Vous êtes sur Barbablog et tu kiffes jeune. Cherche sur ce blog...

Dakar Cryptoparty #2

Deuxième partie de l’atelier donné à Dakar sur la sécurité numérique qui porte cette fois sur https et les divers moyens de sécuriser son surf. Cet atelier s’inscrit dans une formation plus vaste organisée par Reporters sans frontières pour les journalistes, blogueurs et net-citoyens. La version présentation de cet atelier sans les phrases et sans les blagues est disponible sous forme de PDF.

Il n’est ici pas question de tomber dans le délire parano selon lequel l’Internet #CeyMal parce qu’il serait rempli de pirates chinois et de pédonazis ; il est simplement question de comprendre et mieux utiliser https, la version sécurisée du protocole que vous utilisez tous les jours pour surfer sur le web.

  1. httpS, à quoi ça sert
  2. Les éventuelles failles
  3. Comment s’en prémunir

http S ?

Lorsque vous allez sur le web avec votre portable ou votre ordinateur, vous utilisez le protocole http (hyper texte transfer protocole). Un protocole est un ensemble de règles et de normes qui permettent à deux machines de communiquer ensemble. Https est la version sécurisée du protocole http. Lorsque vous visitez un site dont l’url commence par https (celui de votre banque par exemple, en tout cas je l’espère pour vous, sinon changez de banque tout de suite) vous êtes assuré de 3 choses :

L’Authenticité du site visité

Chaque site https dispose d’un certificat qu’il présente à votre navigateur lorsque celui-ci y accède. Votre navigateur dispose de son côté d’une base de données qui lui permet de vérifier la validité du certificat présenté. C’est un peu comme lorsque vous vous faites contrôler par les flics : vous donnez votre carte d’identité (vous êtes le site https) et eux (le navigateur web) vérifient que vous êtes bien celui que vous prétendez être en appelant le central ou n’importe quoi d’autre je ne suis pas très calé en matière de police et de contrôle de papier, j’ai trop une tête de gendre idéal pour me faihttp://blog.barbayellow.com/2013/05/10/dakar-cryptoparty-2/re contrôler.

La confidentialité des données échangées avec le site

Une fois l’identité du site validée, un canal de communication chiffré est alors établi entre votre navigateur et le site. Ainsi, personne entre vous et le site visité n’est en mesure de voir les informations échangées que ce soient les pages demandées, le contenu de celles-ci ou les mots de passe envoyés. Il faut en effet comprendre qu’entre vous et le site visité, il existe de nombreux intermédiaires : le fournisseur d’accès, le ou les serveurs DNS, un éventuels proxy, voire une personne malveillante (tout particulièrement lors de connexion sur des hotspots wifi ouverts).

L’intégrité des données

L’utilisation du protocole https vous garantit également que personne ne peut modifier les données envoyées. Ce dernier point semble trivial mais de nombreuses attaques ont recours à la manipulation des données entre un utilisateur et un site.

Casser du https

Il existe quelques moyens pour casser le canal sécurisé mis en place entre un site https et votre navigateur.

Bloquer les connexions https

C’est de loin le moyen le plus simple pour casser du https. Les sites qui proposent une version https sont la plupart du temps également accessibles en http. Un attaquant qui contrôlerait le réseau sur lequel vous vous connectez (votre fournisseur d’accès, l’hôtel dans lequel vous vous connectez en wifi etc.) peut tout simplement fermer l’accès https et vous forcer à utiliser la version http non sécurisée.

Usurper l’identité d’un site https

Un attaquant peut se placer entre vous et le site auquel vous souhaitez accéder et rediriger votre trafic vers une copie du site qui disposera de faux papiers (certificat). C’est ce qu’on appelle l’Attaque de l’Homme du Milieu (Man in the Middle Attack).

