+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 575
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 575
    Points : 85 777
    Points
    85 777

    Par défaut Google décide de renforcer la sécurité de son service de messagerie

    Google décide de renforcer la sécurité de son service de messagerie,
    le protocole HTTPS désormais activé par défaut sur Gmail

    Google a annoncé que Gmail, son service de messagerie, allait bénéficier d’un renforcement dans sa sécurité. Pour ce faire, le groupe californien a décidé d’activer la connexion sécurisée (HTTPS) par défaut. Pour rappel, cette fonctionnalité est en option depuis 2010.

    « Votre courriel est important pour vous, et faire en sorte qu'il reste sécurisé et soit toujours disponible est important pour nous » assure l'ingénieur chargé de la sécurité de Gmail, Nicolas Lidzborski. « A partir d'aujourd'hui Gmail utilisera toujours une connexion cryptée HTTPS quand vous consulterez ou enverrez un mail... Ce changement signifie que, désormais, plus personne ne peut intercepter vos messages car ils vont et viennent entre vous et les serveurs de Gmail. Peu importe que vous utilisiez une connexion wifi publique ou que vous soyez connecté d'un ordinateur, un téléphone ou une tablette», poursuit-il.

    Ce système permet « que vos messages soient sécurisés non seulement quand ils sont dans les serveurs de Gmail mais aussi quand ils sont en transit entre les centres de données de Google. Nous en faisons notre priorité après les révélations de l'été dernier».

    Cette décision intervient dans un contexte de tensions entre le secteur technologique et le gouvernement américain, alimentées par les révélations autour des programmes de surveillance des agences de renseignements à l’instar de la NSA. Une tentative de Mountain View de redorer son blason.

    Source : blog Gmail

    Et vous ?

    Que pensez-vous de cette initiative ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mai 2007
    Messages : 11 517
    Points : 48 839
    Points
    48 839

    Par défaut

    Citation Envoyé par Stéphane le calme Voir le message
    Que pensez-vous de cette initiative ?
    Tout ce qui va dans le sens de la préservation de la vie privée est une excellente initiative MAIS ... il ne faudrait pas que cela donne un faux sentiment de sécurité. Je m'explique :

    Dans une entreprise, lorsque l'on accède à gmail (de manière perso), on le fait souvent au travers du proxy corporate et celui ci, suivant sa configuration, peut ouvrir les connexion HTTPS (c'est à dire que le proxy présente à l'utilisateur final un certificat qui n'est pas celui de gmail mais celui du proxy). Le proxy se comporte en "Man in the middle" sur la session et il faut vraiment un œil averti (et aussi certains automatismes) pour se rendre compte que le certificat n'est pas celui de gmail. A partir du moment où la session HTTPS est ouverte, il n'y a plus de vie privée et même pire, à partir du moment où cette session est ouverte de manière "silencieuse" (il y a des possibilités afin de ne pas faire trop râler le browser du client final au sujet du certicat présenté), cela donne un faux sentiment de sécurité qui peut être pire que le fait de savoir qu'il n'y a pas de sécurité.

    Pour régler ce problème (Man in the middle du proxy HTTPS), il n'y a malheureusement qu'une seule solution, c'est d'utiliser aussi un certificat "client". Au moins, là on sera sûr que la session HTTPS ne peut pas être ouverte. Je ne connais pas de service de messagerie WWW qui utilise (voire même impose) l'utilisation de certificats clients. Se pose aussi le problème de la génération de ce certificat client et de la confiance que l'on accorde à la PKI de gestion de ces certificats clients.

    PS : ce que j'ai dit au sujet du proxy "corporate" peut tout à fait s'imaginer à l'échelle d'un pays (avec plus de moyens, c'est tout).
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  3. #3
    Invité
    Invité(e)

    Par défaut

    Citation Envoyé par ram-0000 Voir le message
    PS : ce que j'ai dit au sujet du proxy "corporate" peut tout à fait s'imaginer à l'échelle d'un pays (avec plus de moyens, c'est tout).
    Voir à ce sujet cet excellent papier

    http://files.cloudprivacy.net/ssl-mitm.pdf

    Steph

  4. #4
    Membre expert

    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2010
    Messages
    1 716
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2010
    Messages : 1 716
    Points : 3 359
    Points
    3 359

    Par défaut

    C'est pour laisser croire que les courriers ne seront plus consulté par la NSA mais il continue de leur laisser libre accès à ces courriers, toute façon ils ont pas le choix la loi Américaine est en faveur de la NSA.
    Bon après ça sera toujours un niveau de protection en plus contre les pirates.
    LoL Stat, mon application League of Legends pour WP 8.1/WP10/Windows 8.1/Windows 10 https://www.microsoft.com/fr-fr/stor...t/9nblggh3g30b

  5. #5
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    468
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 468
    Points : 1 471
    Points
    1 471

    Par défaut

    Dans une entreprise, lorsque l'on accède à gmail (de manière perso), on le fait souvent au travers du proxy corporate et celui ci, suivant sa configuration, peut ouvrir les connexion HTTPS (c'est à dire que le proxy présente à l'utilisateur final un certificat qui n'est pas celui de gmail mais celui du proxy).

    Non et ça serait bon d'arreter de dire n'importe quoi.

