Discussion :

[nicopulse]

Bonsoir,

L'actualité sécurité et les lois renseignements me font me poser beaucoup de questions purement technique.

HTTP over TSL est réputée inviolable par force brute. Dans cadre du chiffrement HTTPS + certificats pour authentifier la connexion : on peut se poser la question d'une attaque Man In The Middle avec trust de la chaine de confiance.

Ainsi si l'un des attaquants (ex : propriétaire d'un I_MSI_captcher) où une quelconque entité truste/s'entend avec les fournisseurs de certificats : quel est le risque ?
Le traffic peut effectivement être déchiffré, non ?

[BufferBob]

salut,

si l'un des attaquants (...) truste/s'entend avec les fournisseurs de certificats : quel est le risque ? Le traffic peut effectivement être déchiffré, non ?

oui évidemment, sachant que le trust dont tu parles c'est la face émergée de l'iceberg, en pratique l'attaquant peut même se passer du trust (et c'est probablement pour éviter ce genre de cas que les lois passent, histoire de régulariser mvoyeez )

[secuexpert]

salut,


oui évidemment, sachant que le trust dont tu parles c'est la face émergée de l'iceberg, en pratique l'attaquant peut même se passer du trust (et c'est probablement pour éviter ce genre de cas que les lois passent, histoire de régulariser mvoyeez )

Comment ça, "l'attaquant peut même se passer du trust"?

[secuexpert]

oui évidemment, sachant que le trust dont tu parles c'est la face émergée de l'iceberg, en pratique l'attaquant peut même se passer du trust (et c'est probablement pour éviter ce genre de cas que les lois passent, histoire de régulariser mvoyeez )

Je sais que tu as dit que tu ne voulais plus intervenir sur ce topic parce que mon style ne te plait pas et que tu penses que j'ergote sur la terminologie, mais ou bien tu n'as pas compris l'affaire que tu mentionnes, ou bien tu t'exprimes comme un pied.

Dans ce scandale mettant en jeu l'ANSSI, on parle de tiers de confiance : trusted root anchor. On parle de certificat racine de confiance. On parle de tiers recevant une délégation de confiance.

Dans toute cette histoire on parle uniquement de confiance.

Cette histoire parle d'une entité qui délègue la confiance à une sous-entité, qui délègue la confiance à une sous-entité, qui délègue la confiance à une sous-entité, qui délègue la confiance à une sous-entité, qui fait n'importe quoi. Il y a plein plein plein d'entité de confiance ici.

Un attaque qui se passe d'un tiers de confiance doit attaquer ou bien :
- les primitives crypto (bon courage...)
- le protocole crypto (attaque downgrade, sélection d'un chiffre plus faible... bon courage sur un serveur bien configuré utilisant une implémentation à jour)
- contourner complètement le problème en infiltrant le poste client : plus de crypto, on attend que les données soient déchiffrées
- ou de l'autre coté attaquer le serveur et récupérer les données avant qu'elles soient chiffrées

mais là on parle de contournement.

Si tu as une autre idée d'attaque viable contre TLS, publie-la!

[BufferBob]

mon style ne te plait pas et que tu penses que j'ergote sur la terminologie, mais ou bien tu n'as pas compris l'affaire que tu mentionnes, ou bien tu t'exprimes comme un pied.

en fait pour rester fidèle à l'idée d'origine, le contenu exact était :

vu d'ici on est pas loin du macaque qui exhibe ses boules pour asseoir sa domination (...) ou alors tu me drague et je me retrouve pris dans ton viseur à devoir me justifier pour quelques tournures approximatives ici et là

ça se précise on dirait

du coup je disais plus haut qu'on pouvait se passer du trust, je te remercie de confirmer que c'est bien le cas à travers tes précisions techniques

[secuexpert]

OK non seulement je n'ai aucune idée de ce que tu essaies de dire, mais en plus je suis persuadé que toi non plus!