Supposons que vous souhaitiez aller sur https://gmail.com et qu’un attaquant déroute votre requête pour vous faire arriver sur un autre site installé sur la même adresse web (il n’est pas compliqué dès lors qu’on a le contrôle d’un réseau d’usurper l’adresse web d’un site) et qui ressemble en tout point au service de messagerie de Google. Le seul indice qui vous permettra de déjouer cette attaque est l’alerte de sécurité de votre navigateur indiquant que le site auquel vous accédez n’est pas celui qu’il prétend être. En clair, après vérification des papiers d’identité du site et appel au central, il s’avère que ces papiers sont faux. Le certificat de chaque site est unique et seul google a les papiers d’identité de https://gmail.com.

alerte -https

Voler les papiers d’identité (vol de certificat)

Encore plus radical que l’usurpation d’identité : le vol d’identité. Dans le cadre d’une attaquer dite de l’Homme du milieu, il est possible en de très rares occasion que l’attaquant ait en sa possession les véritables papiers d’identité du site visé. Ce type d’attaque est extrêmement sophistiquée car elle suppose d’avoir préalablement volé un ou plusieurs certificats auprès d’une autorité de certification (les émetteurs de papiers d’identité).

En aout 2011, la société Diginotar , émettrice de certificats, a été piratée et s’est faite voler ses certificats. Ceux-ci ont été utilisés, principalement en Iran, pour monter des attaques de l’Homme du milieu visant les services de Google. Ce type d’attaque est extrêmement efficace puisque votre navigateur est incapable de déceler la fraude et ne vous affichera aucune alerte de sécurité, rendant ainsi l’attaque complètement transparente.

Quelques solutions

Il existe des astuces et des logiciels permettant d’améliorer la sécurité de votre surf.

Favorisez l’utilisation de Firefox ou Chrome

Mozilla, l’éditeur de Firefox, et Google, l’éditeur de Chrome, apportent un soin particulier aux aspects de sécurité. Ils ont par exemple été les premiers à mettre à jour les bases de données de certificats de leur navigateur lors du vol des certificats de Diginotar cité plus haut. Firefox a en plus l’avantage d’être un logiciel libre dont l’objectif est de garantir le sécurité et la vie privée de ses utilisateurs. Chrome, s’il met également l’accent sur la sécurité, n’est pas libre et n’offre pas les mêmes garanties en matière de respect de la vie privée.

Désactivez Java

Java est un langage multiplate-forme qui existe sous forme de plugin pour tous les navigateurs. C’est un véritable gruyère en matière de sécurité. D’après l’éditeur d’antivirus Kaspersky, 50% des attaques répertoriées en 2012 ont utilisé des failles du plugin java des navigateurs. Si vous n’avez pas besoin de java dans votre navigateur, désactivez-le ou mieux, désinstallez-le.

Boostez votre navigateur avec quelques extensions utiles

Il est possible d’ajouter des fonctionnalités à Firefox et Chrome à l’aide de plugins.

https everywhere
vérifie pour chaque site si une version https (chiffrée) existe et si oui vous redirige vers celle-ci. Cela vous évitera ainsi d’ajouter à la main le « s » de sécurisé après http après chaque adresse web, parce que personne ne fait ça, vraiment.
No script
vous permet de contrôler les scripts javascript lancés sur les sites web visités . Javascript est un langage de programmation largement utilisé sur le web. Il s’exécute dans votre navigateur et peut parfois être utilisé dans le cadre de certaines attaques (XSS et XSRF). Vous avez la possibilité d’autoriser certains sites à faire tourner javascript et l’extension retient vos choix. Fastidieux au départ mais indispensable pour surfer couvert. L’équivalent pour chrome est scriptsafe.
Web of trust
fonctionne sur le modèle du crowdsourcing (info donnée par la foule) et vous indique si un site est sûr en fonction de l’avis d’autres internautes. Si vous débarquez sur un site réputé être un nid de scripts malveillants, WOT vous affichera une alerte avant que la page ne se charge.
Certificate Patrol
vérifie les certificats lorsqu’on arrive sur un site https et vous alerte lorsque votre navigateur décèle un changement de certificat. Très utile contre les attaques man in the middle.


Reagissez

Si ce billet vous a plu ou si vous voulez apporter des précisions, ou si vous n’êtes pas d’accord avec ce que je raconte, c’est ici qu’il faut vous manifester. Je me réserve toutefois le droit de supprimer toute contribution insultante ou qui n’aurait rien à voir avec la choucroute.

  1. Pour les attaques de type Man in The Middle, lire aussi http://reflets.info/opsyria-bluecoat-au-coeur-dattaque-mitm-de-grand-envergure/
    🙂

    K.

Haut de la liste
Votre commentaire