Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    121
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2007
    Messages : 121
    Points : 62
    Points
    62

    Par défaut Bitdefender Total Security bloque tous les accès SSL en générant des certificats invalides (auto référents)

    Bonjour,

    J'ai entrepris de changer de fournisseur d'outil de sécurité (voir plus loin explications - Historique commentaires) et d'acquérir 5 licences pour 2 ans de "Birdefender Total Security multi-device".

    L'installation a été très laborieuse (voir plus loin - pb d'installation BitDefender), mais finalement "certifiée" par l'assistance en fin de session de télémaintenance.

    Au redémarrage je me suis trouvé face à une avalanche de certificats invalides et la nécessité de définir des exceptions pour toute connexion https (SSL) (quand cela était possible - voir plus loin) avec en particulier FireFox et Thunderbird (boites IMAP- et SSL).

    Le problème est le suivant :

    Résumé : BitDefender crée des certificats considérés comme faisant référence à lui même "Bitdefender Personal CA.Net-Defender" comme "issuer" qui n'est pas reconnu comme autorité :
    Le message du contrôle de certificat :
    Impossible de vérifier ce certificat car son émetteur n'est pas digne de confiance :
    Emetteur : (CN) Bitdefender Personal CA.Net-Defender
    Organisation : (O) Bitdefender
    Unité d'organisation (OU) IDS

    Détail de l'analyse d'un refus :


    1- Affichage du panneau FireFox de site "non de confiance" pour un certificat invalide :


    Cette connexion n'est pas certifiée
    : www.google.com utilise un certificat de sécurité invalide
    avec (Code d'erreur : sec_error_untrusted_issuer) ...

    2- Si l'on entre un peu dans le détail, il y a deux chemins :

    a- Créer une exception :
    "Ce site essaie de s'identifier lui-même avec des informations invalides -> Voir
    et en dessous :
    Identité inconnue :
    Le certificat n'est pas sûr car il n'a pas été vérifié par une autorité reconnue utilisant une signature sécurisée"

    Si l'on consulte le certificat les informations à retenir sont :

    Le message de base :
    "Impossible de vérifier ce certificat car son émetteur n'est pas digne de confiance"
    les informations d'émetteur sont celles données plus haut :
    Emetteur : (CN) Bitdefender Personal CA.Net-Defender
    Organisation : (O) Bitdefender
    Unité d'organisation (OU) IDS

    b- Entreprendre une analyse des certificats existants

    La visualisation des certificats déclarés connus sous le nom "Bitdefender" donne :


    Certificat : Bitdefender Personal CA.000000000000

    Ce certificat a été vérifié pour les utilisations suivantes :
    Autorité de certification SSL
    Issuer :
    C = US
    O = Bitdefender
    OU = IDS
    CN = Bitdefender Personal CA.000000000000

    la hiérarchie donne comme racine : Bitdefender Personal CA.000000000000

    et

    Certificat : Bitdefender Personal CA.NET-Defender
    Impossible de vérifier ce certificat car son émetteur n'est pas digne de confiance
    Issuer :
    C = US
    O = Bitdefender
    OU = IDS
    CN = Bitdefender Personal CA.Net-Defender

    la hiérarchie donne comme racine : Bitdefender Personal CA.Net-Defender

    Ce deuxième certificat "non digne de confiance" l'est parce qu'il fait référence à lui même non reconnu comme une autorité.
    Il y a probablement un problème de dépendance d'autorité : le second ne dépend-t-il pas du premier ?

    Mais alors pourquoi suis-je le seul semble-t-il a rencontrer ce problème ?

    La conséquence est l'impossibilité totale de l'utilisation d'internet.

    En effet si les url principales génèrent le message de certificat invalide, lorsque l'on va utiliser une exception (j'en ai testé une centaine), même si l'accès principal est débloqué, le verrouillage va s'appliquer à toutes les url utilisées par le site et ne pas les charger, mais là sans message d'alerte.
    En conséquence des fonctionnalités entières deviennent inaccessibles (les js tiers), des css, des images etc.
    Pour accéder totalement à un site il faudra faire le travail de sécurité à la main : remonter toutes les hiérarchies de certificats et créer des exceptions... en gros reconstruire à la mimine l'ensemble du système de sécurité par certificats...

