Liens en vrac de sebsauvage2022-09-29T08:42:55+02:00https://www.sebsauvage.net/links/https://www.sebsauvage.net/links/https://www.sebsauvage.net/links/badssl.comhttps://www.sebsauvage.net/links/?tRh5KA2022-09-29T08:42:55+02:00Ah tiens c'est marrant : un site qui propose toutes les erreurs SSL/TLS possibles. Utile pour tester comment un logiciel se comporte face à une négociation SSL qui se passe mal (certificat expiré, mauvais domaine, certificat auto-signé, certificat révoqué, version dépréciée de TLS, etc.)<br>(<a href="https://www.sebsauvage.net/links/?tRh5KA">Permalink</a>)GitHub - xenetis/letsencrypt-expirationhttps://www.sebsauvage.net/links/?LO4Ayg2021-11-18T10:23:44+01:00Si par hasard vous avez encore une Debian qui a encore le vieux certificat Let's Encrypt expiré, voici comment le mettre à jour:<br />
<a href="https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/letsencrypt-expiration.sh" rel="nofollow">https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/letsencrypt-expiration.sh</a> :<br />
<br />
#!/bin/bash<br />
if [[ $(lsb_release -sc) = "jessie" || $(lsb_release -sc) = "stretch" ]]; then<br />
apt-get install ca-certificates -y<br />
sed -i -e 's|mozilla/DST_Root_CA_X3.crt|#mozilla/DST_Root_CA_X3.crt|g' /etc/ca-certificates.conf<br />
sed -i -e 's|mozilla/ISRG_Root_X1.crt|#mozilla/ISRG_Root_X1.crt|g' /etc/ca-certificates.conf<br />
wget <a href="https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/isrgrootx1.crt" rel="nofollow">https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/isrgrootx1.crt</a> -P /usr/local/share/ca-certificates/<br />
wget <a href="https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/lets-encrypt-r3.crt" rel="nofollow">https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/lets-encrypt-r3.crt</a> -P /usr/local/share/ca-certificates/<br />
update-ca-certificates -f<br />
fi<br />
if [[ $(lsb_release -sc) = "buster" ]]; then<br />
apt-get install ca-certificates -y<br />
fi<br>(<a href="https://www.sebsauvage.net/links/?LO4Ayg">Permalink</a>)La Hollande pro-chiffrement investit dans OpenSSLhttps://www.sebsauvage.net/links/?Rho0Lg2016-01-05T16:07:33+01:00C'est beau, c'est bien. Et le mieux, c'est que la contribution que ce gouvernement a choisi d'apporter va bénéficier à *tout* le monde, pas qu'au pays lui-même.<br>(<a href="https://www.sebsauvage.net/links/?Rho0Lg">Permalink</a>)Une faille de sécurité découverte dans les PC Dell – Comment vous protéger ?https://www.sebsauvage.net/links/?RuCjog2015-11-24T19:32:35+01:00PUTAIN MAIS DELL, QU'EST-CE QUI TE PERMET DE METTRE CE GENRE DE CERTIFICAT RACINE A LA CON ???<br />
Non mais quel trahison de la confiance des utilisateurs ! C'est infecte.<br />
Rhâââ.<br />
Quand est-ce que les fabricants vont respecter leurs clients ??? (entre ça et Lenovo et ses spywares inclus dans le BIOS qui ré-injectent leur process dans Windows même quand vous ré-installez >:-(((<br>(<a href="https://www.sebsauvage.net/links/?RuCjog">Permalink</a>)HTTPS : Google menace de blacklister les certificats Symantechttps://www.sebsauvage.net/links/?hqpSUQ2015-10-29T15:58:46+01:00Mouais enfin le coup d'éclat de Google contre Symantec me fait rigoler quand la majorité des navigateurs contiennent des certificats racine de tas de gouvernements (Chine, Turquie...), ministères et autres entreprises (Deutsch Telecom, VISA, etc.) qui ne sont pas connus pour leur transparence.<br>(<a href="https://www.sebsauvage.net/links/?hqpSUQ">Permalink</a>)Let's Encrypt is Trustedhttps://www.sebsauvage.net/links/?fiiqFA2015-10-20T17:31:16+02:00Oh voilà une bonne nouvelle: les certificats de Let's Encrypt sont cross-signé par IdentiTrust, ce qui veut dire que la majorité des navigateurs les reconnaîtront désormais sans alerte.<br />
Vous pouvez donc avoir vos certificats SSL/TLS sans avoir débourser. Enfin.<br>(<a href="https://www.sebsauvage.net/links/?fiiqFA">Permalink</a>)Symantec caught issuing rogue Google.com certificates / Boing Boinghttps://www.sebsauvage.net/links/?uboY5Q2015-09-21T18:15:03+02:00Oups... Symantec a "par erreur" généré des certificats bidons pour Google.com. Et ces certificats se sont retrouvés dans la nature.<br />
Mais Symantec assure que les responsables ont été virés et que ces certificats n'avaient été générés que pour des tests. <br />
Que pour des tests. Si si, ils le disent. C'est censé vous rassurer.<br />
Le système des certificats SSL est vraiment cassé.<br>(<a href="https://www.sebsauvage.net/links/?uboY5Q">Permalink</a>)CryptCheck, vérifiez vos implémentations de TLShttps://www.sebsauvage.net/links/?pWRlPw2015-09-09T10:16:20+02:00Un bon résumé de TLS (via <a href="https://tuxicoman.jesuislibre.net/2015/09/comprendre-tls.html" rel="nofollow">https://tuxicoman.jesuislibre.net/2015/09/comprendre-tls.html</a>)<br>(<a href="https://www.sebsauvage.net/links/?pWRlPw">Permalink</a>)Google victime de faux certificats mandatés par la Chinehttps://www.sebsauvage.net/links/?zCXcTQ2015-03-24T22:20:07+01:00HAHA ! Tiens donc, de faux certificats Google liés à l'autorité de certification CNNIC (la dictature chinoise). J'l'avais dit, hein ? Voilà, on y est.<br />
