La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: Marin le 08 décembre 2013 à 02:03:17
-
Selon un blog officiel tenu par Google : https://googleonlinesecurity.blogspot.fr/2013/12/further-improving-digital-certificate.html (https://googleonlinesecurity.blogspot.fr/2013/12/further-improving-digital-certificate.html)
Pour rappel, l'ANSSI est une agence gouvernementale, potentiellement liée aux services de renseignements.
Further improving digital certificate security
Saturday, December 7, 2013 11:43 AM
Posted by Adam Langley, Security Engineer
Late on December 3rd, we became aware of unauthorized digital certificates for several Google domains. We investigated immediately and found the certificate was issued by an intermediate certificate authority (https://en.wikipedia.org/wiki/Intermediate_certificate_authorities) (CA) linking back to ANSSI, a French certificate authority. Intermediate CA certificates carry the full authority of the CA, so anyone who has one can use it to create a certificate for any website they wish to impersonate.
In response, we updated Chrome’s certificate revocation metadata immediately to block that intermediate CA, and then alerted ANSSI and other browser vendors. Our actions addressed the immediate problem for our users.
ANSSI has found that the intermediate CA certificate was used in a commercial device, on a private network, to inspect encrypted traffic with the knowledge of the users on that network. This was a violation of their procedures and they have asked for the certificate in question to be revoked by browsers. We updated Chrome’s revocation metadata again to implement this.
This incident represents a serious breach and demonstrates why Certificate Transparency (http://www.certificate-transparency.org/), which we developed in 2011 and have been advocating for since, is so critical.
Since our priority is the security and privacy of our users, we are carefully considering what additional actions may be necessary.
-
Ouais, interception privée, après avoir averti les utilisateurs!...
S'ils veulent jouer à ça, qu'ils jouent avec leurs propres racine de certification privée!
Avec une racine approuvée et utilisée par le public, on ne joue pas!
-
Quelqu'un peut-il nous traduire ça avec des mots simples et compréhensibles par "tout le monde"? Parce que même avec 3 lectures de l'article, je ne comprends toujours pas de quoi ça parle...
Leon.
-
Afin de valider le certificat TLS d'un site comme lafibre.info, il faut faire appel à des "ancres" ou "racines" de confiance : la cryptographie permet de dire "je fais confiance à X, X me dit d'accepter les affirmations de Y d'une certaine forme si elles sont signées par K ..." mais tout ça doit bien partir de quelque, on parle donc "d'ancre" ou de "racine", selon l'humeur.
Les navigateurs comportent donc une série d'ancres pour ancrer la confiance, parmi lesquelles StartCom qui permet de valider le certificat TLS de lafibre, et plein d'autres dont la racine de l'ANSSI.
Cette racine ne doit bien entendu jamais permettre d'affirmer une chose fausse, hors elle a permit d'affirmer que des certificats qui n'appartenaient pas à Google étaient valides pour des domaines de Google.
Google a donc bien sûr commencé par tirer pour ensuite discuter :
- annulation de la racine en cause
- discussion pour comprendre ce qui s'est passé
C'est une honte terrible pour l'ANSSI qui aura bien du mal à laver son honneur.
-
Pour traduire la réponse de l'ANSSI : c'est vrai on a fabriqué des faux billets, mais c'était un jeu, on voulait jouer au Monopoly alors on a imprimé de faux billets d'euros qui ressemblent à des vrais.
C'est mignon.
Et impardonnable.
Il faut évidemment que le Ministre s'en explique, dès la semaine prochaine!
-
Il faut évidemment que le Ministre s'en explique, dès la semaine prochaine!
on a bon espoir!
et il a de la matière:
http://www.ctvnews.ca/sci-tech/let-s-be-honest-we-eavesdrop-too-former-french-foreign-minister-on-nsa-spying-claims-1.1509912 (http://www.ctvnews.ca/sci-tech/let-s-be-honest-we-eavesdrop-too-former-french-foreign-minister-on-nsa-spying-claims-1.1509912)
-
reponse de l'ANSSI: c'est une 'erreur humaine' : http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html (http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html) sans conséquence pour l'état ou les utilisateurs d'Internet.
-
"une action de renforcement de la sécurité au ministère des finances"
-
Mozilla réagit : https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate/
-
Vous trouverez une description de ce qui s'est passé ici (http://www.mail-archive.com/frnog@frnog.org/msg26501.html). D'aprés les premiers éléments, il s'agit d'une erreur humaine, suite au test d'une solution de sécurité (inspectan le trafic SSL) dans une administration. A priori, pas de volonté d'une agence de renseignement d'inspecter le trafic internet.
-
Merci pour ces informations :)
-
Quels sont les sites web qui vont êtres impactés par ce retrait de certificats ? (effectif dans la prochaine version de Firefox qui sort cette semaine)
Tous les sites d'administrations ?
-
Vous trouverez une description de ce qui s'est passé ici (http://www.mail-archive.com/frnog@frnog.org/msg26501.html). D'aprés les premiers éléments, il s'agit d'une erreur humaine,
Qui ne doit jamais pouvoir se produire.
On ne fait pas joujou avec une racine mondialement reconnue. Là il doit y avoir démission d'un responsable de la sécurité, et enquête administrative, au grand minimum.
Je pense qu'une commission d'enquête parlementaire est de rigueur, mais bon, je ne rêve pas.
A priori, pas de volonté d'une agence de renseignement d'inspecter le trafic internet.
D'après eux, juste la volonté d'une agence de renseignement d'inspecter le trafic vers l'Internet.
