Les conséquences techniques de l’interception HTTPS en entreprise

Blog Stéphane Bortzmeyer : Les conséquences techniques de l’interception HTTPS en entreprise
►http://www.bortzmeyer.org/https-interception.html

Leur étude montre que plus de 10 % des sessions HTTPS vers Cloudflare (6 % pour des sites divers de commerce en ligne) sont interceptées, ce qui est assez inquiétant.

Mais il y a bien pire : le système d’interception, on l’a vu, termine la session TLS et en commence une autre avec le serveur. Ce faisant, la totalité des systèmes testés font d’énormes erreurs TLS : ils annoncent des algorithmes de chiffrement abandonnés (RC4, cf. RFC 7465), ou qui n’auraient jamais dû être utilisées (les algorithmes « exportation », délibérement affaiblis), acceptent des certificats expirés, et, parfois, ils ne valident même pas le certificat du serveur ! Ils sont en outre vulnérables à plusieurs attaques TLS connues. Cela est dû au fait que ces boîtes noires utilisent des versions anciennes de bibliothèques TLS, et qu’elles ne les configurent pas proprement. (Ce problème avait déjà été démontré avec les anti-virus.)

On vous a répété plein de fois que, si vous voyez un petit cadenas à gauche de la barre d’adresse de votre navigateur Web, c’est que vous êtes en sécurité ? C’est faux. Il existe plusieurs techniques pour contourner cette sécurité (surtout si vous n’avez pas un complet contrôle de votre ordinateur et que quelqu’un peut, par exemple, ajouter une autorité de certification) et en plus elles sont légales.

La décision de la #CNIL : ▻http://www.cnil.fr/linstitution/actualite/article/article/analyse-de-flux-https-bonnes-pratiques-et-questions

Une explication simplifiée : ▻http://www.01net.com/editorial/651057/votre-employeur-peut-espionner-vos-communications-chiffrees-et-la-cnil-est-d-

Les détails techniques : ▻http://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https

#HTTPS #TLS #sécurité_Internet #surveillance #entreprise