J'espère que Mozilla en profitera pour dégager le CNNIC de la liste de ses certificats racines comme ils l'ont fait pour certaines autres autorités.<br>(<a href="https://www.sebsauvage.net/links/?zCXcTQ">Permalink</a>)Let's Encrypthttps://www.sebsauvage.net/links/?oTX28g2014-11-18T19:55:47+01:00Oh ben tiens, c'est sympa: Mozilla, Cisco, Akamai, EFF et IdenTrust lancent une CA (autorité de certification) gratuite. Le but n'est pas tant de mettre en place des certificats d'authenticité forts pour les sites web que d'activer le chiffrement partout.<br />
EDIT: Article en français: <a href="http://www.silicon.fr/let-encrypt-autorite-certification-gratuite-chiffrer-web-102110.html" rel="nofollow">http://www.silicon.fr/let-encrypt-autorite-certification-gratuite-chiffrer-web-102110.html</a><br>(<a href="https://www.sebsauvage.net/links/?oTX28g">Permalink</a>)Are Apple, Google, Microsoft And Mozilla Helping Governments Carry Out Man-In-The-Middle Attacks? | Techdirthttps://www.sebsauvage.net/links/?h3sW-A2014-11-08T16:22:00+01:00Aha. Je me demandais quand l'affaire de ce certificat du CNNIC allait ressortir.<br />
Les navigateurs embarquent tous un paquet de certificats (cf. <a href="http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17</a>), et la plupart incorporent également un certificat de l'autorité Chinoise des communications (CNNIC).<br />
Ce qui veut dire que cette autorité peut, si elle le veut, générer des certificats bidons pour Google et autres qui seront parfaitement acceptés par votre navigateur. Donc faire des attaques MITM pour déchiffrer tout votre trafic sans lever d'alerte.<br>(<a href="https://www.sebsauvage.net/links/?h3sW-A">Permalink</a>)L'ANSSI explique comment déchiffrer le trafic HTTPS des salariéshttps://www.sebsauvage.net/links/?t3rVCA2014-10-02T17:42:53+02:00Trop marrant: L'ANSSI (vous savez cette agence gouvernementale qui est censée œuvrer pour notre sécurité informatique) fournit un manuel aux entreprises pour leur expliquer comment casser le chiffrement HTTPS de leur salariés et les espionner.<br />
<br />
Petit rappel: L'ANSSI est également une autorité de certification. Ils peuvent également générer des certificats qui seront acceptés par votre navigateur sans broncher. Ils ont même déjà gaffé en générant des certificats frauduleux *valides* pour Google qu'on a retrouvé... dans le proxy d'une entreprise. Oh tiens quel hasard. <a href="http://sebsauvage.net/links/?_P48YQ" rel="nofollow">http://sebsauvage.net/links/?_P48YQ</a><br />
<br />
Alors oui on devrait leur faire confiance, mais ces deux informations croisées ne me rassurent pas du tout.<br />
<br />
EDIT: Un de mes anciens employeurs avait fait ça: <a href="http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol</a><br />
Comme ils n'avaient pas de copains au gouvernement ni chez les CA Root, les admins avaient installé leur propre certificat racine dans tous les navigateurs des ordinateurs de la boîte pour ne pas lever d'alerte. Super élégant. ಠ_ಠ<br />
Ce qui est cool, c'est que si vous bossez chez certaines grosses boîtes (certains FAI, banques, etc.), elles sont elles-même CA et peuvent donc faire du MITM SSL sans avoir à demander à qui que ce soit.<br />
<br />
EDIT: Haha oui trop marrant. Le rapport de l'ANSSI préconise exactement ce que mon ancien employeur avait fait: Installer sur chaque ordinateur un certificat racine généré par l'entreprise elle-même.<br>(<a href="https://www.sebsauvage.net/links/?t3rVCA">Permalink</a>)Skip Cert Error :: Modules pour Firefoxhttps://www.sebsauvage.net/links/?e09WMQ2014-07-15T23:14:02+02:00Une extension Firefox pour passer outre automatiquement les certificats SSL auto-signés (via je ne sais plus qui).<br />
A utiliser si vous savez ce que vous faites.<br>(<a href="https://www.sebsauvage.net/links/?e09WMQ">Permalink</a>)Google Forks OpenSSL, Announces BoringSSL - Slashdothttps://www.sebsauvage.net/links/?0GyMPg2014-06-21T17:08:08+02:00Donc Google a forké OpenSSL vers BoringSSL (Pourquoi ne pas participer à LibreSSL ? bref...).<br />
