J’ai découvert avec stupeur qu’une grosse société peut mettre en place un hack du HTTPS afin de surveiller les échanges cryptés. On nous promet qu’aucun humain n’aura accès aux données décryptées et qu’il s’agit d’empêcher les liaisons VPN pirates vers l’extérieur. Soit, mais ça ne parait pas très sain.
Heureusement, c’est un détournement du SSL qui est quasi impossible à mettre en place par un FAI.
Si j’ai bien compris, la technique est la suivante :
- Créez un certificat bidon.
- Configurez l’ensemble de votre parc machine pour que tout les PC fassent confiance à l’autorité bidon du certificat.
- Lorsqu’un utilisateur se connecte à un site en HTTPS, faites en sorte que le proxy se connecte à sa place et établissez une connexion SSL privée entre le poste utilisateur et le proxy. Comme il est impossible de réutiliser le certificat du site, utilisez le vôtre (le bidon).
- Comme vous avez « choisi » de faire confiance au certificat bidon, vous vous connectez de façon transparente (sans alerte) en HTTPS mais le proxy est capable de voir le flux transiter en clair.
Malin non ? C’est une technique de hacking :
Lorsqu’il s’agit d’une société privée j’imagine qu’ils peuvent faire ce qu’ils veulent.
C’est pas bien de donner de mauvaises idées à de mauvais adminsys.
Je vais te répondre par un hack qui permet de bypasser ce genre de joyeusetés tiens.
A l’adminsys qui est séduit par le décryptage HTTPS, je lui suggère http://surveillermonsalarie.com/.
Qui finalement n’a pas l’air d’un buzz.
Mais où va le monde ma pauv’dame.
Petite vidéo : http://www.youtube.com/watch?v=DfXQBMRgQIg
Et la pratique devient courante : http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol
Intéressant ton second lien : le blogueur explique bien les dangers du modèle chiffrement par CA, et là, on est en plein dedans. De toutes façon, si ça continue, ça sera à coup de GPG que j’écrirai mes mails en entreprise depuis chez v***a. et là, à moins qu’il veuillent passer deux mois de calculs cpu par mail, je serai tranquille. Non mais.
Tu es un exemple des détournements possibles. Un T-800 est parti à tes trousses, cours pour ta vie !
Edit : Je précise à l’impie qui passerait ici qu’un CA est une autorité de certification (Certificate Authority). Je précise aussi que ce hack fonctionne très bien (de façon transparente) parce que les admins systèmes ont déployé les certificats sur les machines des employés, ce qui n’est pas si facile pour un vil pirate.