Journal SSL, et l'escroquerie continue

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
29
6
avr.
2011

J'ai déjà parlé de ce sujet ici, je vais donc faire très court.

Dans le journal précédent j'avais déjà parlé des certificats signé pour "localhost" ou autre nom non FQDN. Et bien voilà que le groupe de l'observatoire SSL de l'EFF arrive avec des nouvelles données intéressantes mais effrayantes.
Nos amis, les CA, ont tout simplement signé plus de 37'000 certificats SSL valides ayant des noms bidons. Par exemple, ils ont trouvé 806 certificats ayant comme nom "exchange".
À l'aide des données de l'observatoire, d'autres informations ont pu être trouvées, comme les 10 certificats EVP signant des noms pas réglementaires.

Encore d'autres surprises nous attendent certainement dans les joies du SSL et son modèle du tiers de confiance.

  • # They should

    Posté par  . Évalué à 10.

    "Certificate authorities should stop signing unqualified names"

    L'EFF annonce qu'ils ne devraient plus faire cela, dit autrement: il n'y a pas de sanctions particulières si ils font mal leur travail.

    Comme toutes entreprises, si il n'y a pas de sanctions quand le travail est mal fait, alors elles feront ce qu'elles veulent. Dans certains domaines ce n'est pas gênant, dans celui de la sécurité ça l'est. Le modèle du tiers de confiance ne fonctionnera jamais parfaitement dans ces conditions.

    • [^] # Re: They should

      Posté par  . Évalué à 10.

      En même temps, l'EFF est une organisation privée, donc ils pourraient mettre "must" que ça en toucherait une sans faire bouger l'autre aux guignolos qui ont la certification facile. On parle bizness, la !

      Le seul moyen de les pressurer, c'est de dégager les brebis galeuse des bases des OS/nagivateurs.

    • [^] # Re: They should

      Posté par  . Évalué à 3.

      il n'y a pas de sanctions particulières si ils font mal leur travail.

      Dans un modèle de réputation, la sanction existe bien : c'est la perte de confiance (qui est ce qu'ils vendent).
      Donc si ces informations prennent de l'ampleur, t'inquiète pas qu'ils seront obligés de bien faire le boulot. En tout cas, au moins de communiquer qu'ils le font bien/mieux ...

      • [^] # Re: They should

        Posté par  (site web personnel) . Évalué à 5.

        Non. La perte de confiance, ce serait qu'un logiciel supprime le certificat d'une autorité corrompue. Or cela se traduirait immédiatement par une gêne pour ses utilisateurs : aucun éditeur de logiciel n'a intérêt à faire cela.

        • [^] # Re: They should

          Posté par  . Évalué à 4.

          Si. Prends l'analogie moisie d'une banque si tu veux.

          La perte de confiance, ce serait qu'une entreprise supprime son compte d'une banque non fiable. Or cela se traduirait immédiatement par une gêne pour ses utilisateurs : et pourtant, ça arrive.

          • [^] # Re: They should

            Posté par  . Évalué à 2.

            C'est très différent, tu utilise moins souvent un numéro de compte qu'un site qui utilise du HTTPS.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: They should

          Posté par  . Évalué à 8.

          Quand Linuxfr utilise un certificat en carton, les utilisateurs ne blâment pas leur navigateur : ils blâment Linuxfr.

          Si un jour les navigateurs (ou même juste Firefox) déréférençait une AC qui gère des sites de e-commerce, on peut être à peu près sûr que les-dits sites changeraient d'AC sur le champ pour rétablir leur business.

          BeOS le faisait il y a 20 ans !

    • [^] # Re: They should

      Posté par  (site web personnel) . Évalué à 10.

      Comme toutes entreprises, si il n'y a pas de sanctions quand le travail est mal fait, alors elles feront ce qu'elles veulent.

      C'est pire encore : dans le modèle SSL, les autorités de certification sont financées au certificat émis. Par conséquent, en plus de n'avoir aucune sanction, il est dans leur intérêt de faire de la merde.

  • # comprends pas

    Posté par  . Évalué à 0.

    806 certificats ayant comme nom "exchange".

    c'est quoi le problème ? je ne comprends pas. Les entreprises qui usent de ces certificats sont en danger, mais c'est leur problème.

    • [^] # Re: comprends pas

      Posté par  (site web personnel) . Évalué à 7.