    Un simple proxy ne suffit pas à effectuer du man in the middle en HTTPS et fort heuresement.
    Il faut falsifier un certificat SSL pour se faire ou controler une authorité de certification pour procéder à ce genre de chose, ce qui est illégale et hors d'atteinte d'une entreprise classique ( pas d'un état ou d'une agence de renseignement, effectivement ).

    Le seule autre manière de mettre ce genre "d'infrastructure de la honte" en place est de controler est de créer sa propre CA et d'en forcer l'installation sur le poste client. Ce qui peut se détecter facilement ( et qui merite un coup de pied au cul entre autre ).
    It's not a bug, it's a feature

  6. #6
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mai 2007
    Messages : 11 517
    Points : 48 839
    Points
    48 839

    Par défaut

    Citation Envoyé par Firwen Voir le message
    Un simple proxy ne suffit pas à effectuer du man in the middle en HTTPS et fort heuresement.
    Si si (j'en ai eu la démonstration pas plus tard que la semaine dernière). Par contre, on est bien d'accord, le certificat présenté est bien celui du proxy et plus celui du site que l'on veut atteindre (gmail dans l'exemple courant). Dans mon exemple, il y a bien 2 sessions HTTPS, une entre le proxy et gmail (avec le certificat serveur de gmail) et une autre entre le proxy et le client final (avec le certificat serveur du proxy).

    Citation Envoyé par Firwen Voir le message
    Il faut falsifier un certificat SSL pour se faire ou controler une authorité de certification pour procéder à ce genre de chose, ce qui est illégale et hors d'atteinte d'une entreprise classique ( pas d'un état ou d'une agence de renseignement, effectivement ).
    Pas besoin de le falsifier, il suffit que le proxy ait un certificat valide (signé par la CA de l'entreprise ou toute autre une CA valide) à présenter au client final.

    Citation Envoyé par Firwen Voir le message
    Le seule autre manière de mettre ce genre "d'infrastructure de la honte" en place est de controler est de créer sa propre CA et d'en forcer l'installation sur le poste client. Ce qui peut se détecter facilement ( et qui merite un coup de pied au cul entre autre ).
    On est bien d'accord sur la déontologie de la chose mais malheureusement, le monde des bisounours, c'est pas ici. Par contre, il faut arrêter de dire que le petit cadenas en haut du navigateur est le gage ultime de sécurité, c'est uniquement un des maillons dans la chaine de confiance que l'on peut accorder au site sur lequel on navigue. Il y a d'autre maillons à vérifier avant de pouvoir dire "je suis en sécurité" (et je ne parle même pas de l'aspect "est ce qu'un gouvernement X ou Y a un accès quelconque à la machine gmail", là on ne peut plus rien faire).
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  7. #7
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    468
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 468
    Points : 1 471
    Points
    1 471

    Par défaut

    Pas besoin de le falsifier, il suffit que le proxy ait un certificat valide (signé par la CA de l'entreprise ou toute autre une CA valide) à présenter au client final.

    Si justement.
    Un certificat valide signé par une CA officielle ( Verisign, Diginotar or wtv ) est associé à un nom de domaine et UNIQUEMENT valide pour ce nom de domaine. Il ne peut pas être utilisé pour masquer un site quelconque ( google, facebook ou autre ) avec un URL tiers, sinon c'est evidemment une attaque MiM.

    Dans ton cas, l'entreprise gènèrent simplement des faux certificats tout en ayant installé son CA "maison" dans tous les postes de l'entreprise.
    Ce qui, de mon humble avis, est simplement honteux en terme de sécurité. Si tu connais une entreprise ou un admin utilisant ce genre de pratique, sincerement dénonce là ici meme car c'est tout simplement une honte. Le premier hack venu sur ce proxy, permet de récupérer joyeusement les login / mots de passe de tous les utilisateurs du réseau intranet de l'entreprise.

    Il y a d'autre maillons à vérifier avant de pouvoir dire "je suis en sécurité" (et je ne parle même pas de l'aspect "est ce qu'un gouvernement X ou Y a un accès quelconque à la machine gmail", là on ne peut plus rien faire).
    On peut faire quelque chose avec des choses comme TACK ou convergence ou un système de certificate pinging comme intégré à google chrome pour les sites Google.
    Cependant, je suis entièrement d'accord avec toi sur le fond. Dans l'état actuel des choses, SSL/TLS est cassé pour l'utilisateur moyen, son système de CA n'assure plus la protection Mim qu'il devrait.
    Et pour l'utilisateur lambda qui n'y connait rien ni à X509, ne vérifiera pas les signatures de son credential et se fit simplement au petit cadena sur son browser, il est facile d'être berné par une attaque MiM.
    It's not a bug, it's a feature

Discussions similaires

  1. Facebook renforce la sécurité de son mailing
    Par Siguillaume dans le forum Actualités
    Réponses: 3
    Dernier message: 03/06/2015, 09h15
  2. Google améliore la sécurité de son service de messagerie
    Par Stéphane le calme dans le forum Actualités
    Réponses: 0
    Dernier message: 18/12/2014, 04h40
  3. Google décide de renforcer ses câbles sous-marins
    Par Stéphane le calme dans le forum Actualités
    Réponses: 12
    Dernier message: 28/08/2014, 11h23
  4. Réponses: 0
    Dernier message: 23/03/2012, 11h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo