Ils déchiffrent le SSL/TLS sans prévenir les utilisateurs !

C’est à la lecture d’un article consacré à PCredz – un outil de Pentest qui ne sert plus à rien ou presque – que me sont revenues ces discussions récentes avec deux sysadmins. Le 1er, après que je lui ai percé son Fortigate à coup de Tor et de Privoxy,  m’expliquait qu’il travaillait d’arrache-pied avec Orange et qu’il déchiffrait le trafic HTTPS à l’aide de certificat.  Après avoir tenté de lui expliquer que les certificats que je visualisais étaient bien ceux des sites visités, je coupais court à la conversation face à son entêtement bravache  à me raconter des carabistouilles. Je sais toutefois que le Grand Manitou au dessus de lui avait songé à le faire, sans en informer pour autant les utilisateurs ! Il aurait même tenté une expérimentation.

Et puis, c’est un autre sysadmin qui m’a indiqué récemment diffuser des certificats par GPO pour Firefox et pour Internet Explorer/Chrome dans l’hôpital où il travaille pour déchiffrer le trafic HTTPS. Cela induit que sur la passerelle, les informaticiens – et/ou les éditeurs de l’appliance – disposent désormais de la capacité à collecter les logins et les mots de passe des salariés et des patients, ayant la mauvaise idée de se connecter à leurs services personnels (banques, mails, réseaux sociaux, etc). Quand je lui ai demandé si les utilisateurs avaient été prévenus, il n’a jamais su me répondre. Le cas de cet hôpital est celui d’une grande majorité d’accès publics à Internet effectués à partir de bornes Wifi et de portails captifs.

Vérifier le certificat du site visité

Cliquez tout d’abord sur le cadenas présent dans la barre d’adresses de Firefox. Développez la partie Connexion pour disposer d’informations complémentaires sur le certificat.

Firefox > Cadenas > Connexion

Le certificat du site extime.fr est fourni par Let’s Encrypt. En bas, choisissez Plus d’informations !

Firefox > Sécurité du site

Cliquez sur Afficher le certificat.

Firefox > Informations sur la page

Et là, le certificat utilisé est en fait celui de dsfc.net. Comment voulez-vous que Madame Michu y retrouve ses petits ?

Firefox > Détails du certificat

Comment se protéger ?

En fait, une fois que le certificat est chargé dans le magasin Windows ou dans celui de Firefox, il n’y a pas grand chose à faire. Vous pouvez hélas faire le test avec Fiddler et déchiffrer le trafic HTTPS. Firefox n’y voit que du feu !

Le renforcement de la sécurité dans Firefox, à partir du configurateur en tapant dans la barre d’adresses about:config, ne vous servira pas à grand chose.

Sécurité  / Firefox