      No sir. Ce sont tous les gens qui font confiance à leurs logiciels qui font confiance à ces autorités de certifications qui sont en danger.

      • [^] # Re: comprends pas

        Posté par  . Évalué à 8.

        Je fais partie des gens qui font confiance à un logiciel qui fait confiance à une liste de CA (même que le logiciel s'appelle Firefox). Quels sont mes risques, face à un certificat « exchange » ? La réponse devra commencer par « Un attaquant pourrait ... ». Merci.

        • [^] # Re: comprends pas

          Posté par  (site web personnel) . Évalué à 10.

          Si le serveur de mail de ton réseau local s'appelle « exchange » et que tu comptes sur SSL pour te garantir que c'est bien à lui que tu parles quand tu accèdes à http://exchange/ (ou, probablement, via un autre protocole qui utilise SSL), devines ce qu'il se passe si quelqu'un fait un man-in-the middle...

          Tu me diras, pourquoi utiliser « exchange » alors que je pourrais demander « exchange.maboite.fr » ? Bonne question, mais il y a au moins 806 organisations qui ont jugé pertinent de payer pour pouvoir le faire, et qui ont probablement cru acheter de la sécurité au moment de signer le chèque !

          • [^] # Re: comprends pas

            Posté par  . Évalué à 0.

            D'un autre cote, le mec qui arrive a faire un mitma sur un reseau local avec l'url http://exchange, moi je lui tire mon chapeau et il a merite ses informations glanees illegalement.

            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

            • [^] # Re: comprends pas

              Posté par  (site web personnel) . Évalué à 5.

              Le SSL Observatory répertorie des certificats visibles sur Internet et pas sur les réseaux privés. Ça veut bien dire que ces certificats sont utilisés sur Internet.
              Si tu es en interne, tu vas pas payer un certificat mais faire ton propre petit CA, le distribuer sur les postes clients et tu as ta sécurité pour pas un rond.

              "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: comprends pas

                Posté par  . Évalué à -2.

                Tres honnetement, je doute qu'un certificat pour https://exchange soit utilise sur internet.
                Je peux me tromper cela dit, mais chrome pense que "The webpage at https://exchange/ might be temporarily down or it may have moved permanently to a new web address." J'ai eu la flemme de verifier pour firefox ou safari, mais ils vont probablement me repondre la meme chose.

                Ce qui revient donc a l'assertion initiale, faire un mitma sur un reseau local avec https://exchange, le mec a merite ses informations.

                Et sinon, si, ca a tout plein de sens pour une boite d'avoir un certificat pour exchange (ou plutot, pour genre wiki ou confluence ou ce genre de trucs), parce que ca permet aux visiteurs d'acceder en https sans pourtant se faire gueuler dessus pour le navigateur.

                If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                • [^] # Re: comprends pas

                  Posté par  (site web personnel) . Évalué à 5.

                  Tres honnetement, je doute qu'un certificat pour https://exchange soit utilise sur internet.

                  http://www.eff.org/observatory : "The EFF SSL Observatory is a project to investigate the certificates used to secure all of the sites encrypted with HTTPS on the Web."
                  Leur base de données a été composée en naviguant tout l'espace IPv4 publique sur le port habituel du SSL. Ils ont donc récupérer des certificats utilisés sur l'espace IPv4 publique, soit Internet.

                  Je peux me tromper cela dit, mais chrome pense que "The webpage at https://exchange/ might be temporarily down or it may have moved permanently to a new web address."

                  Moi quand je tape http://x00 ou http://x01 ou ... j'arrive sur des serveurs au travail depuis ma machine. Et pour avoir vu certains "comportements" dans certains services informatiques, je me dis qu'il y'a bien des cas où les gens peuvent taper http://exchange :
                  - Voilà pour accéder au webmail il faut taper https://exchange.monentreprise.com
                  - On pourrait pas faire plus court, comme http://exchange
                  - heu ... oui, mais ...
                  - alors parfait, je veux ça.

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: comprends pas

                    Posté par  . Évalué à 1.

                    Y'a des gens qui « m o n e n t r e p r i s e . c o m » à chaque consultation du webmail ? Perso je tape « mon... » et le premier lien proposé par la Firefox (Awesome bar) est « https://mail.monentreprise.com/webmail/src/login.php ».

