IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des chercheurs en sécurité s'inquiètent des interceptions de connexions HTTPS faites par les antivirus


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 194
    Points : 149 338
    Points
    149 338
    Par défaut Des chercheurs en sécurité s'inquiètent des interceptions de connexions HTTPS faites par les antivirus
    Des chercheurs en sécurité s'inquiètent des interceptions de connexions HTTPS faites par les antivirus,
    qui ont un impact négatif sur la sécurité des utilisateurs

    Dans un article intitulé « l'impact de l’interception HTTPS sur la sécurité », des chercheurs ont fait ce constat : « d’une part nous nous efforçons de déployer le HTTPS pour fournir des connexions sécurisées de bout en bout, d’autre part des middlebox et des antivirus interceptent (c’est-à-dire mettent fin et relancent) les connexions HTTPS dans le but de détecter le contenu malveillant qui pourrait se servir du protocole pour éviter l’inspection ».

    Les chercheurs ont réparti leur travail en plusieurs étapes. La toute première consiste à détecter passivement l’interception de HTTPS. Ils expliquent que « les interceptions HTTPS fonctionnent généralement comme des proxies transparents ; ils arrêtent la connexion TLS du navigateur, inspectent en texte clair le HTTP et relayent les données HTTP sur une nouvelle connexion TLS vers le serveur de destination ».

    Ensuite, ils ont évalué la prévalence et l’impact de l’interception HTTPS en appliquant leurs heuristiques à près de huit milliards de connexions handshakes (un handshake est fait au moment où un ordinateur veut entreprendre une communication avec un appareil plus ou moins éloigné, par exemple un modem, une imprimante ou un serveur) « Afin d'éviter le biais inhérent à un seul point de réseau, nous avons analysé les connexions, pendant une semaine, à trois principaux services Internet : (1) les serveurs de mise à jour Mozilla Firefox, (2) un ensemble de sites Web de commerce électronique populaires et (3) le réseau de distribution de contenu Cloudflare ».

    Dans l’optique de quantifier l’impact réel sur la sécurité provoqué par l’interception, les chercheurs ont établi une échelle de classement basée sur les fonctionnalités TLS annoncées par chaque client. « En appliquant une métrique à des connexions handshake non modifiées et aux connexions interceptées , nous avons calculé le changement de sécurité pour les connexions interceptées », ont-ils expliqué.

    Ils ont noté « qu’alors que pour certains clients plus âgés, les proxies augmentaient la sécurité des connexions, ces améliorations étaient modestes par rapport aux vulnérabilités introduites : 97 % des connexions interceptées sur Firefox, 32 % sur les sites de commerce électronique et 54 % sur Cloudflare devenaient moins sécurisées ».

    Et de poursuivre en disant que « non seulement les connexions interceptées utilisaient des algorithmes cryptographiques plus faibles, mais 10 à 40 % annonçaient un support d’algorithmes cryptographiques connus pour avoir déjà été cassés et qui permettraient à un attaquant man-in-the-middle actif d'intercepter, de downgrader et de déchiffrer la connexion ultérieurement. Un grand nombre de ces connexions sévèrement rompues étaient dues à des middlebox plutôt qu'à des logiciels de sécurité côté client : 62 % des connexions middlebox étaient moins sécurisées et un étonnant 58 % avaient des vulnérabilités graves permettant une interception ultérieure ».


