Journal Changement certificat Google Talk

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
-29
5
sept.
2013

Il y'a 1 semaine maintenant, les certificat SSL de Google Talk ont changé.
Étant donné le climat de suspicion avec la NSA, PRISM, la DGSE et autre EAGLE, je me demandais: « Tiens, Tiens, ce ne serait pas des nouveaux certificats MITM pour la NSA pour qu'ils aient un accès direct à ces communications chiffrées sans avoir à demander au FISA ? »
Après, google change complètement son système de chat avec les Hangouts, donc cela pourrait être une raison plus valide, avec un nouveau serveur, etc.

Après m'est aussi venu l'idée (je me connecte au chat depuis mon serveur dedié) que peut-être la DGSE n'avait pas forwardé le trafic des serveurs dédié comme celle des lignes fixes vers EADS (à Saint-Quentin en Yvelines ?), et donc en le faisant ils auraient rajouté un beau MITM pour pouvoir sniffer en toute tranquillité.

Mais bon à priori, un américain a aussi eu le problème sur un forum (je ne retrouve plus le lien par contre), donc ça serait surement hangouts ou NSA ?

D'après vous ?

  • # certificat arrivé à expiration => renouvellement de certificat => alerte de ton logiciel

    Posté par  . Évalué à 9.

    cqfd

    • [^] # Re: certificat arrivé à expiration => renouvellement de certificat => alerte de ton logiciel

      Posté par  (site Web personnel) . Évalué à 10.

      Ce qui est anormal soit dit en passant (oui, il est anormal d'avertir l'utilisateur d'un risque quand tout est OK, ça incite juste l’utilisateur à ignorer les avertissements)

      • [^] # Re: certificat arrivé à expiration => renouvellement de certificat => alerte de ton logiciel

        Posté par  . Évalué à 1.

        Exactement.

        Le protocole X509 ne gère pas ce genre de cas ?
        Bonjour le certificat a juste été updaté, mais tout est sous-contrôle, ne vous en faites pas ?

        Bref,
        à priori, google passe tous ces certificats en 2048 bits il semblerait en 2013.
        Mais très peu de communication là-dessus, du coup, les utilisateurs sont dans le vague puisque les anciennes news au sujet de changement de certificats de google talk datent de 2011.
        Et vu qu'un certificat X509 se fait forger assez facilement (on se rappellera tous le certificat gmail émis par un CA Turc… )

        • [^] # Re: certificat arrivé à expiration => renouvellement de certificat => alerte de ton logiciel

          Posté par  (site Web personnel) . Évalué à 3.

          Mais très peu de communication là-dessus,

          Après il faut voir : je n'ai pas installé Gtalk / Hangout (les logiciels) depuis un bail, mais il me semblent qu'ils ne le font pas ce message, et qu'il y a que Pidgin et autres logiciels libres qui font se message (à confirmer, mais sur les forums ça parle quasiment uniquement de Pidgin).
          Si c'est le cas, qu'il n'y a aucun problème avec les outils diffusés par Google, il n'y a alors aucune raison pour google de communiquer sur les nouveaux certificats (ce sont les logiciels libres qui sont bugués).

          Les certificats changent en permanence pour IMAPS ou SMPTS aussi, mais je n'ai jamais ce message d'erreur (à part quand OVH oublie de mettre à jour son certificat ;-) ), pourquoi est-ce que Pidgin me le fait pour Jabber/GTalk? Mystère…

        • [^] # Re: certificat arrivé à expiration => renouvellement de certificat => alerte de ton logiciel

          Posté par  . Évalué à 4. Dernière modification le 05/09/13 à 23:57.

          Et vu qu'un certificat X509 se fait forger assez facilement (on se rappellera tous le certificat gmail émis par un CA Turc… )

          Ces certificats n'ont pas été forgés. En x509, n'importe quelle CA peut générer un certificat pour n'importe qui. C'est à cette dernière de vérifier opérationnellement que ce n'est pas le cas et que la personne qui demande un certificat est bien habilitée à le faire. C'est ce qui a merdé pour les certificats comodo.
          Forger un certificat ce serait par exemple, profiter des collisions MD5 (si c'est encore utilisé?) pour faire signer un CSR parfaitement légitime par une CA alors qu'on a réussi à en générer un autre avec le même hash pour google.com.

  • # Clé privé

    Posté par  (site Web personnel) . Évalué à 5.

    Il suffirait à Google de donner sa clé privée à la NSA et tu n'en saurais rien.

    • [^] # Re: Clé privé

      Posté par  . Évalué à 7.

      Même pas besoin, la NSA se sert directement sur le réseau interne de Google (Microsoft, Apple,Facebook), donc le MITM est pour eux une solution lourde et pénible !

    • [^] # Re: Clé privé

      Posté par  . Évalué à 2.

      C'est quand meme tres complexe à faire sans être detecter avec cert pinning + perfect forward secrecy + channelid (ce que fait google). Il faut un Mitm actif sur tous les chemins pouvant rejoindre google.

  • # Illuminatis

    Posté par  . Évalué à 6.

    En fait, c'est les illuminatis, qui contrôlent la DGSE pour lutter contre la NSA, qui est contrôlée par les franc-maçons sataniques. Mais les deux organisations ne savent pas qu'ils sont contrôlés par les cultistes de Cthulhus sionistes. Ou les extra-terrestres soviétiques. Ou les deux, d'ailleurs.

    LinuxFr, parfois c'est bien de la MERDE : https://linuxfr.org/users/c2462250/journaux/ecriture-inclusive-feministes-et-wikipedia#comment-1793140

    • [^] # Re: Illuminatis

      Posté par  . Évalué à 2.

      bingo ;)

    • [^] # Re: Illuminatis

      Posté par  . Évalué à 3.

      Mais quel rapport avec le groupe bilderberg ?

      • [^] # Re: Illuminatis

        Posté par  . Évalué à 2.

        Tout le monde sait qu'ils sont occupés à contrôler les rose-croix pour qu'ils ne divulguent pas les preuves montrant que les américains n'ont pas été sur la lune, mais que ça a été un coup monté par une coalition de reptiliens pour éviter que les soviétiques ne dépensent pas trop de sous dans la course à l'espace.

  • # je me suis connecté juste pour moinsser

    Posté par  . Évalué à -2. Dernière modification le 06/09/13 à 00:06.

    .

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.