tag:linuxfr.org,2005:/tags/mitm/publicLinuxFr.org : les contenus étiquetés avec « mitm »2024-01-08T11:27:07+01:00/favicon.pngtag:linuxfr.org,2005:Bookmark/77532024-01-08T11:27:07+01:002024-01-08T11:27:07+01:00Terrapin : attaque mitm des serveurs ssh par réduction de la force des algos de connexion<a href="https://terrapin-attack.com/">https://terrapin-attack.com/</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/134432/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/jseb/liens/terrapin-attaque-mitm-des-serveurs-ssh-par-reduction-de-la-force-des-algos-de-connexion#comments">ouvrir dans le navigateur</a>
</p>
jsebhttps://linuxfr.org/nodes/134432/comments.atomtag:linuxfr.org,2005:Bookmark/46302022-05-02T15:05:47+02:002022-05-02T15:05:47+02:00Considered “18+”<a href="https://daniel.haxx.se/blog/2022/05/02/considered-18/">https://daniel.haxx.se/blog/2022/05/02/considered-18/</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/127628/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/oulala/liens/considered-18#comments">ouvrir dans le navigateur</a>
</p>
Tonton Thhttps://linuxfr.org/nodes/127628/comments.atomtag:linuxfr.org,2005:Diary/361412015-10-06T23:16:09+02:002015-10-08T09:43:26+02:00CloudFlare au milieuLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#cloudflare-cest-quoi">CloudFlare, c'est quoi ?</a></li>
<li><a href="#quest-ce-qui-ne-va-pas-avec-cloudflare">Qu'est-ce qui ne va pas avec CloudFlare ?</a></li>
<li>
<a href="#pourquoi-cloudflare-pr%C3%A9sente-une-menace-unique-en-son-genre">Pourquoi CloudFlare présente une menace unique en son genre</a><ul>
<li><a href="#cloudflare-vs-autorit%C3%A9s-de-certification">CloudFlare VS Autorités de Certification</a></li>
<li><a href="#cloudflare-vs-h%C3%A9bergeurs">CloudFlare VS Hébergeurs</a></li>
</ul>
</li>
<li><a href="#donc-cloudflare-cest-des-m%C3%A9chants">Donc, CloudFlare, c'est des méchants ?</a></li>
</ul><p>Cela faisait quelque temps que je voulais écrire à propos de <a href="https://www.cloudflare.com/">CloudFlare</a>, une boîte américaine qui est de plus en plus omniprésente sur Internet. Deux événements récents m'ont finalement fait m'atteler à la tâche :</p>
<ol>
<li>La consultation publique du gouvernement sur la loi sur le numérique, <a href="https://republique-numerique.fr">https://republique-numerique.fr</a> qui pour je ne sais quelle raison, a décidé de passer par CloudFlare</li>
<li>Le fait que Google, Microsoft, Qualcomm et Baidu aient <a href="www.forbes.com/sites/katevinton/2015/09/22/google-microsoft-qualcomm-and-baidu-announce-joint-investment-cloudflare/">investit $110 millions</a>
</li>
</ol><h2 id="cloudflare-cest-quoi">CloudFlare, c'est quoi ?</h2>
<p>CloudFlare, c'est une boîte américaine qui fournit, pour des sites web, un service légitime de protection contre les <a href="https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service#D.C3.A9ni_de_service_distribu.C3.A9_ou_effet_de_levier">attaques par déni de service distribué</a> et qui peut aussi être utile pour éviter des espions/escrocs en « fin de parcours » (du côté de l'internaute, par exemple sur un hotspot wifi) via <a href="https://fr.wikipedia.org/wiki/Transport_Layer_Security">TLS</a>, dans le cas où il n'est pas possible de le faire directement chez l'hébergeur.</p>
<p>CloudFlare prétend aussi « accélérer », augmenter la disponibilité des sites web clients, et diminuer leurs besoins en bande passante, via la mise en cache du contenu visité.</p>
<p>Toutes ces bonnes choses ont un coût, et avec l'utilisation de plus en plus massive de CloudFlare, j'ai l'impression que peu nombreux parmi ceux qui l'utilisent se posent vraiment la question.</p>
<h2 id="quest-ce-qui-ne-va-pas-avec-cloudflare">Qu'est-ce qui ne va pas avec CloudFlare ?</h2>