                    • [^] # Re: comprends pas

                      Posté par  (site web personnel) . Évalué à 10.

                      Désolé de te décevoir, mais j'ai rencontré des responsables informatiques aussi compétent qu'un balais (et ça reste insultant pour mon balais qui est très compétent, je lui explique pleins de trucs super). Il y'a pas très longtemps on m'a encore dit "oui nous on utilise IE6 parce que les autres sont pas assez sécurisé". Donc tu te mets dans ce mode de pensée et tu comprends à combien d'année lumière de la "awesome bar" ils sont.

                      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                      • [^] # Re: comprends pas

                        Posté par  . Évalué à 8.

                        je plussoie à mort. et le problème des certif SSL n'est pas l'urgence :-)

                    • [^] # Re: comprends pas

                      Posté par  . Évalué à 5.

                      Y'a des gens qui « m o n e n t r e p r i s e . c o m » à chaque consultation du webmail ? Perso je tape « mon... » et le premier lien proposé par la Firefox (Awesome bar) est « https://mail.monentreprise.com/webmail/src/login.php ».

                      C'est bien on est content pour toi.

                      Mais tu penses sérieusement que la majorité des entreprises utilise awesome bar et tape une url complète ? Que ton comportement est celui de tout le monde ?

                      Toutes les entreprises que j'ai fréquentées utilisent le search du resolv.conf et ne tapent que la première partie du fqdn. Les gens vont au plus court. Personne n'aime perdre du temps inutilement.

                      • [^] # Re: comprends pas

                        Posté par  . Évalué à 1.

                        Là où je travaille, les gens savent ce que sont les favoris/marques-pages.

                  • [^] # Re: comprends pas

                    Posté par  . Évalué à -3.

                    Et il est resolu comment ton x00 quand t'es en dehors de ton reseau local?

                    If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                    • [^] # Re: comprends pas

                      Posté par  (site web personnel) . Évalué à 3.

                      man hosts

                      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                      • [^] # Re: comprends pas

                        Posté par  . Évalué à 1.

                        Donc tu ne demandes pas au DNS de résoudre « x00 », mais « x00.monentreprise.com » (voire tu utilises l'IP fixe). Je ne vois toujours pas comment l'observatoire SSL a réussi à détecter des requêtes vers un hôte non qualifié.

                        • [^] # Re: comprends pas

                          Posté par  . Évalué à -1.

                          J'ai pas lu le papier en question (ou plutot si, mais en diagonale), mais ce qu'ils font, c'est pas tout simplement consulter la liste de certificats publiques?

                          Moi je veux bien croire que qq clampins on mit un certif pour localhost en prod sur internet, mais je comprends toujours pas comment on peut utiliser ca pour un homme de le milieu dans la jungle d'internet.

                          If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                        • [^] # Re: comprends pas

                          Posté par  . Évalué à 6.

                          Donc tu ne demandes pas au DNS de résoudre « x00 », mais « x00.monentreprise.com » (voire tu utilises l'IP fixe). Je ne vois toujours pas comment l'observatoire SSL a réussi à détecter des requêtes vers un hôte non qualifié.

                          Tu confonds DNS et navigateur. C'est pour ça que tu ne comprends pas.

                          Le certificat SSL n'est pas utilisé par le DNS. Et le navigateur n'intervient pas dans le processus de résolution de nom. Ce sont deux actions bien distinctes et totalement indépendantes.

                      • [^] # Re: comprends pas

                        Posté par  . Évalué à -1.

                        et comment tu fais un mitma quand ton https://exchange est resolu statiquement a https://42.42.42.42?

                        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                        • [^] # Re: comprends pas

                          Posté par  . Évalué à 5.

                          Un arpspoof?

                          • [^] # Re: comprends pas

                            Posté par  . Évalué à 2.

                            Une boîboîte discrète sur le réseau?

                            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                          • [^] # Re: comprends pas

                            Posté par  . Évalué à -3.

                            Un arpspoof sur le reseau de, disons, free?

                            Bon courage!

                            Ou alors tu parles de mitma sur le reseau local, mais d'un coup on vient de passer a "je peux spoofer l'exchange de facebook sur internet" a "si j'ai acces au reseau local de facebook, alors je peux faire qq chose en en chiant enormement a cote". Ca reduit quand meme pas mal le cote alarmant et dramatique du journal, non?