C'est juste un piratage en règle, et je pense que Google serait en droit de porter plainte pour contrefaçon, sans parler du délit informatique.
Pour l'instant, il faut que je vire la racine en question.
-
Quels sont les sites web qui vont êtres impactés par ce retrait de certificats ? (effectif dans la prochaine version de Firefox qui sort cette semaine)
Tous les sites d'administrations ?
Très franchement, je ne pense pas qu'un seul site intéressant le public dépende de cette racine.
C'est une racine à la con comme il y en a des centaines.
-
Je ne sais pas ce qui serait pire :
- "chef, j'ai ripé"
- "on s'est fait tipiaker la clef"
Et vous, vous préfériez lequel?
-
Lecture très intéressante :
https://www.imperialviolet.org/2011/05/04/pinning.html (https://www.imperialviolet.org/2011/05/04/pinning.html)
-
Qui ne doit jamais pouvoir se produire.
On ne fait pas joujou avec une racine mondialement reconnue. Là il doit y avoir démission d'un responsable de la sécurité, et enquête administrative, au grand minimum.
Ca on peut le dire, c'est une énorme boulette.
D'après eux, juste la volonté d'une agence de renseignement d'inspecter le trafic vers l'Internet.
C'est juste un piratage en règle, et je pense que Google serait en droit de porter plainte pour contrefaçon, sans parler du délit informatique.
Pour l'instant, il faut que je vire la racine en question.
Au début c'est les soupcons que j'ai eu, mais, je ne pense que l'explication du test dans le réseau privé qui a mal tourné est tout a fait plausible. Avec les remontées qui sont faites par Chrome, ca ne pouvaient pas passer innapercus. Aprés les barbouzes Francais sont peut etre des amateurs.
-
l'explication du test dans le réseau privé qui a mal tourné est tout a fait plausible. Avec les remontées qui sont faites par Chrome, ca ne pouvaient pas passer innapercus.
Effectivement.
A en lire les différents liens cités plus haut, l'ANSSI aurait voulu tester / auditer un outil de "proxy SSL", basé sur l'inspection du contenu chiffré (déchiffrement + chiffrement à la volée), comme le font certains proxy d'entreprise. Sauf qu'au lieu d'utiliser une autorité de certification locale, pour signer le certificat utilisé dans le produit (ou de l'auto-signer), ils ont utilisé leur autorité de certification publique ANSSI.
Le produit en test venait donc à se faire passer pour un (faux) site Google, authentique du point de vue du navigateur Internet.
Quand Google Chrome voit qu'un site *.google.* est signé par une autre autorité de confiance que celles habituelles pour les sites Google (Verisign, Google Internet Authority, Equifax et GeoTrust), il refuse le site, et il irait (à confirmer) cafter à la maison mère . cf. Public Key Pinning (https://www.imperialviolet.org/2011/05/04/pinning.html)
Voici comment comment la "bourde" aurait fuité.
(merci de corriger mes éventuelles imprécisions dans le domaine des certificats ;))
-
Oui, c'est certainement ce qui s'est passé.
-
Très franchement, je ne pense pas qu'un seul site intéressant le public dépende de cette racine.
C'est une racine à la con comme il y en a des centaines.
une racine abusive comme en possèdent toutes les agences gouvernementales du monde
-
Rappelons que cette vulnérabilité (faille d'un tiers de confiance) est discutée intensivement depuis des années. Les Autorités ont été mises en garde sur les mauvaises pratiques, comme des certificats pour les noms comme "localhost" (sic), pour des adresses IP privées (re-sic), etc.
Il concerne le Web, l'email... tout ce qui utilise le DNS comme système de nommage, mais pas toutes les utilisations de SSL/TLS dans tous les contextes : un réseau qui utilise TLS dans un cadre fermé, centralisé, autoritairement administré (comme Tor) peut définir son propre système d'autorités (dans Tor ce sont les "Directory Server").
-
Bawé.
Le HTTPS avec les CA type comodo etc, c'est super, sauf que la sécurité de l'ensemble se base sur la qualité de la confiance que tu as dans une myriade d'élèment inconnus.
M'enfin;
-
Comodo, sans blague?
-
Du coup, je comprends un peu plus le pourquoi du comment des certificats "Extended Validation" dont la procédure est bien bien parano.
-
Du coup, je comprends un peu plus le pourquoi du comment des certificats "Extended Validation" dont la procédure est bien bien parano.
Mais quelle foutaise!
Il n'y pas un espace de nommage spécifique, par le schéma "https-extended:"...
On fabrique des billets infalsifiable tout en fabriquant des super falsifiables en même temps?
Et quand je vois que COMODO vend de l'Extended Validation...
On ne peut pas mélanger les niveaux de sécurité dans un même système!
-
Bah ça utilise des CA spécifiques, c'est déjà ça non ?
-
Qu'est-ce que tu entends pas CA?
Clef publique? Certificat?
Personne morale?
-
Ca on peut le dire, c'est une énorme boulette.
Au début c'est les soupcons que j'ai eu, mais, je ne pense que l'explication du test dans le réseau privé qui a mal tourné est tout a fait plausible. Avec les remontées qui sont faites par Chrome, ca ne pouvaient pas passer innapercus. Aprés les barbouzes Francais sont peut etre des amateurs.
Peut être qu'ils voulaient savoir de dont il est question quand Google Chrome téléphone maison?
C'est une question intéressante, et c'est explicité supporté par Chrome d'après la doc. Il suffit d'ajouter un certificat local!
-
Qu'est-ce que tu entends pas CA?
Clef publique? Certificat?
Personne morale?
CA = Certificate Authority.