<p>Tout d'abord, un petit avertissement : CloudFlare n'est pas le seul <a href="https://fr.wikipedia.org/wiki/Content_delivery_network">Content Delivery Network</a> problématique, et n'est probablement pas le plus mauvais, mais j'ai choisi de m'y intéresser pour trois raisons :</p>
<ol>
<li>C'est eux qui ont le vent en poupe ces derniers temps</li>
<li>Leur infrastructure est parfaite pour facilement espionner ou modifier le trafic de leurs clients</li>
<li>Une grosse partie de leur marketing consiste à dire qu'ils rendent le web « plus sûr », en particulier contre la NSA (rappelons qu'ils sont basés aux US)</li>
</ol><p>En effet, l'intégralité du trafic concernant un site servi à travers CloudFlare passe évidemment par CloudFlare, qui est capable de loguer, bloquer, ou altérer ce dernier en temps réel (et ils le font parfois, pour des raisons légitimes).</p>
<p>De plus, quand TLS est activé, ils en sont le point terminal, ce qui implique qu'ils ont tout le trafic en clair (et que vous ne pouvez pas savoir si la communication entre eux et le serveur hébergeant vraiment le site est chiffrée ou pas).</p>
<p>En clair, CloudFlare est le parfait <a href="https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu">“Homme du milieu”</a>.</p>
<p>Tout cela peut ne pas paraître très intéressant, mais cela devient plus inquiétant quand on considère que CloudFlare est utilisé par un nombre croissant de sites plus ou moins gros, dont voici une liste très loin d'être exhaustive :</p>
<ul>
<li>Prestataire de paiement : <a href="https://www.hipay.com">HiPay</a> (et ce n'est pas que la vitrine, les codes de carte bleu, etc. passent bien par CloudFlare !)</li>
<li>Liberté de la presse: <a href="https://freedom.press">freedom.press</a> dont Snowden en personne est directeur</li>
<li>La plupart des sites de campagne pour les présidentielles États-Uniennes</li>
<li>Plein de communautés variées : 4chan, reddit, hackernews, …</li>
<li>Les sites de torrent les plus populaires que je connaisse : t411, The Pirate Bay</li>
<li>Certains partis politiques au travers du monde : chez nous, on peut citer les Républicains, ou des trucs plus ésotériques chers à une minorité postant parfois des journaux ici ; chez les britanniques et les américains, il y en a quelques unes</li>
<li>Des sites d'information plus ou moins spécialisés: <a href="http://www.theregister.co.uk/">The Register</a>, <a href="http://www.nextinpact.com/">NextInpact</a>, <a href="http://korben.info/">Korben.info</a>…</li>
<li>Beaucoup de sites traitant de Bitcoin, d'Ethereum, et d'autres : blockchain.info, <a href="http://www.titanbtc.com">www.titanbtc.com</a>, bitcoin.it, etherapps.info, etherchain.org, ethereumpyramid.com, …
Voir à ce sujet <a href="http://www.newsbtc.com/2015/10/04/is-bitcoin-industry-too-dependant-on-cloudflare/">cet article</a> ironiquement hébergé derrière CloudFlare</li>
<li>Plein de sites pornos</li>
<li>Le site des forces de police de plusieurs comtés du Royaume-Uni : <a href="http://cleveland.police.uk">Cleveland</a>, <a href="http://gwent.police.uk">Gwent</a>, <a href="http://leics.police.uk">Leicester</a>, <a href="http://www.westmercia.police.uk">Midlands de l'Ouest</a>
</li>
<li>Sites de projets logiciels: cyanogenmod, discourse, jquery, moodle</li>
<li>Divers : is.gd, puu.sh, pastebin.com, stackexchange, mywot</li>
<li>Des trucs qui ont fait la une : Ashley Madison, HackingTeam, …</li>
</ul><p>J'insiste sur le fait que CloudFlare a accès à l'ensemble du trafic de ces sites, ce qui peut inclure les mot de passes, les codes de sécurité, les numéros de carte bancaire, etc.<br>
Il est aussi facile pour eux de croiser selon l'adresse IP d'un internaute, par exemple.</p>
<p>Si CloudFlare était Français, ce serait l'endroit parfait pour poser des boîtes noires.</p>
<h2 id="pourquoi-cloudflare-présente-une-menace-unique-en-son-genre">Pourquoi CloudFlare présente une menace unique en son genre</h2>