                            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                            • [^] # Re: comprends pas

                              Posté par  (site web personnel) . Évalué à 2.

                              t'a confiance aux stagiaires/employés de ton FAI ?

                              • [^] # Re: comprends pas

                                Posté par  . Évalué à -7.

                                Va bien falloir, oui, parce que je peux pas trop faire autrement.

                                If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                • [^] # Re: comprends pas

                  Posté par  . Évalué à 6.

                  faire un mitma sur un reseau local avec https://exchange, le mec a merite ses informations.

                  Il faut avoir vu un fichier C:/WINDOWS/System32/drivers/etc/Hosts (ou Lmhosts) de 4000 lignes (même si techniquement une seule suffit) pour comprendre le potentiel de dégat d'un certificat ssl avec un nom aussi con que "exchange".

                  J'admets faire ma mauvaise langue, et que la même chose est tout à fait possible avec n'importe quel *nix mais ça je n'en ai jamais vu en prod dans des sociétés disposant d'un vrai service d'admin.

                • [^] # Re: comprends pas

                  Posté par  . Évalué à 7.

                  Tres honnetement, je doute qu'un certificat pour https://exchange soit utilise sur internet.

                  Tu doutes mal.

                  Je peux me tromper cela dit

                  Tu peux en effet.

                  mais chrome pense que "The webpage at https://exchange/ might be temporarily down or it may have moved permanently to a new web address." J'ai eu la flemme de verifier pour firefox ou safari, mais ils vont probablement me repondre la meme chose.

                  Tu peux vérifier avec 50 navigateurs différents, ça ne change pas le problème, ce n'est pas le navigateur qui est en cause. Ce n'est pas lui qui est chargé de la résolution de noms.

                  Ce qui revient donc a l'assertion initiale, faire un mitma sur un reseau local avec https://exchange, le mec a merite ses informations.

                  Ou pas. C'est peut être un admin réseau dépressif qui vient d'apprendre qu'il ne lui reste plus que 10 jours à vivre et qui n'a plus rien à perdre.

                  C'est improbable ?

                  Oui, mais quand on fait de la sécurité on ne prend pas en compte le probable, mais le possible, sinon on est foutu. La grande majorité des problèmes découlent d'une successions d'évènements improbables.

                  Comme le spam en fait. C'est très improbable de réussir à trouver un pigeon. Alors on se rattrape sur le volume.

                  pour genre wiki ou confluence ou ce genre de trucs

                  C'est quoi la différence entre (cette merde de) confluence et un wiki ?

                  • [^] # Re: comprends pas

                    Posté par  . Évalué à -8.

                    Tu peux vérifier avec 50 navigateurs différents, ça ne change pas le problème, ce n'est pas le navigateur qui est en cause. Ce n'est pas lui qui est chargé de la résolution de noms.

                    Sans deconner? Merde, moi qui vient de passer 3h00 a me faire des vm windows pour verifier, au cas ou. Decu je suis!

                    Ou pas. C'est peut être un admin réseau dépressif qui vient d'apprendre qu'il ne lui reste plus que 10 jours à vivre et qui n'a plus rien à perdre.

                    Moi je pense que l'admin il a pas besoin de faire faire un faux certif vu qu'il a acces au vrai. Remarque, je dis ca, j'dis rien, hein! Ptetre que je me trompe encore une fois.

                    Avec tout ca, on m'a toujours pas explique comment faire un mitma sur https://exchange en dehors d'un reseau local.

                    If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                    • [^] # Re: comprends pas

                      Posté par  (site web personnel) . Évalué à 3.

                      Avec tout ca, on m'a toujours pas explique comment faire un mitma sur https://exchange en dehors d'un reseau local.

                      Tu fais exprès ou bien, tu as déjà demandé là https://linuxfr.org/nodes/85545/comments/1223270 et j'ai déjà répondu. Après si tu es pas d'accord, expliques-moi ce qui ne marche pas et on en discute.

                      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                    • [^] # Re: comprends pas

                      Posté par  . Évalué à 7.

                      Moi je pense que l'admin il a pas besoin de faire faire un faux certif vu qu'il a acces au vrai. Remarque, je dis ca, j'dis rien, hein! Ptetre que je me trompe encore une fois.

                      Oui.

                      Ou plutôt tu simplifies.

