22 réponses à ce sujet

[aciD]

KikoololM4573R, le 13 février 2012 - 13:50, dit :

Pour ça faut quand même cliquer sur le cadenas et vérifier le nom de l’émetteur, très peu de gens y font attention :/

Non maintenant avec les navigateurs récents (FF ou Chrome) t'as un joli avertissement de sécurité.

[KikoololM4573R]

aciD, le 14 février 2012 - 10:45, dit :

Non maintenant avec les navigateurs récents (FF ou Chrome) t'as un joli avertissement de sécurité.

Tu a un message d'erreur seulement lorsque le certificat est :

• Non signé ou auto-signé (cas typique du débutant en MITM, ou de l'admin qui connait pas startssl pour avoir des certificats reconnu)
  
• Signé par un certificat révoqué (sur le système ou par son infra)
  
• Signé par un certificat non reconnu (non installé sur le système)
  
• Signé par un certificat étant arrivé à expiration (date limite de validité)

Si ton entreprise t'installe un certificat sur ton système et qu'elle utilise ce certificat pour signer le certificat généré lors de la connexion (via proxy), tu verra le certificat de ta boite dans la hiérarchie du certificat utilisé pour te connecté sur gmail ou ... (si ton navigateur se base uniquement sur le nom commun du certificat, tu ne verra rien!!).

Simple exemple sur Chrome avec Gmail qui ne fait validé que son nom commun (donc ton entreprise peux générer des certifs signé et choper la contenu sans notification de ton navigateur) :

Utilisation de la validation de l'identité du site (procédé de validation plus complexe en plus du ssl, ça par contre c'est plus chaud ).


Après, si tu veux vérifier par toi même, la manip est simple (ici on fait du mitm avec un certificat signé par un certificat installé sur la machine "cliente" et NON de l'auto-signé qui lui se ferait détecter) :

• Créer un certificat racine http://www.docmirror...HOWTO/x212.html
  
• Install ce certif sur la machine que tu snoop http://www.thalix.co...ne-sous-windows
  
• utilise ettercap/sslstrip/cain avec le certif racine sur une autre machine du même réseau (google pour la manip)
  
• lit le dump avec wireshark et fournit ton certif racine pour déchiffrer http://wiki.wireshark.org/SSL
  
• Enjoy ton SSL

La sécurité SSL est plus complexe que ce qu'ont pense , c'est pas parce que c'est chiffré que t'es en sécurité.

C'est d'ailleurs pour cette raison qu'il faut éviter les installeurs automatisé des fournisseurs de VPN, ça leur permet d'installer leurs certificats et de déchiffrer tout le traffic SSL via cette méthode

[KikoololM4573R]

Pour continuer sur le sujet du "est-il possible de décoder du SSL facilement".

le soft mitmproxy permet de faire la manip que j'exposais automatiquement, il génère un certificat qu'il faut installer en tant que certificat root (http://mitmproxy.org/doc/ssl.html), et il s'occupe de générer les certificats signés et de déchiffrer les données (possibilité de voir les trames directement dans le soft : http://mitmproxy.org.../mitmproxy.html, sans avoir à faire tourner wireshark/tcpdump).

Et je n'ai pas eu d'alerte depuis firefox et chrome (tout deux à jour )

Accès à gmail avec le faux CA root : aucune alertes, et j'ai même un "vérifier par : ..."




Il est aussi possible de générer son propre certificat root (au nom de son organisation ou autre, pour paraître moins "suspect"). Cain sous windows propose le même fonctionnement.

Donc faut pas oublier que les certificats fonctionnent grâce à la confiances qu'on accorde à leurs CA roots (piratage d'un Ca : http://www.securityv...ue-certificats/, qui a permit de générer des certificats wildcards sur google)