<p>À mon avis, les problèmes de sécurité soulevés par l'utilisation de CloudFlare sont assez différents de ceux des tiers de confiance habituel que sont les <a href="https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification">Autorités de Certification</a> et des hébergeurs, quoi qu'ils soient finalement assez proche de ces derniers.</p>
<h3 id="cloudflare-vs-autorités-de-certification">CloudFlare VS Autorités de Certification</h3>
<p>Tandis qu'une autorité de certification peu scrupuleuse peut signer des certificats qui apparaîtront valide sur les navigateurs leur faisant confiance, il existe des outils pour détecter ce genre de comportements (en comparant aux certificats connus pour un domaine).</p>
<p>CloudFlare, par contre, est le correspondant normal pour les internautes. Du coup, il n'a pas besoin de changer le certificat pour commencer à loguer ou modifier les requêtes, ce qui le rend bien moins détectable (dans le cas d'une modification) voire pas du tout (écoute passive).</p>
<h3 id="cloudflare-vs-hébergeurs">CloudFlare VS Hébergeurs</h3>
<p>Il est vrai que la plupart des sites « protégés » par CloudFlare sont de toutes façons hébergés chez de grands hébergeurs qui ont un accès techniquement complet aux serveurs (physiques ou virtuels) en question.</p>
<p>Cependant, j'aime à penser qu'il est tout de même plus compliqué d'espionner/interférer avec des serveurs dont la configuration est grandement variable, et, en théorie tout du moins, surveillés par un administrateur extérieur à l'hébergeur.</p>
<p>De son côté, CloudFlare a une infrastructure parfaitement adaptée pour loguer, modifier ou bloquer les pages à la volée.</p>
<p>Cette différence n'est peut-être pas fondamentale, mais j'estime que c'est tout de même une distinction d'ordre pratique assez importante.</p>
<p>Dans tous les cas, avoir un premier tiers de confiance (l'hébergeur) n'est pas une raison pour en ajouter un second (CloudFlare).</p>
<h2 id="donc-cloudflare-cest-des-méchants">Donc, CloudFlare, c'est des méchants ?</h2>
<p>Je tiens à préciser que je n'ai fait que souligner les possibilités techniques à la disposition de CloudFlare. Je ne les accuse pas d'avoir fait ce que j'ai décrit comme potentiellement réalisable.</p>
<p>D'un point de vue « moral », ils ont fait quelques trucs cool :</p>
<ul>
<li>Ils travaillent principalement avec des logiciels libres, et contribuent pas mal en retour, notamment sur nginx</li>
<li>Pour certains clients, ils mitigent en partie certains problèmes de sécurité en déportant une partie de la poignée de main TLS à l'hébergeur véritable. Cela veut dire que pour ces clients, ils n'ont jamais la clé correspondant au certificat TLS (mais ils peuvent quand même espionner et modifier le trafic)</li>
<li>Ils semblent se battre pour une grande transparence sur les requêtes reçues de la part de la police ou du gouvernement : <a href="https://www.cloudflare.com/transparency">https://www.cloudflare.com/transparency</a>
</li>
<li>Ils fournissent leurs services gratuitement à des organisations à intérêt public : <a href="https://www.cloudflare.com/galileo">https://www.cloudflare.com/galileo</a>
</li>
</ul><p>Mais comme toute boîte, ils pourraient être en train de mentir (coucou Volkswagen), être sujets à des brèches de sécurité, ou changer leur politique dans le futur.</p>
<p>Ils ont également fait quelques choix (à mon avis) douteux, tels que :</p>
<ul>
<li>Imposer un cookie et un captcha aux internautes derrière <a href="https://www.torproject.org/">Tor</a>
</li>
<li>Bloquer purement et simplement l'User-Agent par défaut de Python/urllib</li>
</ul><div><a href="https://linuxfr.org/users/thibg/journaux/cloudflare-au-milieu.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/106980/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/thibg/journaux/cloudflare-au-milieu#comments">ouvrir dans le navigateur</a>
</p>