                      Tu considères que l'aministrateur réseau est le même que celui qui administre le serveur web. Ce qui n'est pas forcément le cas, sauf peut être dans les petites entreprises.

                      Et encore, en partant du principe que seul les administrateurs réseaux peuvent sniffer/faker du trafic, et pas n'importe qui (comme dans les cas des hubs, wifi, tunnels, etc.)

                      Avec tout ca, on m'a toujours pas explique comment faire un mitma sur https://exchange en dehors d'un reseau local.

                      Heu.

                      On t'a expliqué comment un nom sans fqdn peut être résolu et pointer en dehors d'un réseau local.

                      Tu sais qu'il est possible de faire un mitm en dehors d'un réseau local (et même à l'intérieur, mais ce n'est pas la question ici).

                      Il te faut quoi de plus pour faire le lien entre les deux ?

                      • [^] # Re: comprends pas

                        Posté par  . Évalué à -5.

                        Tu considères que l'aministrateur réseau est le même que celui qui administre le serveur web. Ce qui n'est pas forcément le cas, sauf peut être dans les petites entreprises.

                        Un admin reseau qui passe du cote des mechants, c'est pas SSL qui va sauver ton cul.

                        On t'a expliqué comment un nom sans fqdn peut être résolu et pointer en dehors d'un réseau local.

                        Oui, et j'ai demande en reponse comment reussir un mitma sur une ip resolue statiquement par le client, pas eu de reponses a ca encore.

                        Tu sais qu'il est possible de faire un mitm en dehors d'un réseau local (et même à l'intérieur, mais ce n'est pas la question ici).

                        Oui et dans 99% des cas, ca se fait par dns poisoning qui redirige mabanque.com vers ip_du_mechant. Ou alors par phishing, mais la c'est plus un mitma.

                        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                        • [^] # Re: comprends pas

                          Posté par  (site web personnel) . Évalué à 3.

                          Un admin reseau qui passe du cote des mechants, c'est pas SSL qui va sauver ton cul.

                          non mais ça aide à ce qu'il voit moins de contenu passer.

                        • [^] # Re: comprends pas

                          Posté par  . Évalué à 6.

                          On t'a expliqué comment un nom sans fqdn peut être résolu et pointer en dehors d'un réseau local.

                          Oui, et j'ai demande en reponse comment reussir un mitma sur une ip resolue statiquement par le client, pas eu de reponses a ca encore.

                          Heu, tu veux qu'on réponde quoi ?

                          Moi aussi j'ai une question dans le genre : Comment réussir une attaque mitm quand on porte un tee-shirt jaune ? Attention, je précise qu'il y a une subtilité : le tee-shirt est en coton.

                          Pas facile hein ?

                          Si personne ne répond, ça veut dire que vous avez tous tort.

                          Naméo.

                          Explique nous ce que ça change que l'ip soit résolue statiquement ou non.

                          Tu ne confondrais pas avec du dns poisoning ? Si c'est le cas, j'ai une grande nouvelle pour toi, on peut faire une attaque mitm sans dns poisoning. Et c'est même mieux, parce que dans le cas du poisoning, ce n'est plus un mitm, vu que tu n'est plus entre le serveur et l'utilisateur, tu prends la place du serveur.

                        • [^] # Re: comprends pas

                          Posté par  (site web personnel) . Évalué à 7.

                          Il faut aller se placer entre ta victime et le serveur. Pour ça, tu peux pas dire "je vais attaquer tout x", mais avoir un objectif clair et précis : M de l'entreprise X a des accès qui m'intéresse.
                          De là, tu vas choisir un vecteur d'attaque, mail ciblé, cheval de Troie, attaque sur SSL. Tu découvre que X utilise un certificat SSL bidon. Très bien. Tu découvre que M prend son café dans le bistrot Y, équipé d'un WiFi.
                          Tu as ton attaque, si tu réussi à obtenir un certificat bidon identique, tu dois encore détourner le WiFi du bistrot.

                          Il y a pleins d'autres possibilités, le problème des certificats bidons c'est qu'ils diminuent la sécurité du protocole SSL. Il n'y a certainement jamais eu d'attaque basées sur ce genre de certificats, mais ce n'est pas une raison valide pour ne pas respecter le protocole et diminuer sa sécurité. Si tu cherches bien, la seule raison valide est l'incompétence.