    Après avoir constaté le problème j'ai, refusant d'avoir à payer Bitdefender pour avoir une information, ceci pour le principe et pour le cout (0,34 Euro /mn attente facturée au moins 12mn puis 15mn pour expliquer, on a vite doublé le prix du produit), créé une fiche d'incident, mais là je n'ai pas de réponse (j'en suis à 4 déclarations).

    Le bug semble connu http://forum.bitdefender.com/lofiver...hp/t47457.html et : sommaire et changelog de versions http://forum.bitdefender.com/index.php?showtopic=46294
    mais c'est encore une autre occurrence d'un problème récurrent mal traité (le développement semble patauger dans la gestion des certificats) puisque dans mon cas il n'y a pas de contrôle parental activé, ni d'installation postérieure à celle de Bitdefender, cas visés par les mises à jour qui sont traitées par forum interposé (pas en FAQ) en item:46294, puisque c'est le contenu (références et hiérarchie de droits) du certificat qui est en cause.

    Si quelqu'un a des informations, merci d'avance

    Trebly

    __________________________________________________________________________________________________________________________________
    Ci-dessous diverses notes qui peuvent êtes utiles, relatives au changement de produit (j'utilisais antérieurement GDATA et l'ai remplacé par Bitdefender) :

    1- Pourquoi quitter GDATA :

    • GDATA m'a paru être un bon choix après un test en période d'essai, ceci il y a trois ans : SAV téléphonique à tarif exemplaire
    • Fonctionnalités
    • Prix

    Mais quelques problèmes fonctionnels et de SAV sont apparus

    • La qualité du SAV France s'est effondrée : la réponse aux questions basiques est assurée mais est pour moi sans intérêt et la réactivité s'est avérée nulle sur les questions plus pointues, à savoir par exemple :
    • Un problème majeur (rapporté ici) : les temps de backup automatiques (incrémentiels) de fichiers - nouveau produit installé - étaient gigantesques. La cause a été finalement trouvée : 98% de temps utilisé par GDATA pour vérifier en lecture et lecture-écriture chaque fichier : je n'ai eu aucune réponse au problème posé : comment autoriser le backup (logiciel de confiance assurant cette fonction) à lire et écrire des fichiers précédemment vérifiés sans effectuer le contrôle je crois 4 fois ?
    • Finalement il a été nécessaire de dégrader de manière permanente le niveau de contrôle et n'activer les moteurs qu'en lecture si l'on voulait pouvoir faire fonctionner "aussi" un backup. Les solutions d'abaissement de niveau de contrôle par pilotage distant en fonction de la mise en route de backup n'étant pas finalement réalisable.
    • L'impossibilité de déclarer des exclusions de disques et/ou répertoires dans l'analyse discrête. GDATA en mode "discret" (régulier non prioritaire) analyse les disques et se lançait donc dans l'analyse de 10To de disques externes d'archives maintes fois analysées. Le mode "signaler toutes les erreurs" avait été choisi pour la surveillance, mais comme GDATA ne distingue pas les modes, pour les messages (prévu pour intervenir de manière muette en général), GDATA signalait toutes les anomalies parfaitement connues non résolues (i.e. archives de mails) en arrêtant le process sur cette machine en réseau (serveur intranet et de fichiers). In fine le nombre de messages était tel que les messages importants étaient masqués (plusieurs dizaines d'alertes avec validations de processus) j'aurai voulu pouvoir cantonner la surveillance à un ensemble des zones de données sensibles.
    • Pas de "gadget" ou "panneau de contrôle" signalant les anomalies non bloquantes et l'état système en temps réel permettant une intervention différée, mais, si demandé, l'affichage de messages d'alerte qui dans tous les cas sont bloquants (pas de degré) et nécessitent une intervention immédiate.

    Sanction : j'essaye autre chose


    2- Achat et installation de BitDefender


    Je commets l'imprudence de passer directement à l'achat : mais c'était me semblait-t-il le seul moyen pour avoir accès à l’assistance "complète" et donc au "test" de l’assistance et ne pas avoir à faire des installations en double (en effet les licences GDATA étaient venues à expiration, donc pas de mise à jour des signatures = danger). Classé premier dans tous les bench... je ne pensais pas prendre beaucoup de risques

    L'installation a été extrêmement laborieuse pour la raison suivante :

    Les problèmes constatés :