ThibGhttps://linuxfr.org/nodes/106980/comments.atomtag:linuxfr.org,2005:News/357972014-10-17T07:26:40+02:002014-10-17T10:23:17+02:00CVE-2014-3566 — Vulnérabilité POODLELicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><h2 id="questce-poodle">Qu’est‐ce POODLE ?</h2>
<p>POODLE signifie <em>Padding Oracle On Downgraded Legacy</em>. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, <em>Man In the Middle</em>), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.</p>
<p>POODLE affecte les anciennes normes de chiffrement, notamment <em>Secure Socket Layer</em> (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé <em>Transport Layer Security</em> (TLS).</p>
<h2 id="recommandations">Recommandations</h2>
<p>Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.</p>
<h3 id="plusieurs-bulletins-de-sécurité-ont-annoncé-la-vulnérabilité">Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :</h3>
<ul>
<li>alerte CERT : <a href="http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/">http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/</a> ;</li>
<li>alerte NVD : <a href="https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566">https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566</a>.</li>
</ul></div><ul><li>lien nᵒ 1 : <a title="https://www.openssl.org/~bodo/ssl-poodle.pdf" hreflang="en" href="https://linuxfr.org/redirect/91963">OpenSSL décrit POODLE</a></li><li>lien nᵒ 2 : <a title="https://access.redhat.com/security/cve/CVE-2014-3566?sc_cid=70160000000eITIAA2&" hreflang="en" href="https://linuxfr.org/redirect/91964">Préconisation Red Hat </a></li><li>lien nᵒ 3 : <a title="https://access.redhat.com/labs/poodle/?sc_cid=70160000000eITIAA2" hreflang="en" href="https://linuxfr.org/redirect/91965">Détection de la faille proposée par Red Hat</a></li><li>lien nᵒ 4 : <a title="https://fr.wikipedia.org/wiki/Transport_Layer_Security" hreflang="fr" href="https://linuxfr.org/redirect/91966">Piqûre de rappel TLS</a></li><li>lien nᵒ 5 : <a title="http://www.nextinpact.com/news/90427-la-faille-poodle-sslv3-permet-decrypter-donnees-sur-connexion.htm" hreflang="fr" href="https://linuxfr.org/redirect/91967">Explication claire en français</a></li></ul><div><h2 id="histoire-et-aides-diverses">Histoire et aides diverses</h2>
<p>Google a identifié une faille dans le protocole SSL v3. Il existe des contournements côté serveurs comme côté clients : garder en tête la compatibilité avec les navigateurs clients. Red Hat n’a pour l’instant pas publié d’errata. Cela affecte RHEL5, RHEL6 et RHEL7, également les CentOS. À voir pour les autres distributions…</p>
<p>Remarque : <em>poodle</em> signifie caniche en anglais.</p>
<p><strong>Page pour tester votre navigateur client</strong></p>
<p><a href="https://www.poodletest.com/">https://www.poodletest.com/</a></p>
<p><strong>Tester par vous même</strong></p>
<pre><code>openssl s_client -connect mon_site:443 -ssl3
</code></pre>
<p><strong>Configurer Apache</strong></p>
<pre><code>SSLProtocol All -SSLv2 -SSLv3
</code></pre>
<p><strong>Configurer Postfix</strong></p>
<pre><code>smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
</code></pre>
<h2 id="tester-la-vulnérabilité-de-vos-sites">Tester la vulnérabilité de vos sites</h2>
<p>Voici le script proposé par Red Hat :</p>
<pre><code class="bash"><span class="c">#!/bin/bash</span>
<span class="c">#</span>
<span class="c"># Copyright (C) 2014 by Dan Varga <dvarga@redhat.com></span>
<span class="c">#</span>
<span class="c"># This program is free software; you can redistribute it and/or modify</span>
<span class="c"># it under the terms of the GNU General Public License as published by</span>
<span class="c"># the Free Software Foundation; either version 3 of the License, or</span>
<span class="c"># (at your option) any later version.</span>
<span class="nv">host</span><span class="o">=</span><span class="nv">$1</span>
<span class="nv">port</span><span class="o">=</span><span class="nv">$2</span>
<span class="k">if</span> <span class="o">[</span> <span class="s2">"$2"</span> <span class="o">==</span> <span class="s2">""</span> <span class="o">]</span>
<span class="k">then</span>
<span class="nv">port</span><span class="o">=</span>443
<span class="k">fi</span>
<span class="nv">out</span><span class="o">=</span><span class="s2">"`echo x | timeout 5 openssl s_client -ssl3 -connect ${host}:${port} 2>/dev/null`"</span>
<span class="nv">ret</span><span class="o">=</span><span class="nv">$?</span>
<span class="k">if</span> <span class="o">[</span> <span class="nv">$ret</span> -eq <span class="m">0</span> <span class="o">]</span>
<span class="k">then</span>
<span class="nb">echo</span> <span class="s2">"VULNERABLE! SSLv3 detected."</span>
<span class="nb">exit</span>
<span class="k">elif</span> <span class="o">[</span> <span class="nv">$ret</span> -eq <span class="m">1</span> <span class="o">]</span>
<span class="k">then</span>
<span class="nv">out</span><span class="o">=</span><span class="sb">`</span><span class="nb">echo</span> <span class="nv">$out</span> <span class="p">|</span> perl -pe <span class="s1">'s|.*Cipher is (.*?) .*|$1|'</span><span class="sb">`</span>
<span class="k">if</span> <span class="o">[</span> <span class="s2">"$out"</span> <span class="o">==</span> <span class="s2">"0000"</span> <span class="o">]</span> <span class="o">||</span> <span class="o">[</span> <span class="s2">"$out"</span> <span class="o">==</span> <span class="s2">"(NONE)"</span> <span class="o">]</span>
<span class="k">then</span>
<span class="nb">echo</span> <span class="s2">"Not Vulnerable. We detected that this server does not support SSLv3"</span>
<span class="nb">exit</span>
<span class="nb"> </span><span class="k">fi</span>
<span class="k">elif</span> <span class="o">[</span> <span class="nv">$ret</span> -eq <span class="m">124</span> <span class="o">]</span>
<span class="k">then</span>
<span class="nb">echo</span> <span class="s2">"error: timeout connecting to host $host:$port"</span>
<span class="nb">exit</span>
<span class="k">fi</span>
<span class="nb">echo</span> <span class="s2">"error: Unable to connect to host $host:$port"</span></code></pre></div><div><a href="https://linuxfr.org/news/cve-2014-3566-vulnerabilite-poodle.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/103638/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/cve-2014-3566-vulnerabilite-poodle#comments">ouvrir dans le navigateur</a>
</p>
gnutux95Nÿcobubar🦥Davy DefaudXavier Teyssierpalm123Benoît Sibaudhttps://linuxfr.org/nodes/103638/comments.atomtag:linuxfr.org,2005:Diary/347642014-02-25T09:28:31+01:002014-02-25T09:28:31+01:00Des trusted proxies dans HTTP/2.0Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Ericsson et AT&T travaillent avec zèle au développement d'un web meilleur, d'un web plus sûr, d'un web avec des "proxies de confiance" capables de désencapsuler le trafic de connexions HTTPS des clients qu'ils servent. Les mauvaises langues qualifient déjà leur dernier draft commun de proposition dangereuse pour l'introduction de man-in-the-middle dans HTTP/2.0, mais ce sont de mauvaises langues… Les auteurs ont d'ailleurs consacré une section entière du document (section 7) aux problèmes soulevés en terme de vie privée.</p>
<p><a href="https://tools.ietf.org/html/draft-loreto-httpbis-trusted-proxy20-01">https://tools.ietf.org/html/draft-loreto-httpbis-trusted-proxy20-01</a></p><div><a href="https://linuxfr.org/users/unixjunkie/journaux/des-trusted-proxies-dans-http-2-0.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/101350/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/unixjunkie/journaux/des-trusted-proxies-dans-http-2-0#comments">ouvrir dans le navigateur</a>
</p>
UnixJunkiehttps://linuxfr.org/nodes/101350/comments.atom