                          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                        • [^] # Re: comprends pas

                          Posté par  . Évalué à 6.

                          Oui, et j'ai demande en reponse comment reussir un mitma sur une ip resolue statiquement par le client, pas eu de reponses a ca encore.

                          Tu te crée un hotspot que tu appelle Freewifi, et tu connais l'IP associée à http://exchange parce que tu bosse dans la boite (et donc tu as lu ton fichiers hosts) ou tu as piqué un portable de la boite et tu as lu le fichier hosts.

                          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: comprends pas

                    Posté par  . Évalué à 3. Dernière modification le 09 avril 2011 à 14:26.

                    Oui, mais quand on fait de la sécurité on ne prend pas en compte le probable, mais le possible, sinon on est foutu. La grande majorité des problèmes découlent d'une successions d'évènements improbables.

                    Surtout si c'est une attaque ciblée genre vengeance, espionnage industriel. Là l'attaquant ne va pas chercher ce qui est probable, mais exploiter tout ce qui est possible...

            • [^] # Re: comprends pas

              Posté par  (site web personnel) . Évalué à 2.

              Si un admin fait confiance à son réseau local, pourquoi paye-t-il un certificat SSL à un CA extérieur ? Et pourquoi le CA accepte-t-il de lui en vendre un ?

              Par ailleurs, le fait que le DNS « exchange » soit résolu sur ma machine n'implique pas forcément que je sois physiquement sur le même réseau local que le serveur, ça veut juste dire que ma machine est configurée pour le résoudre comme ça.

              • [^] # Re: comprends pas

                Posté par  . Évalué à 6.

                Si un admin fait confiance à son réseau local, pourquoi paye-t-il un certificat SSL à un CA extérieur ?

                Le fait qu'il fasse confiance à son réseau local n'exclut pas qu'il ait envie de chiffrer ses communications "au cas où". Et je crains qu'il n'existe des mecs assez truffes pour s'imaginer qu'un certificat SSL "qu'on a payé" est de meilleure qualité qu'un autosigné.

                Et pourquoi le CA accepte-t-il de lui en vendre un ?

                C'est ça le nœud du problème, pour moi.

              • [^] # Re: comprends pas

                Posté par  . Évalué à 3.

                Tel que je le perçois, c'est juste pour éviter que l'utilisateur final voit un gros message d'erreur. "Certif machin is a danger"

                Oui, c'est configurer avec les pieds, mais c'est probablement pas la faille la plus importante de leur réseau

            • [^] # Re: comprends pas

              Posté par  . Évalué à 3.

              D'un autre cote, le mec qui arrive a faire un mitma

              C'est quoi un mitma (je suis particulièrement intéressé par la dernière lettre).

              sur un reseau local avec l'url http://exchange

              Tu es le seul à supposer qu'on parle de réseau local.

              Par ailleurs, même sur un réseau local, il convient de ne faire confiance à personne. Pas même aux admins réseau de ta boite.

              Tu accepterais de payer sur Internet en http plaintext ? Pourtant tu peux bien faire confiance à ton FAI, et aux autres boites qui ont des relations contractuelles avec ledit FAI, etc. par transitivité ?

              Si ce n'est pas le cas, pourquoi tu ferais plus confiance à un collègue que tu n'a jamais vu de ta vie ?

        • [^] # Re: comprends pas

          Posté par  (site web personnel) . Évalué à 10.

          Ça simplifie une attaque. Tu as juste besoin d'un certificat bidon mais valide. Et comme il y'a +30'000 certificats bidons mais valide, j'ai toutes les raisons de penser que je pourrais en avoir un aussi. Alors il ne me reste plus qu'à me positionner entre la victime et le serveur, avoir le bon certificat bidon et récupérer ce que je souhaites dans les communications. Pas besoin de manipuler le moindre DNS, pas besoin d'envoyer un mail avec un lien vers un site ayant presque le même nom et espérer que la victime ne s'en rende pas compte.

          Alors avec une borne wifi (comme mon htc desire: petit, portable et hackable), je mets le ssid qui a le nom du bistrot proche de l'entreprise en question (ma victime) et j'ai beaucoup de chance d'obtenir quelques comptes utilisateurs discrètement. Bien entendu comme le nom d'utilisateur et le mot de passe est certainement le même pour d'autres services ... Et voilà, plus simple que ça.