Enfin "forker" n'est pas vraiment le mot, puisque qu'ils vont continuer à soumettre des patchs à OpenSSL et ré-intégrer dans BoringSSL les correctifs d'OpenSSL.<br>(<a href="https://www.sebsauvage.net/links/?0GyMPg">Permalink</a>)Stop. Put down the cup. Six new bugs found in OpenSSL – including a hole for snoopers • The Registerhttps://www.sebsauvage.net/links/?NsdplQ2014-06-05T18:37:11+02:00Pas encore lu, mais visiblement 6 nouveaux bugs viennent d'être corrigés dans OpenSSL.<br>(<a href="https://www.sebsauvage.net/links/?NsdplQ">Permalink</a>)Schneier on Security: Heartbleedhttps://www.sebsauvage.net/links/?nlOCfQ2014-04-10T13:21:26+02:00Le commentaire de Bruce Schneier sur la faille OpenSSL: « "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. »<br>(<a href="https://www.sebsauvage.net/links/?nlOCfQ">Permalink</a>)OpenSSL bug CVE-2014-0160 | The Tor Blog - PoGo's Linkshttps://www.sebsauvage.net/links/?t4ioMw2014-04-08T06:08:04+02:00Une faille d'OpenSSL a été corrigée. Attention elle affecte également les noeuds TOR.<br />
Le bug chez OpenSSL: <a href="https://www.openssl.org/news/secadv_20140407.txt" rel="nofollow">https://www.openssl.org/news/secadv_20140407.txt</a><br />
Il y a même un site pour ce bug: <a href="http://heartbleed.com/" rel="nofollow">http://heartbleed.com/</a><br />
Ce bug est corrigé dans OpenSSL 1.0.1g.<br />
Le bug est assez grave puisqu'il permet de piquer jusqu'à 64 ko de la mémoire du serveur ou du client, permettant potentiellement le vol des certificats X509.<br />
Il faudra également mettre à jour tous vos logiciels qui incluent OpenSSL (navigateurs, vpn...)<br />
Un site pour tester si votre serveur HTTPS est sujet à ce bug: <a href="http://possible.lv/tools/hb/" rel="nofollow">http://possible.lv/tools/hb/</a><br />
<br />
EDIT: Pour les détails techniques, voici le commit d'OpenSSL qui corrige le bug: <a href="https://github.com/openssl/openssl/commit/731f431497f463f3a2a97236fe0187b11c44aead" rel="nofollow">https://github.com/openssl/openssl/commit/731f431497f463f3a2a97236fe0187b11c44aead</a><br>(<a href="https://www.sebsauvage.net/links/?t4ioMw">Permalink</a>)Google is encrypting search globally. That’s bad for the NSA and China's censors. - Shaarli-Techhttps://www.sebsauvage.net/links/?b0e33g2014-03-13T06:10:36+01:00Ça pourrait presque être bien oui. Mais en l'état actuel de l'implémentation de SSL/TLS dans les navigateurs, c'est *un peu* de la poudre aux yeux.<br />
Si quelqu'un fait une attaque man-in-the-middle sur vos recherches Google, votre navigateur ne bronchera pas tant que le certificat qu'il reçoit est signé par une autorité.<br />
Et par défaut, votre navigateur fait confiance à près d'une centaine d'autorités (des banques, des opérateurs télécom, diverses entreprises, des organismes d'état, etc.)<br />
<br />
Pour le dire autrement: Si du jour au lendemain le certificat présenté par les serveurs Google ou le serveur de votre banque est signé par la dictature chinoise au lieu de GeoTrust, votre navigateur ne vous dira rien.<br />
<br />
Et des certificats douteux, on en a vu de beaux:<br />
- certificat de l'ex-dictature Tunisienne installée par défaut dans Windows en échange d'accord commerciaux. (<a href="http://www.sebsauvage.net/rhaa/index.php?2011/03/18/16/00/02" rel="nofollow">http://www.sebsauvage.net/rhaa/index.php?2011/03/18/16/00/02</a> et <a href="http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51</a>)<br />
- certificats du département de la défense américain inclus dans tous les appareils Apple (iPhone, MacBook, etc.) (<a href="http://sebsauvage.net/links/?miNiXQ" rel="nofollow">http://sebsauvage.net/links/?miNiXQ</a>)<br />
- autorités de certifications abusées ou piratées (<a href="http://sebsauvage.net/links/?gscf5g" rel="nofollow">http://sebsauvage.net/links/?gscf5g</a>, <a href="http://sebsauvage.net/links/?o7Nlkg" rel="nofollow">http://sebsauvage.net/links/?o7Nlkg</a>, <a href="http://sebsauvage.net/links/?ekgWSA" rel="nofollow">http://sebsauvage.net/links/?ekgWSA</a>, <a href="http://sebsauvage.net/links/?eTwGVw" rel="nofollow">http://sebsauvage.net/links/?eTwGVw</a> ...)<br />
<br />
HTTPS est chiffré, c'est bien, mais le mécanisme de vérification de l'identité des serveurs avec lesquels vous communiquez est complètement foireux. Avec la puissance de la NSA, on peut facilement imaginer qu'ils ont pu forcer l'une de nombreuses autorités à générer - à leur insu ou non - des certificats Google signés (et que donc votre navigateur considèrera comme authentiques). C'est déjà arrivé (par forcément à l'initiative de la NSA): <a href="http://sebsauvage.net/links/?_P48YQ" rel="nofollow">http://sebsauvage.net/links/?_P48YQ</a>, <a href="http://sebsauvage.net/links/?gscf5g" rel="nofollow">http://sebsauvage.net/links/?gscf5g</a>.<br />
<br />
Pour parer à ça, on peut utiliser des extensions pour navigateur qui contrôlent les changements de certificats (<a href="http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54</a>) mais comme les gros du web ne sont pas foutus d'avoir leur certificats répliqués correctement sur leur CDN, c'est inutilisable (alertes constantes). J'ai d'ailleurs jeté l'éponge sur l'utilisation de ces extensions: <a href="http://sebsauvage.net/links/?j01u3w" rel="nofollow">http://sebsauvage.net/links/?j01u3w</a><br />