    Par la suite ils se sont intéressés sur les raisons qui pourraient expliquer qu’une telle proportion de connexions interceptées sont vulnérables. Aussi, ils ont décidé de tester la sécurité d'une gamme de middleboxes d'entreprise populaires, de produits antivirus et d'autres logiciels connus pour intercepter TLS. « Les paramètres par défaut de 11 middlebox sur les 12 que nous avons évaluées exposent les connexions à des attaques connues et cinq introduisent des vulnérabilités graves (par exemple, elles ne valident pas correctement les certificats). De même, 18 des 20 produits de sécurité côté client que nous avons testés réduisent la sécurité des connexions et introduisent des vulnérabilités sévères. Dans certains cas, les fabricants ont tenté de personnaliser les bibliothèques ou de réutiliser TLS en introduisant négligemment des vulnérabilités. Dans d'autres cas, les produits étaient livrés avec des bibliothèques qui étaient dépassées depuis des années. Dans l'ensemble, les entreprises ont du mal à déployer correctement le protocole TLS de base, et encore moins à mettre en œuvre les fonctions de sécurité HTTPS modernes ».


    « Nos résultats indiquent que l'interception HTTPS est devenue très répandue et que les produits d'interception, en tant que classe, ont un impact négatif considérable sur la sécurité des connexions. Nous espérons que la lumière sur cet état de choses va motiver les améliorations aux produits existants, le travail d'avancement sur les propositions récentes pour intercepter en toute sécurité le HTTPS et occasionner une discussion sur des solutions à long terme ».

    L'étude est susceptible de donner des munitions aux développeurs Chrome et Firefox qui ont critiqué les entreprises antivirus pour avoir « sapé » les fonctionnalités de sécurité du navigateur et introduit par la même occasion plus de risques de sécurité pour les utilisateurs.

    Le Project Zero de Google, par exemple, a récemment trouvé un bogue dans l'inspection TLS de Kaspersky qui empêchait aux navigateurs de signaler une erreur dans le cas où ils se connectaient au mauvais site.

    Source : résultat des recherches (au format PDF)

    Voir aussi :

    Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web plutôt que l'exception sur la toile
    Google en dit plus sur ses stratégies pour une plus grande adoption du HTTPS, Chrome 56 va alerter les utilisateurs s'ils sont sur du HTTP
    Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passés au HTTPS pour vos sites web ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de Etre_Libre
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    749
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 749
    Points : 999
    Points
    999
    Par défaut
    Sur un PC j'ai déjà vu des erreurs HTTPS via Firefox, j'ai dû désactiver l'analyse HTTPS d'un antivirus (Bitdefender je crois) et je n'ai pas apprécié que ça existe... pour moi HTTPS = l'antivirus n'y touche pas.

  3. #3
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    580
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 580
    Points : 1 606
    Points
    1 606
    Par défaut
    Citation Envoyé par Etre_Libre Voir le message
    pour moi HTTPS = l'antivirus n'y touche pas.
    Le fait que la connexion soit chiffrée ne veut pas dire que ce qu'il y transite soit saint :p
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  4. #4
    Membre éprouvé Avatar de Etre_Libre
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    749
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 749
    Points : 999
    Points
    999
    Par défaut
    Oui évidemment, mais quand ça court-circuite même les navigateurs classiques et que ça bloque l'utilisateur, ce n'est pas normal...

    De plus, qui dit que l'antivirus ne récupère pas une partie du trafic HTTPS pour son compte (statistiques, données personnelles soit disant anonymes, etc...) ?

    J'admets que je ne fais pas confiance aux antivirus, ce n'est pas parfait mais j'essaie d'éduquer les utilisateurs quand ils sont ouverts à la question (à défaut, antivirus).