          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: comprends pas

            Posté par  . Évalué à -4.

            Et si l'attaquant maitrise le reseau local, tu crois qu'un certificat SSL va te proteger?
            Un bon vieux proxy des familles et paf, l'homme dans le milieu a ce qu'il veut.

            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

            • [^] # Re: comprends pas

              Posté par  (site web personnel) . Évalué à 3.

              Un bon vieux proxy des familles et paf, l'homme dans le milieu a ce qu'il veut.

              Non, seulement un proxy dont tu aura accepté le certificat,

            • [^] # Re: comprends pas

              Posté par  (site web personnel) . Évalué à 2.

              Si l'attaquant maitrise le réseau, alors oui, SSL va te protéger, c'est son rôle en fait.

              Si l'attaquant est root sur ta machine, c'est différent.

              Un bon vieux proxy des familles et paf, l'homme dans le milieu a ce qu'il veut.

              La dernière fois que j'ai regardé, les proxy HTTPS ne voyaient pas passer le contenu déchiffré justement. Il doit bien y avoir une raison ...

              • [^] # Re: comprends pas

                Posté par  . Évalué à 3.

                De base un proxy ne peut pas voir le flux HTTPS échangé.

                Mais c'est possible, et certains produits le font, en fournissant un "faux" certificat pour le serveur. Dans ce cas le proxy réalise un man-in-the-middle en présentant un certificat pour le nom de domaine mais signé par lui.

                Sur des postes déployés en entreprise où, par exemple, le certificat de la boite a été ajouté, c'est complètement transparent (pas de message d'alerte dans le navigateur). Sur ce point FF peut être salvateur comme il utilise sa propre liste de certificats et pas celle du système.

                Personnellement la première fois que j'ai vu le certificat Google signé par la boite où je bossais j'ai trouvé ça louche :)

                • [^] # Re: comprends pas

                  Posté par  . Évalué à 2.

                  Si je comprends, dans cette attaque, tu vas en fait parler en SSL avec le proxy, qui peut alors lire le clair, puis le proxy recode en SSL vers google (avec le vrai certificat google) ?

                  Est-ce encore une attaque rendue possible par la mauvaise habitude de commencer sa session en HTTP puis d'être redirigé en HTTPS ? Si je contacte google directement en https, ça continue de marcher ?

                  • [^] # Re: comprends pas

                    Posté par  (site web personnel) . Évalué à 3.

                    Si je contacte google directement en https, ça continue de marcher ?

                    Ca change rien, le certificat présenté est valide car sur la machine (pour IE), donc transparent, quoique tu fasses avant. Avec Firefox, alerte, tant que les admins ne décident pas de changer ton Firefox en y ajoutant aussi le certificat (ça viendra si FF est utilisé un peu trop dans l'entreprise, et puis ben en fait si tu refuse pas d'accès donc tu peux pas accéder à gmail, tu vas être tenté d'accepter le faux certificat même avec l'alerte).

                    Dans tous les cas, dès que tu laisses un autre admin gérer tes certificats, SSL ne protège plus de rien par défaut (il faut alors regarder qui a signé le certificat, mais tu n'as pas de message d'alerte. Faut espérer que ça va venir quand Mozilla/Microsoft/Apple/Google/Opera vont se rendre compte que SSL est détourné et qu'il faut faire quelque chose).

                    • [^] # Re: comprends pas

                      Posté par  (site web personnel) . Évalué à 4.

                      Avec Firefox, alerte, tant que les admins ne décident pas de changer ton Firefox en y ajoutant aussi le certificat

                      C'est évident qu'a partir du moment ou les admins ont la mains sur ta machine, ils font ce qu'ils veulent avec, filtrage, installation de keylogger etc, et que dans ce cas SSL n'es d'aucune utilité.

        • [^] # Re: comprends pas

          Posté par  . Évalué à 10.

          Un attanquant pourrait t'attaquer.

          De rien

          -----------> [ ]

  • # Communications bancaires EBICS

    Posté par  . Évalué à 1.

    La fin de l'ETEBAC sur X25 amène sur ces sujets nos amis les banquiers et leurs clients professionnels. EBICS mode T qui remplace l'ETEBAC 3 se base sur des certificats auto signés. Certaines banques demandent à ce que les hashs des cles leur soient envoyés ... par fax ... AVEC les certificats en clair ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.