lundi 6 mai 2013

Détecter que l'on sniffe votre trafic SSL/HTTPS

Tout trafic non chiffré en http classique peut être intercepté, analysé, remanié, etc.

La solution est donc de passer par du http sécurisé ou https. Pour intercepter ce trafic, un hacker devra réaliser une attaque dite de l'homme du milieu (man in the middle / MITM) en se plaçant entre vous et le serveur afin de fournir à votre navigateur un certificat SSL bidon. Ce certificat SSL bidon est créé par le pirate lui même, il pourra donc déchiffrer tout trafic chiffré par ce certificat. Tout navigateur digne de ce nom détectera l'invalidé du certificat et en préviendra l'utilisateur. Neuf personnes sur dix cliqueront pour juste faire disparaître le popup mais l'utilisateur averti ne se fera pas berné.

Il existe un cas plus difficile a détecter et c'est lorsque vous utilisez un PC qui n'a pas été installé par vous, typiquement au travail. Très souvent les PC de travail sont installés avec un certificat en plus qui permet au PC de s'authentifier auprès de l'intranet. Jusque là rien d'anormal. Sauf que l'existence de ce certificat officiellement reconnu par votre navigateur permet justement par effet de bord de se placer en position d'homme du milieu. Et ici pas de popup d'avertissement. Tout le trafic chiffré par ce certificat sera accepté sans broncher par votre navigateur. Il n'est pas dit que votre entreprise se livre à ce genre d'interception, mais elle en a la possibilité.

L'utilisateur averti pourra vérifier manuellement que les certificats utilisé pour se connecter sur des sites connus (Google, Yahoo, …) sont bien issues par ces sociétés. Mais pour faciliter cette détection Steve Gibson de GRC vient de publier un outil bien pratique. La page en question vous donne le hash de certains sites connus, tels que vu par les serveur de GRC. Le jeux consiste donc à afficher le hash des même certificats, vu de votre PC et de comparer. Si le hash est différent c'est que votre trafic SSL est intercepté et passe en clair quelque part sur le réseau de votre entreprise. Le principe de cet outil repose sur le fait que s'il est possible de confectionner un faux certificat pour n'importe quel site, il est quasiment impossible, disons très difficile, d'en réaliser un avec le même hash.

Aucun commentaire:

Enregistrer un commentaire