    • Contrairement à ce qui est annoncé il n'y a pas (n'existe pas) de guide d'installation ni de manuel correct
    • Aucune information n'est donnée pour le téléchargement lorsque l'on a une licence (alors que l'on a acheté le produit le système d'accueil propose l'achat à tous les coins de rue)
    • Informations contradictoires entre la licence de groupe (5ex.) et le téléchargement qui est une installation en ligne avec un delai limite sans acheter en sus un téléchargment (une installation) illimitée (de la durée de licence)
    • Dans l'impossibilité d'installer (pas de zone de téléchargement), la déclaration d'incident aboutit après 48h à une référence d'installation invalide parce qu'elle ne concerne que la mise à jour d'une installation de BitDefender existante.
    • Absence de procédure d'installation en cas d'existence de protections tierces antérieures ou de première installation (système vierge).
    • Aucune détection d'anomalie lorsque des produits tiers existent
    • Date limite très courte pour avoir "téléchargé" le produit alors qu'il n'y a pas de moyen de télécharger (j'ai obtenu le lien en payant). Il faut donc acheter non seulement la maintenance mais aussi le téléchargement ou le CD (pas de mise à jour de soft pendant 2 ans
    • Pas de mise à jour de soft indiquée sur aucun document : faut-il acheter la maintenance alors que l'on a une licence valide ?
    • Quasi obligation de passer par l'assistance technique pour installer le produit à cause de l'absence d'information : assistance qui en télémaintenance modifie d'autorité le système (faire un backup général avant d'appeler)
    • Faire appel à l'assistance nécessite, même si l'on vient de passer par le compte utilisateur, de ressaisir toutes les information d'identification et même re-saisir le code de licence.
    • Aucune assistance gratuite, même après l'achat et le constat de défaillances évidentes de la documentation : on constate qu'en cas de difficulté il faut acheter la maintenance qui coute quatre fois le prix du produit.
    • L'assistance par mail est extrêmement lente et l'assistance téléphonique très chère (0,34 Euros/mn et temps d'attente facturés importants = au mini 15 Euros l'appel = le prix du produit)
    • FAQ très pauvre, pas de manuel, pas de Wiki, pas de Forum (en français, pour vous servir du produit il faudra obligatoirement lire et écrire en anglais), sinon toute information utile à l'exploitation semble passer par le support payant.
    • Le support gratuit par mail s'avère incapable de répondre clairement aux questions et si on exprime son mécontentement il semblerait bien que dans ce cas il n'y ait plus de réponses du tout !!! Il ne reste que deux options : acheter un forfait support (4 fois le prix de la licence annuelle, à moins que le forfait s'applique à la licence multiple - 5 achetées - donc à un correspondant mais cela n'est pas dit du tout) ou bien l'assistance téléphonique 0,34 Euro par minute incluant l'attente, même pour savoir où se trouve le lien de téléchargement et sans obtenir la réponse (il y a un lien mais il n'est pas dans le site !!!)


    Et alors :
    Tous les problèmes proviennent à mon avis de causes assez simples :

    • Bitdefender n'a pas prévu que l'on achète le produit sans avoir préalablement installé la version d'essai. Si l'on se met dans ce cas rien n'est prévu
    • Bitdefender vend un très bon prix un produit inutilisable sans la maintenance (cela me rappelle les imprimantes laser couleur lourdes vendues 1 Euro mais sans encre ni tambour), ceci pendant que d'autres vendent des produits maintenance incluse. Les comparatifs de produits tombent dans le panneau ou ne sont pas honnêtes... où trouver de l'information fiable et assez complète ? Pour ma part je n'avais pas imaginé avoir à payer un forfait maintenance pour pouvoir télécharger le produit !!!
    • BitDefender n'a pas prévu qu'un semi professionnel qui possède plusieurs machines (je fais du développement open) puisse exister. Il y a les "particuliers" et les "entreprises"
    • L'offre d'installations sur plusieurs machines dans les offres pour "particuliers" a été développée sur le plan de l'offre commerciale mais rien n'est défini pour la gestion du contrat avc des licences multiples (j'ai obtenu un lien qui m'a permis de télécharger le produit complet via une intervention du support que j'ai du payer juste après l'achat, mais je n'ai pas eu l'information : comment le faire à partir du site et où est donc la doc correspondante=.
    • La gestion des licences multiples accessible dans l'offre "particuliers" n'est pas décrite : que si passe-t-il quand un système complet doit être réinstallé par exemple, quand on change de système (j'ai une machine qui fonctionne sous XP et qui va passer en Win7 ?). Il y a un joyeux mélange entre "particuliers" "entreprises" pendant que les concepts de "professionnel" "licences multiples" "licences simples" puis "installation : primaire, mise à jour de Bitdefender, mise à jour en remplacement d'un produit tiers, réinstallation après sinistre" ne sont même pas envisagées.
    • Le site est une vitrine commerciale visant à faire acheter et derrière il n'y a rien qui soit Bitdefender autre que le produit nu.
    • Dans le site le compte d'utilisateur n'est lui-même qu'une vitrine d'offres. L'option "support" sort de l'environnement de gestion de compte et en fait change de site. Le support (assuré en France à Paris, pour la version française) est en fait totalement détaché du produit, une entreprise indépendante qui facture ses services mais sans aucune interaction avec l'éditeur du logiciel. C'est la raison pour laquelle toutes les données utilisateur doivent être ressaisies, mais c'est là aussi l'explication des lacunes signalées et l'inexistence de procédures, de documentation et de gestion intégrée d'un produit.
    • Il y a d'un coté la conception d'un produit, de l'autre un site commercial et enfin des services d'assistance totalement indépendants par "région" ou pays. Aucune chance que les problèmes évoqués puissent être traités, c'est une maladie congénitale.


