard utilisent aussi... Mais ça se saurait car en HTTPS tout repose sur les certificats pour être sur qu'il n'y a pas d'homme-au-milieu
-
En récupérant le flux après déchiffrement, par exemple?
-
C'est possible, mais cela demande un navigateur profondèment modifié.
C'est pas une extension qui peut faire ça.
-
Pourquoi pas?
-
Ou en récupérant la clé de déchiffrement du navigateur (en temps réel) pour déchiffrer en parallèle ? Dans ce cas-là, pas d'homme du milieu car le navigateur reçoit le message intact et celui-ci est à peine modifié...
-
Il suffit de définir une variable d'environnement pour que le navigateur log les clés de déchiffrement.
-
C'est possible, mais cela demande un navigateur profondèment modifié.
C'est pas une extension qui peut faire ça.
Les antivirus étant développés par des gens qui se doivent d'être calés en programmation système pour reverser, comprendre et détecter aux bons endroits, et s'accordant d'ailleurs souvent eux-mêmes des fonctionnalités d'une complexité et d'un niveau de contrôle proche du rootkit, faire quelque chose comme mettre un hook au bon endroit devrait moyennement poser problème (même si les compétences peuvent être disparates au sein d'une grosse entreprise).
-
C'est pour cela qu'il est intéressant de test avec plusieurs navigateurs pour avoir un début de réponse.
Je ne pense pas qu'un hook soit compatible avec les 3 navigateurs. Internet Explorer et son code propriétaire ne simplifie pas les choses.
Ce type de hook entraîne de gros risques, au niveau confidentialité, mais aussi au niveau stabilité du navigateur (compatibilité avec les mises à jour régulières) et peut poser pb en cas de désinstallation de l'anti-virus. Bref, je ne pense pas que ce soit la solution retenue.
-
faire quelque chose comme mettre un hook au bon endroit devrait moyennement poser problème
Ils ne se privent pas pour le faire au niveau de Windows mais j'ai jamais entendu dire qu'ils le faisaient pour d'autres logiciels.
-
Ce type de hook entraîne de gros risques, au niveau confidentialité,
Plus que faire un MITM?
mais aussi au niveau stabilité du navigateur (compatibilité avec les mises à jour régulières)
Seulement si le code de déchiffrement change, ce qui ne doit pas arriver souvent AMHA.
peut poser pb en cas de désinstallation de l'anti-virus.
Parce qu'on peut désinstaller des logiciels?! Sans tout bousiller?!! Sous Windows?!!!
Première nouvelle!
Bref, je ne pense pas que ce soit la solution retenue.
Je ne suis pas aussi sûr.