sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Firefox, the NSA and the Man in in the Middle - SitePoint

Wednesday 2 October 2013 at 10:50

Puisque Pierre M. me questionne, voici mon avis sur cet article:
Forcer des algos de chiffrements forts (AES 256 bits au lieu de RC4) est une bonne chose...  mais en l'occurrence totalement inutile pour se protéger des attaques MITM.

Pourquoi ? Parce que la NSA peut sans problème faire pression sur l'une des nombreuses autorités de certifications présente par défaut dans les navigateurs afin de générer des certificats SSL valide et intercepter sans lever d'alerte. Gardons à l'esprit le cas de Microsoft/Tunisie. Et là ce n'était même pas la NSA. (http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51-anti-microsoftisme-du-jour-et-autres-joyeusetes).

Les autorités de certifications ne sont pas infaillibles. Les procédures de sécurité peuvent être abusées. Elles peuvent se faire pirater (c'est déjà arrivé). Elles peuvent subir des pression. Elles peuvent éventuellement décider de collaborer.

Alors votre super chiffrement en servira à rien si de toute manière votre navigateur accepte n'importe quel certificat signé, même si ce n'est pas le vrai certificat du site que vous visitez (Je rappelle que des vendeurs de firewalls filtrants se targuent, dans leur plaquettes commerciales, de pouvoir faire de la substitution de certificats SSL à la volée.)
Voir: http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus

Pour prendre une image: Vous pouvez utiliser les serrures les plus sophistiquées au monde (AES): Si le fabricant de la porte prête une copie des clés à quelqu'un d'autre (certificats SSL signés), votre super serrure sécurisée ne sert à rien.
(Permalink)

Source: http://www.sitepoint.com/firefox-nsa-man-middle/