<br />
Bref, avoir un fourgon blindé pour transporter vos données sur internet c'est bien, mais comme vous n'avez aucune idée de qui a vraiment la clé, la sécurité devient tout à coup très relative.<br>(<a href="https://www.sebsauvage.net/links/?b0e33g">Permalink</a>)Even HTTPS can leak your PRIVATE browsing • The Registerhttps://www.sebsauvage.net/links/?-YVBZg2014-03-06T06:46:25+01:00Bouh... encore un truc qui pue. Des chercheurs en sécurité sont parvenus à déterminer quelles pages un internaute visite sur un site en examinant son trafic HTTPS avec des outils statistiques. <br />
Pour cela, ils analysent les pages du site et comparent avec le trafic HTTPS. Ils sont parvenus à déterminer les pages consultées avec une précision de 89% et sans avoir à déchiffrer le trafic HTTPS (!).<br />
La solution ? Bricoler HTTPS pour faire du padding (c'est à dire remplir les réponses HTTP avec des données bidon pour brouiller les analyses).<br />
(Le whitepaper est là: <a href="http://arxiv.org/abs/1403.0297" rel="nofollow">http://arxiv.org/abs/1403.0297</a>)<br />
<br />
Corollaire: La NSA étant le plus gros employeur de mathématiciens au monde, vous pouvez vous douter qu'ils sont déjà capables de savoir quelles pages vous avez consultées sur un site, même sans être capable de déchiffrer votre trafic HTTPS.<br>(<a href="https://www.sebsauvage.net/links/?-YVBZg">Permalink</a>)Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping | Ars Technicahttps://www.sebsauvage.net/links/?BP7vzQ2014-03-05T19:59:28+01:00Sale bug dans GnuTLS qui shunte la vérifications des certificats :-(<br>(<a href="https://www.sebsauvage.net/links/?BP7vzQ">Permalink</a>)How's My SSL?https://www.sebsauvage.net/links/?GGa5vA2014-01-21T10:29:37+01:00Un site pour tester la sécurité de votre client SSL. (via <a href="http://gbovyn.be/shaarli/?d3iDdA" rel="nofollow">http://gbovyn.be/shaarli/?d3iDdA</a>)<br />
<br />
EDIT: pour améliorer la sécurité de Firefox, dans about:config<br />
- security.tls.version.max = 3 (pour permettre à Firefox de commencer à essayer de communiquer en TLS v1.2 au lieu de demander du v1.0)<br />
- security.ssl3.rsa_fips_des_ede2_sha = false<br />
- security.ssl3.rsa_fips_des_ede3_sha = false (et tout autre combinaison annoncée comme non sûre par le site)<br />
(source: <a href="http://www.mypersonnaldata.eu/shaarli/?IIHccA" rel="nofollow">http://www.mypersonnaldata.eu/shaarli/?IIHccA</a>)<br />
<br />
Vous n'avez pas besoin de redémarrer Firefox pour que ces réglages soient pris en compte.<br />
<br />
EDIT: Vous pouvez aussi ajouter security.tls.version.min= 1 pour que Firefox ne fasse plus de SSL v3 mais requiert TLS 1.0 minimum.<br />
Et ces réglages nécessitent au minimum Firefox 24.<br>(<a href="https://www.sebsauvage.net/links/?GGa5vA">Permalink</a>)Google Online Security Blog: Further improving digital certificate securityhttps://www.sebsauvage.net/links/?_P48YQ2013-12-08T22:54:07+01:00QUOI ? PARDON ????<br />
L'ANSSI (Agence nationale de la sécurité des systèmes d’information), vous savez cette GRANDE autorité nationale française qui est censée nous PROTÉGER a visiblement créé et diffusé des certificats d'autorité intermédiaires, permettant à d'autres de créer des certificats frauduleux pour plusieurs domaines appartenant à Google. Et des certificats frauduleux ont effectivement été observés par Google (dans un équipement commercial non nommé, et utilisé dans une entreprise non nommée.)<br />
<br />
La réponse de l'ANSSI ? "oups c'était juste une erreur": <a href="http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html" rel="nofollow">http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html</a><br />
<br />
Alors ça peut:<br />
a) soit effectivement être une erreur.<br />
b) soit ne pas en être une, et cela n'est que la pointe de l'iceberg qui permet à différents "copains" du gouvernement français d'espionner SSL ou faire du MITM tranquillement (que ce soient des agences de renseignement ou des entreprises privées).<br />
<br />
Que ce soit l'un ou l'autre, cela montre à quel point le modèle des autorités de certifications ne vaut absolument plus rien. Mozilla ferait aussi bien de supprimer les alertes quand Firefox reçoit un certificat non signé par une autorité.<br />
<br />
EDIT: Le certificat racine de l'ANSSI n'est pas inclus dans Firefox. L'agence nationale a demandé son inclusion en mai 2012, mais ne l'a pas encore obtenue: <a href="http://www.mozilla.org/projects/security/certs/pending/#ANSSI%20%28Government%20of%20France%29" rel="nofollow">http://www.mozilla.org/projects/security/certs/pending/#ANSSI%20%28Government%20of%20France%29</a><br />
