Fiddler pour déchiffrer le TLS/SSL

Fiddler est un proxy propriétaire et gratuit pour déboguer vos applications Web qui utilise le port Tcp/8888 par défaut. Il ne s’exécute que sur Windows. A l’instar de sslstrip, ou de mitmproxy, il vous permet de désencapsuler le trafic TLS/SSL, en le déchiffrant, afin de consigner et tracer toute l’activité des utilisateurs.

Générer le certificat

Vous devez au préalable générer le certificat qu’il faudra importer dans votre navigateur par la suite. Une fois Fiddler lancé, allez dans Tools > Options > HTTPS > Actions > Trust Root Certificate.

Fiddler > Tools > Options > HTTPS > Actions > Trust Root Certificate

Intégrer le certificat à Firefox Quantum

Afin d’intégrer ce certificat à Firefox, vous devez ensuite l’exporter sur le bureau : Tools > Options > HTTPS > Actions > Export Root Certificate to Desktop.

Fiddler > Tools > Options > HTTPS > Actions > Export Root Certificate to Desktop

Dans les options de Firefox Quantum, choisissez Vie privée et sécurité > Certificats > Afficher les certificats.

Firefox > Options > Vie privée et sécurité > Certificats > Afficher les certificats

Dans le gestionnaire de certificats intégré à Firefox, sélectionnez Autorités > Importer.

Firefox > Options  > Gestionnaire de certificats Autorités > Importer

Utilisation du certificat de Fiddler

Pour vérifier que c’est bien le certificat de Fiddler qui est utilisé en lieu et place des certificats des sites visités, cliquez dans la barre d’adresses de Firefox Quantum sur le I à gauche de l’adresse du site visité.

Firefox > Informations sur la Page

En cliquant sur Plus d’informations, vous aurez tout le détail du certificat utilisé. Il s’agit bien de celui généré précédemment à partir de Fiddler.

Firefox > Informations sur la Page

Mot de passe en clair

Lorsque je m’authentifie sur mes sites WordPress, le mot de passe s’afficher en clair dans Fiddler. Il a été déchiffré.

Fiddler > Mot de passe en clair

Loguer l’activité de Fiddler

Il existe une extension Fiddler au nom de rtlogger  qui vous permet de stocker dans un fichier de logs toutes les adresses demandées par l’utilisateur. Elle est aujourd’hui intégrée à Fiddler. Pour configurer cette extension, vous devez remplacer ou modifier le fichier de configuration Fiddler\Fiddler.exe.config comme suit :

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
 <configSections> 
 <section name="log4net" type="log4net.Config.Log4NetConfigurationSectionHandler,Log4net"/> 
 </configSections> 
 <log4net> 
 <root>
 <level value="ALL"/> 
 <appender-ref ref="LogFileAppender" /> 
 </root> 
 <appender name="LogFileAppender" type="log4net.Appender.RollingFileAppender" > 
 <file value="e:\log.txt"/> 
 <appendToFile value="true" /> 
 <rollingStyle value="Size" /> 
 <maxSizeRollBackups value="5" /> 
 <maximumFileSize value="64MB" /> 
 <staticLogFileName value="true" /> 
 <layout type="log4net.Layout.PatternLayout"> 
 <conversionPattern value="%d %m%n" /> 
 </layout>
 </appender> 
 </log4net>
 <runtime>
 <generatePublisherEvidence enabled="false"/>
 </runtime>
 <appSettings>
 <add key="EnableWindowsFormsHighDpiAutoResizing" value="true" />
 </appSettings>
</configuration>

Pensez à modifier la directive file et maximumFileSize, qui détermine respectivement l’emplacement du fichier de log et la taille de ce fichier.

Vous trouverez toute l’information à la configuration de RTLogger à partir de ce lien.

Un recours au déchiffrement généralisé !

De plus en plus de sysadmins recourent à ce procédé pour capter tout le trafic de leurs utilisateurs en clair. La méthode est simple. Ils inscrivent le certificat du boîtier pare-feu – qui fait très souvent office de proxy – via les GPO dans le magasin de certificats des machines des utilisateurs. Le certificat est alors activé automatiquement dans Internet Explorer / Edge ainsi que dans Google Chrome / Chromium. Firefox Quantum, en autorisant l’emploi de GPO, a également ouvert la boîte de Pandore !

Je vous recommande chaudement à vérifier le certificat utilisé dans votre navigateur avant de vous connecter à vos sites personnels lorsque vous êtes en déplacement. Évitez de vous connecter à votre messagerie et à vos sites personnels à partir de votre lieu de travail. Vos identifiants pourraient tomber entre de mauvaises mains !

Un problème de légalité

Clairement, il s’agit là d’une violation évidente de la correspondance privée, dans le cas où l’entreprise autoriserait bêtement – par la charte – l’utilisation des ordinateurs de l’entreprise à des fins personnelles.

Sécurité  / Déchiffrement Fiddler Formateur Sécurité informatique Sécurité informatique SSL TLS 

Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)