sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Google is encrypting search globally. That’s bad for the NSA and China's censors. - Shaarli-Tech

Thursday 13 March 2014 at 06:10

Ça pourrait presque être bien oui. Mais en l'état actuel de l'implémentation de SSL/TLS dans les navigateurs, c'est *un peu* de la poudre aux yeux.
Si quelqu'un fait une attaque man-in-the-middle sur vos recherches Google, votre navigateur ne bronchera pas tant que le certificat qu'il reçoit est signé par une autorité.
Et par défaut, votre navigateur fait confiance à près d'une centaine d'autorités (des banques, des opérateurs télécom, diverses entreprises, des organismes d'état, etc.)

Pour le dire autrement: Si du jour au lendemain le certificat présenté par les serveurs Google ou le serveur de votre banque est signé par la dictature chinoise au lieu de GeoTrust, votre navigateur ne vous dira rien.

Et des certificats douteux, on en a vu de beaux:
- certificat de l'ex-dictature Tunisienne installée par défaut dans Windows en échange d'accord commerciaux. (http://www.sebsauvage.net/rhaa/index.php?2011/03/18/16/00/02 et http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51)
- certificats du département de la défense américain inclus dans tous les appareils Apple (iPhone, MacBook, etc.) (http://sebsauvage.net/links/?miNiXQ)
- autorités de certifications abusées ou piratées (http://sebsauvage.net/links/?gscf5g, http://sebsauvage.net/links/?o7Nlkg, http://sebsauvage.net/links/?ekgWSA, http://sebsauvage.net/links/?eTwGVw ...)

HTTPS est chiffré, c'est bien, mais le mécanisme de vérification de l'identité des serveurs avec lesquels vous communiquez est complètement foireux.  Avec la puissance de la NSA, on peut facilement imaginer qu'ils ont pu forcer l'une de nombreuses autorités à générer - à leur insu ou non - des certificats Google signés (et que donc votre navigateur considèrera comme authentiques). C'est déjà arrivé (par forcément à l'initiative de la NSA): http://sebsauvage.net/links/?_P48YQ, http://sebsauvage.net/links/?gscf5g.

Pour parer à ça, on peut utiliser des extensions pour navigateur qui contrôlent les changements de certificats (http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54) mais comme les gros du web ne sont pas foutus d'avoir leur certificats répliqués correctement sur leur CDN, c'est inutilisable (alertes constantes). J'ai d'ailleurs jeté l'éponge sur l'utilisation de ces extensions: http://sebsauvage.net/links/?j01u3w

Bref, avoir un fourgon blindé pour transporter vos données sur internet c'est bien, mais comme vous n'avez aucune idée de qui a vraiment la clé, la sécurité devient tout à coup très relative.
(Permalink)

Source: http://tech-services.fr/shartech/?Ke0qng


Powered by VroumVroumBlog 0.2.10 - RSS Feed

Download: configuration - articles