Forum général.général HTTP vs HTTPS

Posté par  (site web personnel) .
Étiquettes : aucune
0
3
fév.
2005
Bonjour,

une question que je me posais et qui m'est revenu en tête suite a la question de quelqu'un sur le https :

quel est le pourcentage de risque que quelqu'un lise ce que je transmet via un post http, sachant que je ne suis pas sur un réseau local avec broadcast (et donc adieu le mode promiscous d'une eventuelle carte réseau vérolée de mon pirate) ?

C'est quoi la théorie ? non pas que je veuille m'y mettre, mais j'aime savoir le risque de gravité auquel je m'exposerai si par hasard je transmettai mes infos de cb a un site de commerce en clair :)

Car comme je me dis souvent, le plus important c'est ce que fait le destinataire des infos, donc si elles transitent en chiffré, mais que de l'autre coté c'est un escroc, ca ne change pas grandchose.. :)

Alors voilà, eclairez moi ma lanterne s'il vous plait

Merci

  • # re

    Posté par  . Évalué à 3.

    Le fait que tu sois sur un réseau switché ne te met pas à l'abri d'eventuels relou.
    Une solution très simple consiste à faire de l'arp spoofing pr se faire passer pour la gate auprès de toi et à renvoyer automatiquement tes paquets à la vrai gate.
    Ce genre d'action n'est pas de haut vol, il existe des outils permettant de le faire automatiquement.
    Pour te prémunir de ce genre d'attaque, la meilleure solution est de mettre les entrées concernant ta gate dans ta table ARP en dur (man arp).
    Il existe certainement d'autre technique mais je ne les ai pas en tête là (matin toussa)...
    Donc tu n'es pas à l'abri

    • [^] # Re: re

      Posté par  (site web personnel) . Évalué à 3.

      Mais là il faut que l'assaillant soit dans le meme réseau que moi non ?
      Mais via internet ? (oui on va partir du principe qu'ici en local c'est clean, tout le monde m'aime :)

  • # Ca dépend ;-)

    Posté par  (site web personnel) . Évalué à 4.

    Si tu es sur un réseau local avec d'autres utilisateurs, le risque est assez élevé. Comme indiqué dans un post plus haut, l'arp spoofing est facile à faire (google dsniff par exemple).

    Si tu es sur une machine reliée à Internet par un ISP, sans réseau local, en imaginant que la machine elle même est sûre, le risque n'est pas nul mais cependant très faible (en gros il faudrait qu'un pirate prenne le contrôle d'une machine de ton ISP ou d'un routeur d'Internet et (plus dûr) qu'il installe un filtre (consomme des ressources cpu) ou une redirection (consomme des ressources réseau) sans se faire repérer, ce qui est (à cause des ressources consommées) improbable...

    En fait un pirate aura beaucoup plus de chance de te piquer ton numéro en attaquant le serveur du marchant et en regardant leur base de données ou en modifiant le prog qui fait les transactions!
    https n'est pas inutile, mais il faut bien reconnaitre que sa principale utilité est de rassurer l'individu lambda qui ni connait rien "en affichant un cadenas qui veut dire qu'il n'y a aucun risque" (et quand même aussi d'éviter une tentation trop grande pour les admins des ISP ;-)

    • [^] # Re: Ca dépend ;-)

      Posté par  (site web personnel) . Évalué à 3.

      oué donc c'est bien ce que j'ai toujours pensé, dès que t'es plus en réseau local c'est mission impossible pour 99.999% de la population.

      On est aussi d'accord que le vrai risque est en fait la manière dont nos informations sont traitées une fois parvenues au serveur (stockage en clair, revendues à un tiers, etc.)

      Le https n'y change rien, et moi ce qui me fait marrer, ce sont les gens qui ne veulent pas rentrer sur un site https auto-signé, simplement parcequ'ils ont peur que ce soit un vilain webmaster(le message d'IE leur faire peur, alors du coup ils deviennent paranos...)
      Alors que moi le https avec un certificat auto-signé, niveau sécurité c'est ABSOLUMENT la même chose que si j'avais utilisé un certif signé. Mise a part que j'aurai payé bien sur...
      A contrario, quand ya pas de warning car le certif est signé, alors là c'est confiance absolue, ya le ptit cadenas donc l'utilisateur lambda est content il est "a l'abri"

      • [^] # Re: Ca dépend ;-)

        Posté par  (site web personnel) . Évalué à 2.

        Heu attention quand même. Outre le chiffrage (chiffrement?), SSL/TLS (et donc HTTPS) permet l'autentification. Si tu ne vérifie pas le certificat, il est possible de spoofer les réponses DNS pour se faire passer pour le site a atteindre et après suffit que le "méchant" ait installé un serveur web qui gère HTTPS avec une page qui ressemble à la page original sur le serveur pour que tu n'y vois que du feu. Bon si le certificat est auto signé et que tu l'as déjà eu avant je pense que tu peux remarquer le problème mais si tu clic "oui" sans regarder c'est mal barré.

        Et spoofer une réponse DNS est bien moins difficile que de prendre le contrôle d'un routeur internet sans se faire repérer (bon c'est pas forcément facile non plus). Sinon j'ai lu un article [0] comme quoi avec certaines connexions câble, il est possible de sniffer le traffic internet de ses voisins mais ça date un peu donc ça a peut-être changé depuis.

        Sinon pour détecter les sniffers sur son réseau local j'ai écrit un petit script [1] qui utilise arping(8) et qui marche bien. Et pour ceux qui veulent comprendre comment spoofer/sniffer (et donc comment se protéger de ce genre d'attaque) sur un réseau local, il y a cet excellent article [2] qui est passé dans MISC.

        [0] http://www.securityfocus.com/news/7977(...)
        [1] http://krunch.servebeer.com/~krunch/vrac/sw/qua/promiscan.sh(...)
        [2] http://www.arp-sk.org/article/arp.html(...)

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: Ca dépend ;-)

      Posté par  (site web personnel) . Évalué à 2.

      Y'a aussi un risque non négligeable de se faire sniffer par une des grosses organisations genre NSA. Si c'est pour ton no de carte bleu ou le nom de ta copine, je sais pas trop ce qu'ils pourraient en faire, mais si c'est pour préparer le prochain attentat avec Ben Laden, il ne faut pas utiliser de protocole non sécurisé ... ;-)

      • [^] # Re: Ca dépend ;-)

        Posté par  (site web personnel) . Évalué à 2.

        Je suis peut-être parano, mais j'ai dans l'idée que si la NSA veut espionner un site, ils doivent avoir la possibilité de faire un faux site redirecteur et d'aller voir verisign (ou autre) et de dire "bon vous me certifiez ça"...

        Contre la NSA, j'aurais plus tendance à utiliser PGP/Mixmaster pour les mails, Tor pour le surf sur le web (malgrès ses limites contre un adversaire de type NSA justement), etc. Et même avec tout ça je ne n'aurais qu'une confiance très limitée...

        De plus, pour la NSA, s'ils veulent ton numéro de CB, ils prennent juste leur téléphone: "Allo, Visa? Je voudrais le numéro de carte de M Matthieu Moy svp? Non je ne quitte pas..." ;-)

        Bon, je sors avant que la NSA me retrouve -->[ ]

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.