    Qu'en pensez-vous ?


    Je vais maintenant vérifier les fonctionnalités, dont celles qui m'ont fait renoncer à GDATA.
    Quant aux fonctionnalités je vais voir, à l'expérience, et en fonction du temps disponible pour tester.

    Le fait est que j'ai déja 4 jours de travail perdus et que je n'ai plus d'accès internet...

  2. #2
    Membre du Club
    Profil pro
    Inscrit en
    juillet 2007
    Messages
    121
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2007
    Messages : 121
    Points : 62
    Points
    62

    Par défaut Solution partielle au problème du blocage généré par le certificat Bitdefender invalide

    Bonjour,

    Complément méritant une auto-réponse

    Avec FireFox::options::sécurité::certificats / Changer le niveau de confiance

    L'utilisateur peut déverrouiller le certificat "Bitdefender Personal CA.Net-Defender" en lui octroyant de "son" autorité les droits utiles.

    Cela ne change rien au fait que lors de l'installation le certificat installé par Bitdefender pour lui-même (sa gestion SSL) est invalide

    A bientôt

    Trebly

  3. #3
    Nouveau Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2014
    Messages : 1
    Points : 1
    Points
    1

    Par défaut Solution efficace

    Bonjour,
    une solution efficace pour garder le scan ssl est disponible en vidéo ici :


    Voilà ;-) et puis même si je le déterre, ce sujet reste d'actualité...

  4. #4
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 603
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 603
    Points : 7 017
    Points
    7 017

    Par défaut

    salut,

    soyons honnêtes, j'ai pas lu (tl;dr).

    à vue de nez comme ça, tu parles de SSL, d'alertes de certificats auto-signés, de bitdefender... SSL permet de faire un tuyau étanche, bitdefender a besoin de voir ce qu'il y a dans le tuyau, conclusion si tu tiens vraiment à ce que bitdefender mette son nez dans ton contenu SSL il est obligé de percer un trou dans le tuyau, c'est valable pour n'importe quelle autre solution pas seulement bitdefender
    donc soit tu confirmes les exceptions de sécurité (ponctuelles normalement, une fois fait les warnings ne reviennent plus) soit tu laisses ton trafic SSL être étanche

    en espérant ne pas avoir mis trop à coté...
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

Discussions similaires

  1. Bitdefender Total security 2014
    Par forum dans le forum Vos contributions
    Réponses: 0
    Dernier message: 13/02/2014, 15h50
  2. Tracer tous les accès à une table
    Par pascalb41 dans le forum MS SQL-Server
    Réponses: 4
    Dernier message: 12/02/2014, 18h28
  3. Limiter les accès disques pour traitement des données.
    Par harry le ravi dans le forum Windows
    Réponses: 1
    Dernier message: 18/11/2009, 01h11
  4. Supprimer tous les espaces vides à la fin des champs.
    Par godjojo dans le forum Requêtes
    Réponses: 8
    Dernier message: 15/12/2007, 22h04
  5. Programme qui liste tous les accès à Internet
    Par snoopy69 dans le forum Sécurité
    Réponses: 3
    Dernier message: 31/08/2006, 13h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo