Ils déchiffrent le SSL/TLS sans prévenir les utilisateurs !

C’est à la lecture d’un article consacré à PCredz – un outil de Pentest qui ne sert plus à rien ou presque – que me sont revenues ces discussions récentes avec deux sysadmins. Le 1er, après que je lui ai percé son Fortigate à coup de Tor et de Privoxy,  m’expliquait qu’il travaillait d’arrache-pied avec Orange et qu’il déchiffrait le trafic HTTPS à l’aide de certificat.  Après avoir tenté de lui expliquer que les certificats que je visualisais étaient bien ceux des sites visités, je coupais court à la conversation face à son entêtement bravache  à me raconter des carabistouilles. Je sais toutefois que le Grand Manitou au dessus de lui avait songé à le faire, sans en informer pour autant les utilisateurs ! Il aurait même tenté une expérimentation.

Et puis, c’est un autre sysadmin qui m’a indiqué récemment diffuser des certificats par GPO pour Firefox et pour Internet Explorer/Chrome dans l’hôpital où il travaille pour déchiffrer le trafic HTTPS. Cela induit que sur la passerelle, les informaticiens – et/ou les éditeurs de l’appliance – disposent désormais de la capacité à collecter les logins et les mots de passe des salariés et des patients, ayant la mauvaise idée de se connecter à leurs services personnels (banques, mails, réseaux sociaux, etc). Quand je lui ai demandé si les utilisateurs avaient été prévenus, il n’a jamais su me répondre. Le cas de cet hôpital est celui d’une grande majorité d’accès publics à Internet effectués à partir de bornes Wifi et de portails captifs.

Vérifier le certificat du site visité

Cliquez tout d’abord sur le cadenas présent dans la barre d’adresses de Firefox. Développez la partie Connexion pour disposer d’informations complémentaires sur le certificat.

Firefox > Cadenas > Connexion

Le certificat du site extime.fr est fourni par Let’s Encrypt. En bas, choisissez Plus d’informations !

Firefox > Sécurité du site

Cliquez sur Afficher le certificat.

Firefox > Informations sur la page

Et là, le certificat utilisé est en fait celui de dsfc.net. Comment voulez-vous que Madame Michu y retrouve ses petits ?

Firefox > Détails du certificat

Comment se protéger ?

En fait, une fois que le certificat est chargé dans le magasin Windows ou dans celui de Firefox, il n’y a pas grand chose à faire. Vous pouvez hélas faire le test avec Fiddler et déchiffrer le trafic HTTPS. Firefox n’y voit que du feu !

Le renforcement de la sécurité dans Firefox, à partir du configurateur en tapant dans la barre d’adresses about:config, ne vous servira pas à grand chose.

Sécurité  / Firefox 

Commentaires

« Le cas de cet hôpital est celui d’une grande majorité d’accès publics à Internet effectués à partir de bornes Wifi et de portails captifs. »

je ne comprend pas comment dans le cas de points d’accès public il serait possible de « diffuser des certificats par GPO » sur les postes des clients de passage.

(bien entendu dans le cas d’un réseau d’entreprise avec des postes administrés par cette dernière ca s’explique par contre)

@Gilles

Très bonne remarque. Deux cas à distinguer.

1. Le certificat est autosigné ! Si une personne a besoin de se connecter, elle l’acceptera et il sera chargé dans son magasin de certificats en validant l’exception.

2. J’ai le cas concret d’un client dont le portail captif se trouve directement sur Internet et utilise un certificat reconnu d’une autorité de certification. Et là, ça glisse au pays des merveilles.

J’ai moi aussi en tant que sysadmin déployé cette solution dans mon entreprise avec Orange. Disposant d’une autorité de certification interne, les machines de l’AD n’y voit effectivement que du feu. Ce n’est pas le cas des équipements extérieurs a mon domaine AD. En lisant cet article je me pose effectivement la question concernant les obligations d’informer les utilisateurs de ce type de pratique. Via déchiffrement ou non le réseau d’une entreprise elreste d’une certaine manière « surveillé » que ce soit via proxy ou autre. Je suis d’accord que le déchiffrement atteint un niveau supérieur. Malheureusement depuis que les certificats sont accessibles gratuitement à tous, ils sont également mis à disposition des personnes malveillantes et il est donc quasi impossible de détecter une menace sans passer par cela.
Concernant les données personnelles il faut savoir que la loi semble imposer (information qui m’a été transmise par les équipes d’Orange) certaines catégories de site web où le déchiffrement est désactivé (les sites bancaires en font partie). Il semblerait que ce soit un paramétrage imposé par le constructeur du matériel firewall mis a disposition, Fortinet pour mon cas.

Laisser un commentaire

(requis)

(requis)