<br />
Ceci dit, vous avez quand même dans Firefox un certificat racine du gouvernement français:<br />
E = igca@sgdn.pm.gouv.fr<br />
CN = IGC/A<br />
OU = DCSSI<br />
O = PM/SGDN<br />
L = Paris<br />
ST = France<br />
C = FR<br />
<br />
DCSSI n'est rien d'autre que l'ancien nom de l'ANSSI.<br />
Vous le trouverez dans la liste des certificats d'autorité sous le petit nom de PM/SGDN > IGC/A.<br />
<br />
SGDN = Secrétariat général de la défense nationale<br />
<br />
EDIT: chez Reflets: <a href="http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/" rel="nofollow">http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/</a><br />
Reflets suggère que ces certificats auraient été utilisés en interne pour contrôler les flux de données et éviter des fuites, et que les utilisateurs auraient été prévenus. Je demande quand même à voir la tronche de leur charte informatique, car j'ai de gros doutes. Même en dehors de cela, je trouve la pratique limite.<br />
Question intéressante levée par Reflets: Comment Google a-t-il vu ces certificats, vu qu'ils n'étaient déployés qu'en interne ? Une fuite d'un employé, ou autre ? On aura pas la réponse...<br>(<a href="https://www.sebsauvage.net/links/?_P48YQ">Permalink</a>)memo-linux.com » SSLH: HTTPS et SSH sur le même port!https://www.sebsauvage.net/links/?Xb1wFg2013-12-08T22:20:30+01:00Je me garde ça sous le coude, ça peut servir :-)<br />
(via <a href="http://wolfox.be/links/?--ysqA" rel="nofollow">http://wolfox.be/links/?--ysqA</a>)<br>(<a href="https://www.sebsauvage.net/links/?Xb1wFg">Permalink</a>)http://www.openssh.com/txt/gcmrekey.adv - Les liens de Kevin Merigothttps://www.sebsauvage.net/links/?i2PK3Q2013-11-08T13:30:54+01:00Faille OpenSSH, pensez à patcher.<br>(<a href="https://www.sebsauvage.net/links/?i2PK3Q">Permalink</a>)Firefox, the NSA and the Man in in the Middle - SitePointhttps://www.sebsauvage.net/links/?Ddxw5A2013-10-02T10:50:40+02:00Puisque Pierre M. me questionne, voici mon avis sur cet article:<br />
Forcer des algos de chiffrements forts (AES 256 bits au lieu de RC4) est une bonne chose... mais en l'occurrence totalement inutile pour se protéger des attaques MITM.<br />
<br />
Pourquoi ? Parce que la NSA peut sans problème faire pression sur l'une des nombreuses autorités de certifications présente par défaut dans les navigateurs afin de générer des certificats SSL valide et intercepter sans lever d'alerte. Gardons à l'esprit le cas de Microsoft/Tunisie. Et là ce n'était même pas la NSA. (<a href="http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51-anti-microsoftisme-du-jour-et-autres-joyeusetes" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51-anti-microsoftisme-du-jour-et-autres-joyeusetes</a>).<br />
<br />
Les autorités de certifications ne sont pas infaillibles. Les procédures de sécurité peuvent être abusées. Elles peuvent se faire pirater (c'est déjà arrivé). Elles peuvent subir des pression. Elles peuvent éventuellement décider de collaborer.<br />
<br />
Alors votre super chiffrement en servira à rien si de toute manière votre navigateur accepte n'importe quel certificat signé, même si ce n'est pas le vrai certificat du site que vous visitez (Je rappelle que des vendeurs de firewalls filtrants se targuent, dans leur plaquettes commerciales, de pouvoir faire de la substitution de certificats SSL à la volée.)<br />
Voir: <a href="http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus</a><br />
<br />
Pour prendre une image: Vous pouvez utiliser les serrures les plus sophistiquées au monde (AES): Si le fabricant de la porte prête une copie des clés à quelqu'un d'autre (certificats SSL signés), votre super serrure sécurisée ne sert à rien.<br>(<a href="https://www.sebsauvage.net/links/?Ddxw5A">Permalink</a>)Certificate Patrol : Je jette l'épongehttps://www.sebsauvage.net/links/?j01u3w2013-09-20T22:13:28+02:00TROP. C'EST TROP. Je jette l'éponge: Je supprime l'extension Certificate Patrol. C'est inutile.<br />
Pourquoi ? Parce qu'il n'y a PAS UN SEUL ACTEUR DU WEB (Google, Twitter ou autre) qui soit FOUTU d'avoir ses certificats à jour sur les différentes machines de son CDN.<br />
Du coup, voilà: Des alertes TOUT LE TEMPS.<br />
On ne peut même pas cocher "Try checking authority only for this domain" puisque même l'autorité change. Ils me font chier.<br />
Je suis donc obligé de couper complètement Certificate Patrol, réduisant ainsi ma sécurité. Fait chier.<br />
<br />
(Pour ceux qui ne connaissent pas Certificate Patrol, voir ces articles:<br />
<a href="http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus</a><br />
<a href="http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https</a><br />
