Fiddler pour déchiffrer le TLS/SSL
2 juillet 2018
Fiddler est un proxy propriétaire et gratuit pour déboguer vos applications Web qui utilise le port Tcp/8888 par défaut. Il ne s’exécute que sur Windows. A l’instar de sslstrip, ou de mitmproxy, il vous permet de désencapsuler le trafic TLS/SSL, en le déchiffrant, afin de consigner et tracer toute l’activité des utilisateurs.
Générer le certificat
Vous devez au préalable générer le certificat qu’il faudra importer dans votre navigateur par la suite. Une fois Fiddler lancé, allez dans Tools > Options > HTTPS > Actions > Trust Root Certificate.
Intégrer le certificat à Firefox Quantum
Afin d’intégrer ce certificat à Firefox, vous devez ensuite l’exporter sur le bureau : Tools > Options > HTTPS > Actions > Export Root Certificate to Desktop.
Dans les options de Firefox Quantum, choisissez Vie privée et sécurité > Certificats > Afficher les certificats.
Dans le gestionnaire de certificats intégré à Firefox, sélectionnez Autorités > Importer.
Utilisation du certificat de Fiddler
Pour vérifier que c’est bien le certificat de Fiddler qui est utilisé en lieu et place des certificats des sites visités, cliquez dans la barre d’adresses de Firefox Quantum sur le I à gauche de l’adresse du site visité.
En cliquant sur Plus d’informations, vous aurez tout le détail du certificat utilisé. Il s’agit bien de celui généré précédemment à partir de Fiddler.
Mot de passe en clair
Lorsque je m’authentifie sur mes sites WordPress, le mot de passe s’afficher en clair dans Fiddler. Il a été déchiffré.
Loguer l’activité de Fiddler
Il existe une extension Fiddler au nom de rtlogger qui vous permet de stocker dans un fichier de logs toutes les adresses demandées par l’utilisateur. Elle est aujourd’hui intégrée à Fiddler. Pour configurer cette extension, vous devez remplacer ou modifier le fichier de configuration Fiddler\Fiddler.exe.config comme suit :
<?xml version="1.0" encoding="utf-8" ?> <configuration> <configSections> <section name="log4net" type="log4net.Config.Log4NetConfigurationSectionHandler,Log4net"/> </configSections> <log4net> <root> <level value="ALL"/> <appender-ref ref="LogFileAppender" /> </root> <appender name="LogFileAppender" type="log4net.Appender.RollingFileAppender" > <file value="e:\log.txt"/> <appendToFile value="true" /> <rollingStyle value="Size" /> <maxSizeRollBackups value="5" /> <maximumFileSize value="64MB" /> <staticLogFileName value="true" /> <layout type="log4net.Layout.PatternLayout"> <conversionPattern value="%d %m%n" /> </layout> </appender> </log4net> <runtime> <generatePublisherEvidence enabled="false"/> </runtime> <appSettings> <add key="EnableWindowsFormsHighDpiAutoResizing" value="true" /> </appSettings> </configuration>
Pensez à modifier la directive file et maximumFileSize, qui détermine respectivement l’emplacement du fichier de log et la taille de ce fichier.
Vous trouverez toute l’information à la configuration de RTLogger à partir de ce lien.
Un recours au déchiffrement généralisé !
De plus en plus de sysadmins recourent à ce procédé pour capter tout le trafic de leurs utilisateurs en clair. La méthode est simple. Ils inscrivent le certificat du boîtier pare-feu – qui fait très souvent office de proxy – via les GPO dans le magasin de certificats des machines des utilisateurs. Le certificat est alors activé automatiquement dans Internet Explorer / Edge ainsi que dans Google Chrome / Chromium. Firefox Quantum, en autorisant l’emploi de GPO, a également ouvert la boîte de Pandore !
Je vous recommande chaudement à vérifier le certificat utilisé dans votre navigateur avant de vous connecter à vos sites personnels lorsque vous êtes en déplacement. Évitez de vous connecter à votre messagerie et à vos sites personnels à partir de votre lieu de travail. Vos identifiants pourraient tomber entre de mauvaises mains !
Un problème de légalité
Clairement, il s’agit là d’une violation évidente de la correspondance privée, dans le cas où l’entreprise autoriserait bêtement – par la charte – l’utilisation des ordinateurs de l’entreprise à des fins personnelles.