Re: Est-ce possible ?

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: Est-ce possible ?
    Bonjour,

Le 13/03/2015 19:36, Hugues Levasseur a écrit :
> Tu peux générer autant de clé aléatoire que tu veux, si tu ne les
> communique pas à l'autre client, ça ne sert pas à grand chose.
>
> Et pour faire ça, on utilise toujours le même moyen : La crypto à clé
> publique via le RSA.
> Et on retombe sur le problème des certificats et des attaques MITM ...
>
> ... et là, faut faire confiance à Microsoft, ceux qui ont volontairement
> falsifié des certificats SSL pour permettre à un dictateur d'espionner
> sa population
> <http://reflets.info/microsoft-et-ben-ali-wikileaks-confirme-les-soupcons-d-une-aide-pour-la-surveillance-des-citoyens-tunisiens/>.
>
> Bref, gros techno bullshit de la part de Microsoft.
>


    Il ne faut pas grand chose à un Windows pour être sensible à une
attaque de type man-in-the-middle, et ainsi de complètement casser la
protection SSL.


    Microsoft indique ici
http://social.technet.microsoft.com/wiki/contents/articles/14215.windows-and-windows-phone-8-ssl-root-certificate-program-member-cas.aspx
la liste de autorités de certifications qui sont reconnus par ses OS.


    La dernière liste à jour (2014/09) est téléchargeable ici :
http://download.microsoft.com/download/1/5/7/157B29AB-F890-464A-995A-C87945B28E5A/Windows%20Root%20Certificate%20Program%20Members%20-%20Sept%202014.pdf


    On y trouve notamment deux certificats pour le gouvernement Français...


    A noter que cette liste peut être "poussés" sur les machines clientes,
via l'installation de patchs (le fameux "patch Tuesday" de MS).


    Dans le cas d'un gouvernement qui 1) a la main mise sur les DNS (via
tout simplement le ou les FAI nationaux) et 2) a un certificat racine
qui se trouve dans les OS de ces citoyens, alors il n'a AUCUN problème
pour casser les connexions SSL des utilisateurs de son réseau
(interception SSL).


    L'attaque la plus probable dans ce cas-là, est de simuler des faux
sites web facebook, google, yahoo, etc..., et d'utiliser l'interception
SSL afin de récupérer les login/mots de passe. Et cerise sur le gâteau,
c'est complètement transparent pour l'utilisateur, qui ne se rend pas
compte qu'il s'est fait voler ses identifiants.


    Affabulation ? Pas tant que cela : Il y a 2 ans, l'autorité de
certificat Turque s'est fait prendre la main dans le pot de confiture,
en ayant créé un faux certificat pour *.google.com :
http://googleonlinesecurity.blogspot.de/2013/01/enhancing-digital-certificate-security.html
. Ainsi, ce gouvernement avait le moyen de déchiffrer tous les flux de
Google.com des personnes surfant à partir du réseau Turc...


    Il y a aussi le gouvernement Français qui l'a fait aussi, mais c'était
limités à ses propres employés / utilisateurs des ses réseaux (écoles,
administrations, etc...) :
http://linuxfr.org/users/ife/journaux/il-est-temps-que-vous-ayez-un-meilleur-https


    Pour les Debian/Ubuntu , vous pouvez utiliser ceci afin de désactiver
les autorités auquel vous ne faites pas confiance :
http://linuxfr.org/nodes/104029/comments/1574784


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!