Le débat technique m'échappe complètement alors je préfére vous
laisser avec : Fabrice DESCLAUX et son joli diaporama de 2008 (j'ai
compris que les 2 premières diapos mais puisque vous avez l'air bien
lancé, le reste pourrait vous intéresser...):
http://actes.sstic.org/SSTIC06/Castle_in_the_Skype/SSTIC06-Desclaux-Castle_in_the_Skype.pdf
Le 14 mars 2015 17:12, Olivier Allard-Jacquin <olivieraj@???> a écrit :
> Bonjour,
>
> Le 13/03/2015 19:36, Hugues Levasseur a écrit :
>> Tu peux générer autant de clé aléatoire que tu veux, si tu ne les
>> communique pas à l'autre client, ça ne sert pas à grand chose.
>>
>> Et pour faire ça, on utilise toujours le même moyen : La crypto à clé
>> publique via le RSA.
>> Et on retombe sur le problème des certificats et des attaques MITM ...
>>
>> ... et là, faut faire confiance à Microsoft, ceux qui ont volontairement
>> falsifié des certificats SSL pour permettre à un dictateur d'espionner
>> sa population
>> <http://reflets.info/microsoft-et-ben-ali-wikileaks-confirme-les-soupcons-d-une-aide-pour-la-surveillance-des-citoyens-tunisiens/>.
>>
>> Bref, gros techno bullshit de la part de Microsoft.
>>
>
> Il ne faut pas grand chose à un Windows pour être sensible à une
> attaque de type man-in-the-middle, et ainsi de complètement casser la
> protection SSL.
>
> Microsoft indique ici
> http://social.technet.microsoft.com/wiki/contents/articles/14215.windows-and-windows-phone-8-ssl-root-certificate-program-member-cas.aspx
> la liste de autorités de certifications qui sont reconnus par ses OS.
>
> La dernière liste à jour (2014/09) est téléchargeable ici :
> http://download.microsoft.com/download/1/5/7/157B29AB-F890-464A-995A-C87945B28E5A/Windows%20Root%20Certificate%20Program%20Members%20-%20Sept%202014.pdf
>
> On y trouve notamment deux certificats pour le gouvernement Français...
>
> A noter que cette liste peut être "poussés" sur les machines clientes,
> via l'installation de patchs (le fameux "patch Tuesday" de MS).
>
> Dans le cas d'un gouvernement qui 1) a la main mise sur les DNS (via
> tout simplement le ou les FAI nationaux) et 2) a un certificat racine
> qui se trouve dans les OS de ces citoyens, alors il n'a AUCUN problème
> pour casser les connexions SSL des utilisateurs de son réseau
> (interception SSL).
>
> L'attaque la plus probable dans ce cas-là, est de simuler des faux
> sites web facebook, google, yahoo, etc..., et d'utiliser l'interception
> SSL afin de récupérer les login/mots de passe. Et cerise sur le gâteau,
> c'est complètement transparent pour l'utilisateur, qui ne se rend pas
> compte qu'il s'est fait voler ses identifiants.
>
> Affabulation ? Pas tant que cela : Il y a 2 ans, l'autorité de
> certificat Turque s'est fait prendre la main dans le pot de confiture,
> en ayant créé un faux certificat pour *.google.com :
> http://googleonlinesecurity.blogspot.de/2013/01/enhancing-digital-certificate-security.html
> . Ainsi, ce gouvernement avait le moyen de déchiffrer tous les flux de
> Google.com des personnes surfant à partir du réseau Turc...
>
> Il y a aussi le gouvernement Français qui l'a fait aussi, mais c'était
> limités à ses propres employés / utilisateurs des ses réseaux (écoles,
> administrations, etc...) :
> http://linuxfr.org/users/ife/journaux/il-est-temps-que-vous-ayez-un-meilleur-https
>
> Pour les Debian/Ubuntu , vous pouvez utiliser ceci afin de désactiver
> les autorités auquel vous ne faites pas confiance :
> http://linuxfr.org/nodes/104029/comments/1574784
>
> Cordialement,
>
> Olivier
> --
> ~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> Phoenix / _ \/ _ \ Olivier Allard-Jacquin
> / / \ / \ \ Web: http://olivieraj.free.fr/
> /___/ / \ \___\ Mail: olivieraj@???
> ~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
>