et <a href="http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol</a> )<br>(<a href="https://www.sebsauvage.net/links/?j01u3w">Permalink</a>)SSL/TLS & Perfect Forward Secrecy | Vincent Bernathttps://www.sebsauvage.net/links/?3gPAyg2013-09-06T11:00:28+02:00Explication du paramétrage "Perfect Forward Secrecy" en SSL/TLS et benchmarks. (via <a href="http://famille-michon.fr/links/?4XfBAg" rel="nofollow">http://famille-michon.fr/links/?4XfBAg</a>)<br>(<a href="https://www.sebsauvage.net/links/?3gPAyg">Permalink</a>)FreeNet, TOR, I2P: Même combat - sebsauvage.net - Les trucs qui m'énervent - - Liens en vrac de JeromeJ - Liens en vrac de sebsauvage - Liens en vrac de JeromeJhttps://www.sebsauvage.net/links/?DeLMTQ2013-06-28T11:27:16+02:00Effectivement oui. Il y a déjà - il me semble - des projets dans ce sens.<br />
D'autres idées pour régler ce problème des CA Racines:<br />
<a href="http://sebsauvage.net/links/?M93nVA" rel="nofollow">http://sebsauvage.net/links/?M93nVA</a><br />
<a href="http://sebsauvage.net/links/?iv1m1w" rel="nofollow">http://sebsauvage.net/links/?iv1m1w</a><br />
<a href="http://sebsauvage.net/links/?jYVACg" rel="nofollow">http://sebsauvage.net/links/?jYVACg</a><br />
<a href="http://sebsauvage.net/links/?D9jQFw" rel="nofollow">http://sebsauvage.net/links/?D9jQFw</a><br>(<a href="https://www.sebsauvage.net/links/?DeLMTQ">Permalink</a>)Qualys SSL Labs - Projects / SSL Server Testhttps://www.sebsauvage.net/links/?0yAWFQ2013-06-26T22:50:31+02:00Tiens intéressant: un site qui permet de tester la qualité des certificats SSL d'un site.<br />
Exemple: DuckDuckGo: <a href="https://www.ssllabs.com/ssltest/analyze.html?d=duckduckgo.com&s=50.18.192.251" rel="nofollow">https://www.ssllabs.com/ssltest/analyze.html?d=duckduckgo.com&s=50.18.192.251</a><br />
Flickr: <a href="https://www.ssllabs.com/ssltest/analyze.html?d=flickr.com&s=66.94.233.186&hideResults=on" rel="nofollow">https://www.ssllabs.com/ssltest/analyze.html?d=flickr.com&s=66.94.233.186&hideResults=on</a><br />
DuckDuckGo vient justement d'activer le "Forward secrecy" du protocole SSL. Good.<br>(<a href="https://www.sebsauvage.net/links/?0yAWFQ">Permalink</a>)Perfect Forward Secrecy can block the NSA from secure web pages, but no one uses it | Computerworld Blogshttps://www.sebsauvage.net/links/?0cPJpQ2013-06-24T19:08:36+02:00"Perfect Foward Secrecy", la petite option de HTTPS que presque personne n'utilise, et qui empêche le déchiffrement futur des données échangées par HTTPS et capturées. Plus de sites devraient l'utiliser.<br />
Remarquez, cela ne lève en rien le problème de confiance implicite abusive dans les autorités de certifications (à l'image du certificat du D.O.D. inclu dans les produits Apple).<br>(<a href="https://www.sebsauvage.net/links/?0cPJpQ">Permalink</a>)Apple's Root Certs Include the DoD - F-Secure Weblog : News from the Labhttps://www.sebsauvage.net/links/?miNiXQ2013-04-24T21:57:45+02:00WHAT ??? Peut-on m'expliquer pourquoi Apple a inclu le Département de la Défense américain comme autorité de certification dans MacOSX et iOS ?<br />
Chapopapiédalu ? Non parce que là, techniquement, ils pourraient faire des attaque MITM sans problème sur la totalité des utilisateurs de produits Apple sans lever la moindre alerte. <br />
J'ai l'esprit mal placé ?<br />
Merci Apple, trop gentils. Il y a d'autres vendeurs qui font ce genre de merde, en dehors d'Apple et Microsoft ? Je pense qu'on va avoir d'autres surprises.<br>(<a href="https://www.sebsauvage.net/links/?miNiXQ">Permalink</a>)Firefox 'death sentence' threat to TeliaSonera over gov spy claims • The Registerhttps://www.sebsauvage.net/links/?KYngPw2013-04-16T12:49:59+02:00Ok Mozilla, c'est bien, mais pourquoi tu laisses TOUTE CETTE MERDE dans la liste des autorités de certification ? La dictature chinoise par exemple, c'est normal qu'elle y soit ?<br />
<br />
EDIT: Au delà de cette décision qui est très technique, Mozilla montre là qu'il commence à prendre des décisions tout à fait *politiques*. A travers ces décisions (retirer un certificat, bloquer les cookies de sites tiers, bloquer Flash par défaut, éliminer les plugins PDF externes, désactiver les plugins si pas à jour...), on voir que la politique de Mozilla est une et unique: L'INTERNAUTE, et lui seul. Et c'est une bonne chose que pour Mozilla, l'internaute reste au coeur de ses préoccupations.<br>(<a href="https://www.sebsauvage.net/links/?KYngPw">Permalink</a>)SSL Cipher Suites Supported By Your Browserhttps://www.sebsauvage.net/links/?JCk-1w2013-04-01T22:43:02+02:00Cette page test les algos de chiffrement/signature SSL acceptés par votre navigateur. Pratique.<br />
