https everywhere

[Lx4as]

Comment se fait-il que je ne peux pas me connecter à MacBidouille avec https everywhere ??

C'est dingue ça!!

Merci,

[yponomeute]

Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?

[flan]

Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?

Deux raisons :
- tes identifiants passent en clair et peuvent donc être interceptés et, si tu utilises les mêmes sur d'autres sites, ils peuvent être réutilisés ;
- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).

[SartMatt]

- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).

À noter quand même que ceci est possible également en HTTPS. Seuls les certificats de plus haut niveau de sécurité offrent une réelle garantie à ce niveau (et encore... on n'est jamais à l'abri d'une fuite de clés chez une autorité de certification, qui permettrait de générer des faux certificats EV...). Les sites utilisant ces certificats se reconnaissent par exemple sous Firefox au fait qu'en plus du cadenas vert, le nom de la société gérant le site s'affiche à gauche de l'URL dans la barre d'adresse (par exemple, sur Apple.com, ça affiche "Apple Inc. (US)").

Mais tu verras sans doute jamais de tels certificats sur un site communautaire. Parce qu'ils coûtent un bras. D'ailleurs, même certains très gros sites en HTTPS n'ont pas un certificat EV (par exemple, à peu près tous les sites de gros médias français, de nombreux sites d'e-commerce, y compris Amazon... et même Google).

Pire, il suffit qu'un malware installe sur ton appareil un certificat racine dont l'auteur du malware a les clés, et il pourra alors trafiquer absolument TOUT ton trafic HTTPS sans que tu te rends compte de rien. Et sans même parler de malware, on retrouve souvent ça sur les postes de grosses boîtes, pour que le proxy puisse aussi filtrer le trafic HTTPS. Un certificat racine installé sur les postes de la boîte, et hop, le proxy se comporte comme un attaquant "man in the middle" : le traffic HTTPS est chiffré avec les certificats des serveurs cibles entre le proxy et les serveurs, et avec les certificats du proxy entre les postes de la boîte et le proxy.


Bref, le HTTPS est clairement un plus. Mais ce n'est pas non plus une garantie, loin de là.


Et le plus gros problème sans le HTTPS reste l'envoi en clair des mots de passe, comme tu le disais dans ton premier point. Les autres risques sont quand même relativement faibles.

[flan]

- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).

À noter quand même que ceci est possible également en HTTPS. Seuls les certificats de plus haut niveau de sécurité offrent une réelle garantie à ce niveau (et encore... on n'est jamais à l'abri d'une fuite de clés chez une autorité de certification, qui permettrait de générer des faux certificats EV...). Les sites utilisant ces certificats se reconnaissent par exemple sous Firefox au fait qu'en plus du cadenas vert, le nom de la société gérant le site s'affiche à gauche de l'URL dans la barre d'adresse (par exemple, sur Apple.com, ça affiche "Apple Inc. (US)").

Mais tu verras sans doute jamais de tels certificats sur un site communautaire. Parce qu'ils coûtent un bras. D'ailleurs, même certains très gros sites en HTTPS n'ont pas un certificat EV (par exemple, à peu près tous les sites de gros médias français, de nombreux sites d'e-commerce, y compris Amazon... et même Google). Sans compter qu'il faut l'avoir dès le début sinon ça risque de ne pas fonctionner si le site a activé le HPKP qui empêche ce genre de changement de certificat.

Pire, il suffit qu'un malware installe sur ton appareil un certificat racine dont l'auteur du malware a les clés, et il pourra alors trafiquer absolument TOUT ton trafic HTTPS sans que tu te rends compte de rien. Et sans même parler de malware, on retrouve souvent ça sur les postes de grosses boîtes, pour que le proxy puisse aussi filtrer le trafic HTTPS. Un certificat racine installé sur les postes de la boîte, et hop, le proxy se comporte comme un attaquant "man in the middle" : le traffic HTTPS est chiffré avec les certificats des serveurs cibles entre le proxy et les serveurs, et avec les certificats du proxy entre les postes de la boîte et le proxy.


Bref, le HTTPS est clairement un plus. Mais ce n'est pas non plus une garantie, loin de là.


Et le plus gros problème sans le HTTPS reste l'envoi en clair des mots de passe, comme tu le disais dans ton premier point. Les autres risques sont quand même relativement faibles.

Mais en pratique, devoir récupérer un certificat légitime pour un site tierce-partie complique nettement les choses, même si comme tu dis c'est théoriquement possible.

Bien sûr, un malware peut ajouter une AC racine et après te diriger vers une contrefaçon de MB pour usurper tes identifiants (mais je pense qu'il pourrait probablement usurper les identifiants directement, sans passer par une contrefaçon de site, sauf peut-être faille spécifique qui ne permettrait que d'injecter une AC racine). Quant à la dernière hypothèse… si l'entreprise fait du vol d'identifiant sur ses employés, il y a des questions à se poser En revanche, ça peut faire sauter la vérification du certificat par le proxy (soit le proxy vérifie toujours, soit il ne vérifie jamais, mais il n'y a plus moyen de donner le choix à l'utilisateur).

Ce message a été modifié par flan - 26 Oct 2018, 20:52.