  5. #5
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    580
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 580
    Points : 1 606
    Points
    1 606
    Par défaut
    Le fait que la techno soit foireuse, ok. C'est même le sujet de la news qu'on commente, et un des effets de bord peut être une panne de connexion.
    Mais le SSL n'a rien à voire avec la protection contre les malwares. Le but du https est de ne pas laisser passer les données en clair sur le réseau et éventuellement de s'assurer qu'on est connecté au bon serveur. Mais ça n'empêche pas qu'il peut y avoir des fichiers malsains sur ces serveurs et les antivirus doivent bien le prendre en compte.
    Concernant l'éventuelle récupération de données personnelles, et bien tant que tu utilises des logiciels propriétaires, tu ne peux pas savoir ce qu'ils récupèrent à moins de faire du reverse-engineering. Que ce soit windows, mac, adobe, kaspersky ou symantec, ils font ce qu'ils veulent. D'autant que tu les a probablement autorisés à le faire légalement en cliquant sur "accepter".
    Tout le problème c'est d'être cohérent: soit tu fais confiance aux antivirus/malwares pour te protéger des crackers, soit tu utilise de l'open-source uniquement, soit tu te laisses infecter
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  6. #6
    Membre habitué
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    172
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 172
    Points : 187
    Points
    187
    Par défaut
    Bonjour,
    Je ne comprend pas comment l'antivirus peut intercepter une requête HTTPS chiffrée par le navigateur qui détient donc le certificat pour chiffrer et relancer une nouvelle requête HTTPS sans posséder ce certificat.
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    mars 2011
    Messages
    82
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2011
    Messages : 82
    Points : 67
    Points
    67
    Par défaut
    Un antivirus, mais pourquoi faire ?

  8. #8
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 261
    Points : 654
    Points
    654
    Par défaut
    Dans mon entreprise ils pensent (pensaient ?) mettre en place ce type d'interception des connexions HTTPS.

    Bien sûr il y a déjà un proxy en place qui leur permet de voir tout le trafic HTTP en clair et de faire du filtrage.

    Aujourd'hui ce proxy ne peut bien sûr pas faire grand chose pour ce qui est du trafic HTTPS.
    Et je pensais naïvement que ça resterais en l'état.
    Les données sont chiffrées dans mon FireFox et déchiffrées par les serveurs de developpez.net.
    Bien sûr le chiffrement n'est certainement pas parfait mais bien trop fort pour qu'un proxy puisse décrypter en masse.
    Eh bien je rêvais.

    En gros le serveur proxy réalisera ce qu'on pourrait qualifier d'attaque man-in-the-middle.

    Les données seront chiffrées par FireFox, déchiffrées par le proxy (Donc lisible et stockable en clair par les administrateurs du proxy), chiffrées par le proxy et finalement déchiffrées par developpez.net.

    Comment ?

    Quand on demandera à FireFox de se connecter à developpez.net, c'est le proxy qui répondra, non pas avec le vrai certificat de developpez.net, mais avec un certificat de mon entreprise. Ce certificat devra être considéré comme de confiance par ma machine (Et je n'aurais pas le choix que de lui faire confiance sinon adieu developpez.net). Et le proxy se charge ensuite lui-même du chiffrage entre lui et developpez.net avec le vrai certificat.

    HTTPS mais pas trop S quand même.

    La moitié du sujet de cette news est que le proxy risque de faire un chiffrage de moins bonne qualité et/ou de favoriser une autre vraie attaque de type man-in-the-middle. Entre autre car c'est le proxy qui vérifiera (plus ou moins bien) le certificat de developpez.net et non mon FireFox.

  9. #9
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 271
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 271
    Points : 4 736
    Points
    4 736
    Par défaut
    Citation Envoyé par rt15 Voir le message
    Dans mon entreprise ils pensent (pensaient ?) mettre en place ce type d'interception des connexions HTTPS.
    Dans celle où je suis c'est déjà le cas depuis bien longtemps...

    Ils l'ont juste désactivé pour les mails (en tout cas gmail, pour les autres c'est pas sûr), et encore seulement depuis un an.

Discussions similaires

  1. Réponses: 4
    Dernier message: 11/08/2016, 17h29
  2. Réponses: 0
    Dernier message: 08/08/2016, 20h06
  3. Réponses: 6
    Dernier message: 19/05/2016, 14h58
  4. Google lance un programme de subvention des chercheurs en sécurité
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 4
    Dernier message: 04/02/2015, 11h47
  5. Des chercheurs en sécurité découvrent Dexter
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 6
    Dernier message: 19/12/2012, 19h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo