Forum général.général Certificats et autorités de certification proxy d'entreprise

Posté par  . Licence CC By‑SA.
Étiquettes :
3
15
déc.
2016

Bonjour,

Suite au changement de l'infrastructure réseau de mon entreprise, je ne peux plus accéder aux sites SSL à partir de Firefox sans savoir une erreur SEC_ERROR_UNKNOWN_ISSUER.

J'ai résolu le problème en installant un certificat du proxy (xxxInfrastructureProxyCA) de ma boite exporté à partir d'internet Explorer en tant qu'autorité de confiance, mais la question, n'est pas là.

Quelles sont les implication au niveau confidentialité en faisant ça ? Les données sont elles transmises en clair vis à vis de mon employeur ?

Qu'est ce que ça implique exactement ?

Merci

PS : je ne demande pas une solution de contournement des règles que j'ai signé, juste des infos

  • # Déchiffrement SSL

    Posté par  . Évalué à 10.

    Salut,

    Et bien, de toute évidence, le proxy de ton entreprise déchiffre le flux SSL pour analyser le contenu comme il le fait pour des connexions non sécurisées. En pratique, lorsque tu établis une connexion HTTPS, le proxy se fait passer pour le serveur distant en générant un certificat SSL signé par l'AC de l'entreprise. Le certificat racine de cette AC étant poussé dans les magasins SSL sur les postes des utilisateurs via des procédure internes de l'entreprise, les navigateurs qui utilisent ce magasin (IE mais peut-être aussi Chrome) n'y voient que du feu. Ensuite, le proxy communique avec le serveur distant en SSL (HTTPS). La communication est donc chiffrée entre ton poste et le proxy ainsi qu'entre le proxy et le serveur distant mais le flux est bien en clair sur le proxy (c'est d'ailleurs bien le but : appliquer les mêmes règles de filtrage aux sites HTTPS et HTTP).
    Normalement, l'entreprise doit vous signaler ce mode de fonctionnement.

    Il est possible (c'est le cas là où je travaille) que certains sites, dans une liste de confiance, soient accessibles sans ce déchiffrement intermédiaire (chez nous, cela concerne la plupart des sites bancaires, les gros fournisseurs de messagerie, comme gmail, les sites gouvernementaux [impots.gouv.fr ;-)], etc). On peut vérifier cela en regardant l'émetteur du certificat SSL : s'il s'agit de l'AC de l'entreprise (xxxInfrastructureProxyCA) c'est déchiffré, sinon le flux reste bien confidentiel de bout en bout.

    Note tout de même que ce procédé, mis en place pour augmenter la sécurité et protéger l'entreprise (sa responsabilité est-elle engagée en cas d'accès, depuis son réseau, à des sites "non légaux" ?) soulève aussi d'autres problèmes. En particulier, il devient compliqué de laisser l'utilisateur final choisir comment réagir en cas de certificat non valide : le certificat du serveur HTTPS n'étant pas transmis jusqu'au navigateur, on peut difficilement choisir d'accepter ou pas un certificat périmé, auto-signé ou signé par une AC autre que celles que l'on accepte habituellement (soit le proxy accepte tout, soit il n'accepte que ce qui est strictement valide par rapport à sa liste d'AC, soit, beaucoup plus rarement, il essaie de générer un certificat imitant le certificat final [périmé, auto-signé, …]).

    Au final, et dans le doute, considère que les administrateurs de ton entreprise peuvent intercepter tout ce qui passe, y compris quand l'accès au site se fait en HTTPS.

    • [^] # Re: Déchiffrement SSL

      Posté par  . Évalué à 1.

      Bonsoir,
      Merci pour cette réponse claire et détaillée.

      Je vérifierai s'il y a des sites en liste blanche et aussi si les sites ayant des certificats invalides sont bien signalés en tant que tel.

      Donc pour toi, ce procédé augmente la sécurité du réseau de l'entreprise ? Parce-qu'elle permet de réalise un filtrage plus fin sur le contenu ?
      Ou est-ce dans l'optique d'éviter la fuite d'informations (espionnage industriel, etc.) ?

      • [^] # Re: Déchiffrement SSL

        Posté par  . Évalué à 2.

        Sûrement les deux

        • [^] # Re: Déchiffrement SSL

          Posté par  . Évalué à 2. Dernière modification le 16 décembre 2016 à 13:57.

          ce procédé augmente la sécurité du réseau de l'entreprise ?

          Ça l'augmente dans le sens elle peut dire "ce petit con est en train de jouer a pokemon au lieu de travailler".
          Par contre pour les virus sur une machine de l'entreprise, ça ne change rien (je doute sérieusement qu'ils trust leur certif alors qu'ils peuvent déjà les intégrer à leur logiciel ou facilement encapsuler dans un tunnel de données).
          Et pour les vilains qui tenteraient de pirater les users de l'entreprise, ça ne change rien du tout (que se soit sécurisé par un certificat trust de facebook ou de l'entreprise, c'est du pareil au même (ça reste TLS sans ajouter de couche de cryto, c'est même l'inverse s'ils arrivent a choper un accès sur la machine qui signe les certif c'est jackpot total).

          Ce genre de système est fort probablement là pour espionner les employés (c'est parce que les pirates s'amusaient a utiliser ce genre de technique qu'on s'est mis a truster les certificats TLS, avec Backtrack s'était facile de faire un MITM entre Jacquie et Facebook tout en conservant le httpS dans la barre d'adresse)

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: Déchiffrement SSL

            Posté par  . Évalué à 1.

            Non, mais je ne joue pas à Pokemon !!!
            Plus sérieusement si j'avais à émettre un jugement de valeur… C'était mieux a vent (ce changement étant accompagné d'un autre bien plus grave, liberticide et contraignant : le logo de la boite en fond d'écran que l'on ne peut pas changer \o/)

            • [^] # Re: Déchiffrement SSL

              Posté par  . Évalué à 1.

              Hello,

              Je crois que j'ai deviné de quelle entreprise il s'agit…

              Si je ne me trompe pas, il y a moyen de faire disparaître ce logo, qui est carrément gênant parfois (ex. : lors de l'utilisation d'Etherpad).

      • [^] # Re: Déchiffrement SSL

        Posté par  . Évalué à 2.

        Donc pour toi, ce procédé augmente la sécurité du réseau de l'entreprise ?

        Ce n'est pas exactement ce que j'ai écrit (ou voulu écrire)…
        J'ai indiqué que l'entreprise faisait cela dans le but d'augmenter sa sécurité mais je ne me suis pas prononcé sur l'efficacité de la méthode !

        D'un côté, je comprends l'objectif : déchiffrer le flux permet de filtrer le contenu pour détecter d'éventuels virus (mais les postes de travail on aussi des anti-virus normalement à jour) ou pour interdire l'accès à certains sites (jeux, pornographie, …)

        Mais ce qui me dérange, au moins dans les cas que je connais bien (c'est à dire là où je bosse), ce sont les "effets secondaires" et la façon dont tout cela est géré.
        La maintenance des listes blanches est laissée au prestataire externe (genre énorme boîte aussi connue pour ses anti-virus) et il semble difficile de paramétrer quoi que ce soit la dessus (ou alors nos administrateurs et exploitants manquent de maîtrise de la solution). Je n'ai jamais réussi à avoir cette liste (qui en plus doit bouger régulièrement).
        Le plus grave, à mon avis, c'est que, en tant qu'utilisateur, je n'ai plus aucune maîtrise sur les certificats que j'accepte ou pas. Afin d'éviter d'avoir de trop nombreuses réclamations, le proxy a été paramétré pour accepter TOUS les certificats, quels que soient leur état, l'AC signataire ou le sujet. Comme en interne on ne voit que le certificat signé par l'AC interne, tout est toujours valide pour peu que l'on ait accepté cette AC interne (lorsque mes collègues se connectent à mon serveur auto-hébergé avec un certificat auto-signé, ils n'ont jamais d'alerte !)

        On voit donc que rien n'est parfait et que tout est une question d'équilibre. Pour ma part, j'avoue que j'aurais préféré que ce type de choses ne soient pas mises en place et que l'on investisse plutôt sur la formation des collaborateurs à la sécurité. Mais je suis un peu naïf : je suis dans une grosse boîte dans le domaine de l'IT et pourtant je dois bien avouer que les plus grosses failles de sécurité viennent du comportement des utilisateurs, y compris lorsqu'ils occupent des postes techniques (développeurs, voire même administrateurs/exploitants). On peut donc comprendre que les entreprises choisissent d'encadrer et de restreindre (contraindre ?) plutôt que de former et responsabiliser : c'est plus simple et (faussement) plus sécurisant (faire confiance aux gens ? quelle idée absurde !)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.