Man in the middle is fine

J’ai découvert avec stupeur qu’une grosse société peut mettre en place un hack du HTTPS afin de surveiller les échanges cryptés. On nous promet qu’aucun humain n’aura accès aux données décryptées et qu’il s’agit d’empêcher les liaisons VPN pirates vers l’extérieur. Soit, mais ça ne parait pas très sain.
Heureusement, c’est un détournement du SSL qui est quasi impossible à mettre en place par un FAI.

Si j’ai bien compris, la technique est la suivante :

  • Configurez l’ensemble de votre parc machine pour que tout les PC fassent confiance à l’autorité bidon du certificat.

Un exemple de certificat traitre

  • Lorsqu’un utilisateur se connecte à un site en HTTPS, faites en sorte que le proxy se connecte à sa place et établissez une connexion SSL privée entre le poste utilisateur et le proxy. Comme il est impossible de réutiliser le certificat du site, utilisez le vôtre (le bidon).
  • Comme vous avez « choisi » de faire confiance au certificat bidon, vous vous connectez de façon transparente (sans alerte) en HTTPS mais le proxy est capable de voir le flux transiter en clair.

Malin non ? C’est une technique de hacking :

Lorsqu’il s’agit d’une société privée j’imagine qu’ils peuvent faire ce qu’ils veulent.

Spi

Tombé de l'arbre de l'évolution, tente vainement de rattraper son retard. Se rassure en surfant sur les skyblogs.

Les derniers articles par Spi (tout voir)

Commentaires FaceBook

commentaires

5 Responses to Man in the middle is fine

  1. dju- dit :

    C’est pas bien de donner de mauvaises idées à de mauvais adminsys.
    Je vais te répondre par un hack qui permet de bypasser ce genre de joyeusetés tiens.

  2. dju- dit :

    Intéressant ton second lien : le blogueur explique bien les dangers du modèle chiffrement par CA, et là, on est en plein dedans. De toutes façon, si ça continue, ça sera à coup de GPG que j’écrirai mes mails en entreprise depuis chez v***a. et là, à moins qu’il veuillent passer deux mois de calculs cpu par mail, je serai tranquille. Non mais.

    • Spi dit :

      Tu es un exemple des détournements possibles. Un T-800 est parti à tes trousses, cours pour ta vie !

      Edit : Je précise à l’impie qui passerait ici qu’un CA est une autorité de certification (Certificate Authority). Je précise aussi que ce hack fonctionne très bien (de façon transparente) parce que les admins systèmes ont déployé les certificats sur les machines des employés, ce qui n’est pas si facile pour un vil pirate.

Laisser un commentaire