(via <a href="http://links.kevinvuilleumier.net/?N8QK9A" rel="nofollow">http://links.kevinvuilleumier.net/?N8QK9A</a>)<br>(<a href="https://www.sebsauvage.net/links/?JCk-1w">Permalink</a>)mitmproxy - homehttps://www.sebsauvage.net/links/?yoi-9w2013-03-27T20:48:01+01:00Un proxy HTTP supportant SSL pour examiner le trafic et le modifier. On peut même scripter en Python les modifications faites aux trame en temps réel. Cool.<br>(<a href="https://www.sebsauvage.net/links/?yoi-9w">Permalink</a>)Whoops! Tiny bug in NetBSD 6.0 code ruins SSH crypto keys • The Registerhttps://www.sebsauvage.net/links/?HwLnAA2013-03-26T13:58:29+01:00Rhaa... non... le même bug que chez Debian: un tout petit bug sur le générateur de nombres pseudo-aléatoire, et c'est la faille SSL.<br />
(<troll> Le plus amusant, c'était les commentaires des BSDiens sur Debian quand la faille était arrivée chez Debian: "Ah, c'est pas chez BSD que ça arriverait. BSD c'est super sécurisé !" </troll>)<br />
<br />
EDIT: à propos des générateurs de nombres aléatoires: <a href="http://sebsauvage.net/rhaa/index.php?2011/08/25/07/32/33-le-hasard-est-une-chose-difficile-pour-un-ordinateur" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2011/08/25/07/32/33-le-hasard-est-une-chose-difficile-pour-un-ordinateur</a><br>(<a href="https://www.sebsauvage.net/links/?HwLnAA">Permalink</a>)Certificate Patrol :: Modules pour Firefoxhttps://www.sebsauvage.net/links/?ZOpp0g2013-03-14T08:45:20+01:00Ça y est, j'ai enfin réinstallé Certificate Patrol dans Firefox, car ils ont enfin implémenté ce que j'attendais: La possibilité d'ignorer certains changements de certificats pour des domaines spécifiques, tant que l'autorité racine ne change pas (merci à Google qui - avec ses CDN à la con - n'est pas foutu d'avoir des certificats synchronisés sur ses différents serveurs pour un même domaine -- d'où des alertes incessantes avec les anciennes versions de CertPatrol.)<br />
<br />
Pour ceux qui ne seraient pas au courant du problème posé par les certificats racines SSL, je vous recommande la lecture de ces articles:<br />
<a href="http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https</a><br />
<a href="http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol</a><br />
<br />
Avec ce qui se passe de nos jours (surveillance des gouvernements, vente de matériel de surveillance, certificats frauduleux, autorités racines douteuses ou piratées...), je considère que cette extension devient aussi indispensable que WOT ou AdBlockPlus.<br>(<a href="https://www.sebsauvage.net/links/?ZOpp0g">Permalink</a>)Blog Stéphane Bortzmeyer: Utiliser l'Autorité de Certification CAcerthttps://www.sebsauvage.net/links/?nPz4JQ2012-11-14T11:12:06+01:00Avis de SB sur les autorités de certification SSL gratuites. Voir aussi <a href="https://www.startssl.com/" rel="nofollow">https://www.startssl.com/</a><br>(<a href="https://www.sebsauvage.net/links/?nPz4JQ">Permalink</a>)Top 7 Myths about HTTPS | HttpWatch Bloghttps://www.sebsauvage.net/links/?tG3nbA2012-11-14T10:14:07+01:007 mythes concernant HTTPS (merci à Alexis M. pour le lien)<br>(<a href="https://www.sebsauvage.net/links/?tG3nbA">Permalink</a>)Cryptographers Unveil New Way to Trust Certificates | threatposthttps://www.sebsauvage.net/links/?iv1m1w2012-05-24T09:06:57+02:00Bon j'ai pas l'esprit assez frais pour assimiler ce qu'ils proposent, mais ces chercheurs ont eu l'idée d'une extension à TLS (SSL) qui permet d'éviter le problème de confiance dans les autorités racine. à voir...<br>(<a href="https://www.sebsauvage.net/links/?iv1m1w">Permalink</a>)Les géants du web sous la même protectionhttps://www.sebsauvage.net/links/?Q41Hdw2012-05-07T09:57:54+02:00Tiens, intéressant cette centralisation... et inquiétant.<br>(<a href="https://www.sebsauvage.net/links/?Q41Hdw">Permalink</a>)Facebook passwords: many employers can snoop them, and don't need to ask - Boing Boinghttps://www.sebsauvage.net/links/?hc9J-g2012-03-28T15:59:15+02:00Marrant, c'est exactement ce qui m'est arrivé dans ma (future-ex) boîte (plus que quelques semaines !): <a href="http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol" rel="nofollow">http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol</a><br>(<a href="https://www.sebsauvage.net/links/?hc9J-g">Permalink</a>)Coding Horror: Should All Web Traffic Be Encrypted?https://www.sebsauvage.net/links/?1rberg2012-02-24T11:50:55+01:00On devrait faire du HTTPS partout, idéalement. (bon je prêche sans pratiquer: pas de https sur mon mutualisé, et je ne veux pas emmerder mon hébergeur avec ça).<br>(<a href="https://www.sebsauvage.net/links/?1rberg">Permalink</a>)Trustwave admits crafting SSL snooping certificate • The Registerhttps://www.sebsauvage.net/links/?gscf5g2012-02-09T13:31:52+01:00NON MAIS JE RÊVE. A quoi paie-t-on les Certificate Authorities, si ce n'est pour s'assurer de l'authenticité des certificats ? Pas pour ce genre de merde, en tous cas: Une CA (Trustwave) admet a avoir généré un certificat permettant à une autre société de créer des certificats valides pour GMail, Hotmail et Skype afin de permettre l'interception des communications en interne dans une entreprise.<br />
Vous avez bien lu: Une CA a vendu à une entreprise un certificat permettant l'interception de n'importe quelle communication SSL sans lever d'alerte.<br />
<br />
Le monde des CA est corrompu et le principe même de CA nul et non avenu. >:-(<br>(<a href="https://www.sebsauvage.net/links/?gscf5g">Permalink</a>)Trustwave issued a man-in-the-middle certificate - The H Security: News and Featureshttps://www.sebsauvage.net/links/?kbE1SQ2012-02-08T08:10:44+01:00VOILA pourquoi l'idée de Google de ne plus vérifier la révocation des certificats (<a href="http://sebsauvage.net/links/?ARbt4w" rel="nofollow">http://sebsauvage.net/links/?ARbt4w</a>) est vraiment une idée à la con: Cette CA a émis un certificat qui permet à une autre entreprise de créer des certificats valides pour n'importe quel site web. Ce certificat a depuis été révoqué.<br />
Sans la vérif de révocation, Chrome continuerai à accepter tous les certificat frauduleux générés (même pour des sites comme google.com ou votre banque) sans lever d'alerte SSL.<br>(<a href="https://www.sebsauvage.net/links/?kbE1SQ">Permalink</a>)Google to strip Chrome of SSL revocation checkinghttps://www.sebsauvage.net/links/?ARbt4w2012-02-07T10:10:18+01:00Dans leur course à la vitesse pour Chrome, Google prend la décision de ne plus vérifier si un certificat a été révoqué. C'est idiot: Si une autorité est piratée (ce qui semble assez courant ces derniers temps), le navigateur ne supprimera plus les certificats frauduleux. ça me semble une fausse bonne idée.<br />
EDIT: En fait, Google pense surveiller et désactiver lui-même les certificats frauduleux, à travers le système de mise à jour automatisé de Chrome.<br>(<a href="https://www.sebsauvage.net/links/?ARbt4w">Permalink</a>)Hackers hit Dutch certificate authority Gemnet - IT News from V3.co.ukhttps://www.sebsauvage.net/links/?o7Nlkg2011-12-12T12:42:28+01:00eeetttttt merde, encore une autorité de certification piratée.<br>(<a href="https://www.sebsauvage.net/links/?o7Nlkg">Permalink</a>)Google Researchers Propose New Plan to Shore Up CA System | threatposthttps://www.sebsauvage.net/links/?jYVACg2011-11-29T18:33:33+01:00L'idée de Google pour fiabiliser un peu les certificats n'est pas bête. En gros, chaque CA a un log public des certificats émis. Tout le monde peut le consulter. Si un certificat frauduleux est émis et n'apparaît pas dans ce log, les navigateurs le rejetteront. Mais si le certificat frauduleux apparaît dans ce log public, le propriétaire du domaine pourra le voir.<br />
Disons que au mieux ça rejette immédiatement le certificat frauduleux, au pire ça lève très rapidement une alerte au niveau du propriétaire du domaine (ce qui est toujours mieux que de découvrir des certificats frauduleux des mois après), mais cela obligerait les CA à beaucoup de transparence, ce qu'ils ne vont (à mon avis) pas apprécier du tout. Et leurs clients non plus: Imaginez Google ou Apple préparant un grand projet secret: S'il font signer un certificat pour leur nouveau domaine, ça sera immédiatement public, révélant ainsi leurs projets. Donc l'idée est bonne, mais il y a peu de chances que les CA l'adoptent.<br />
<br />
Et leur sysrtème ne marcherait que si TOUS les CA acceptent le système, sinon les CA n'adhérant pas à ce système pourraient continuer à émettre des certificats frauduleux: Le propriétaire du domaine n'ayant pas accès au log de cette CA ne pourrait donc pas voir ce certificat frauduleux émis sur son domaine.<br />
<br />
Bref... ce système serait un mieux, mais pas la panacée.<br>(<a href="https://www.sebsauvage.net/links/?jYVACg">Permalink</a>)Malware signed with a governmental signing key - F-Secure Weblog : News from the Labhttps://www.sebsauvage.net/links/?PK2NUA2011-11-14T16:29:19+01:00Youhou ! Un malware signé avec le certificat d'un *gouvernement* !<br>(<a href="https://www.sebsauvage.net/links/?PK2NUA">Permalink</a>)SSL authority stops issuing certificates following breach • The Registerhttps://www.sebsauvage.net/links/?ekgWSA2011-11-05T12:00:10+01:00Oh bon sang: Encore une autorité de certification SSL qui est piratée et qui cesse d'émettre des certificats.<br>(<a href="https://www.sebsauvage.net/links/?ekgWSA">Permalink</a>)Web credential authority rebuked for 'poor' security • The Registerhttps://www.sebsauvage.net/links/?W8vilA2011-11-03T23:03:59+01:00Et hop... une autre autorité de certification éjectée de d'IE, Chrome et Firefox.<br>(<a href="https://www.sebsauvage.net/links/?W8vilA">Permalink</a>)