Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs en sécurité s'inquiètent des interceptions de connexions HTTPS faites par les antivirus
Qui ont un impact négatif sur la sécurité

Le , par Stéphane le calme

20PARTAGES

8  0 
Dans un article intitulé « l'impact de l’interception HTTPS sur la sécurité », des chercheurs ont fait ce constat : « d’une part nous nous efforçons de déployer le HTTPS pour fournir des connexions sécurisées de bout en bout, d’autre part des middlebox et des antivirus interceptent (c’est-à-dire mettent fin et relancent) les connexions HTTPS dans le but de détecter le contenu malveillant qui pourrait se servir du protocole pour éviter l’inspection ».

Les chercheurs ont réparti leur travail en plusieurs étapes. La toute première consiste à détecter passivement l’interception de HTTPS. Ils expliquent que « les interceptions HTTPS fonctionnent généralement comme des proxies transparents ; ils arrêtent la connexion TLS du navigateur, inspectent en texte clair le HTTP et relayent les données HTTP sur une nouvelle connexion TLS vers le serveur de destination ».

Ensuite, ils ont évalué la prévalence et l’impact de l’interception HTTPS en appliquant leurs heuristiques à près de huit milliards de connexions handshakes (un handshake est fait au moment où un ordinateur veut entreprendre une communication avec un appareil plus ou moins éloigné, par exemple un modem, une imprimante ou un serveur) « Afin d'éviter le biais inhérent à un seul point de réseau, nous avons analysé les connexions, pendant une semaine, à trois principaux services Internet : (1) les serveurs de mise à jour Mozilla Firefox, (2) un ensemble de sites Web de commerce électronique populaires et (3) le réseau de distribution de contenu Cloudflare ».

Dans l’optique de quantifier l’impact réel sur la sécurité provoqué par l’interception, les chercheurs ont établi une échelle de classement basée sur les fonctionnalités TLS annoncées par chaque client. « En appliquant une métrique à des connexions handshake non modifiées et aux connexions interceptées , nous avons calculé le changement de sécurité pour les connexions interceptées », ont-ils expliqué.

Ils ont noté « qu’alors que pour certains clients plus âgés, les proxies augmentaient la sécurité des connexions, ces améliorations étaient modestes par rapport aux vulnérabilités introduites : 97 % des connexions interceptées sur Firefox, 32 % sur les sites de commerce électronique et 54 % sur Cloudflare devenaient moins sécurisées ».

Et de poursuivre en disant que « non seulement les connexions interceptées utilisaient des algorithmes cryptographiques plus faibles, mais 10 à 40 % annonçaient un support d’algorithmes cryptographiques connus pour avoir déjà été cassés et qui permettraient à un attaquant man-in-the-middle actif d'intercepter, de downgrader et de déchiffrer la connexion ultérieurement. Un grand nombre de ces connexions sévèrement rompues étaient dues à des middlebox plutôt qu'à des logiciels de sécurité côté client : 62 % des connexions middlebox étaient moins sécurisées et un étonnant 58 % avaient des vulnérabilités graves permettant une interception ultérieure ».


Par la suite ils se sont intéressés sur les raisons qui pourraient expliquer qu’une telle proportion de connexions interceptées sont vulnérables. Aussi, ils ont décidé de tester la sécurité d'une gamme de middleboxes d'entreprise populaires, de produits antivirus et d'autres logiciels connus pour intercepter TLS. « Les paramètres par défaut de 11 middlebox sur les 12 que nous avons évaluées exposent les connexions à des attaques connues et cinq introduisent des vulnérabilités graves (par exemple, elles ne valident pas correctement les certificats). De même, 18 des 20 produits de sécurité côté client que nous avons testés réduisent la sécurité des connexions et introduisent des vulnérabilités sévères. Dans certains cas, les fabricants ont tenté de personnaliser les bibliothèques ou de réutiliser TLS en introduisant négligemment des vulnérabilités. Dans d'autres cas, les produits étaient livrés avec des bibliothèques qui étaient dépassées depuis des années. Dans l'ensemble, les entreprises ont du mal à déployer correctement le protocole TLS de base, et encore moins à mettre en œuvre les fonctions de sécurité HTTPS modernes ».


« Nos résultats indiquent que l'interception HTTPS est devenue très répandue et que les produits d'interception, en tant que classe, ont un impact négatif considérable sur la sécurité des connexions. Nous espérons que la lumière sur cet état de choses va motiver les améliorations aux produits existants, le travail d'avancement sur les propositions récentes pour intercepter en toute sécurité le HTTPS et occasionner une discussion sur des solutions à long terme ».

L'étude est susceptible de donner des munitions aux développeurs Chrome et Firefox qui ont critiqué les entreprises antivirus pour avoir « sapé » les fonctionnalités de sécurité du navigateur et introduit par la même occasion plus de risques de sécurité pour les utilisateurs.

Le Project Zero de Google, par exemple, a récemment trouvé un bogue dans l'inspection TLS de Kaspersky qui empêchait aux navigateurs de signaler une erreur dans le cas où ils se connectaient au mauvais site.

Source : résultat des recherches (au format PDF)

Voir aussi :

Selon Troy Hunt, le protocole HTTPS a atteint son point critique et deviendra bientôt la norme du web plutôt que l'exception sur la toile
Google en dit plus sur ses stratégies pour une plus grande adoption du HTTPS, Chrome 56 va alerter les utilisateurs s'ils sont sur du HTTP
Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passés au HTTPS pour vos sites web ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de philou44300
Membre habitué https://www.developpez.com
Le 01/03/2017 à 10:54
Bonjour,
Je ne comprend pas comment l'antivirus peut intercepter une requête HTTPS chiffrée par le navigateur qui détient donc le certificat pour chiffrer et relancer une nouvelle requête HTTPS sans posséder ce certificat.
1  0 
Avatar de rt15
Membre confirmé https://www.developpez.com
Le 03/03/2017 à 13:14
Dans mon entreprise ils pensent (pensaient ?) mettre en place ce type d'interception des connexions HTTPS.

Bien sûr il y a déjà un proxy en place qui leur permet de voir tout le trafic HTTP en clair et de faire du filtrage.

Aujourd'hui ce proxy ne peut bien sûr pas faire grand chose pour ce qui est du trafic HTTPS.
Et je pensais naïvement que ça resterais en l'état.
Les données sont chiffrées dans mon FireFox et déchiffrées par les serveurs de developpez.net.
Bien sûr le chiffrement n'est certainement pas parfait mais bien trop fort pour qu'un proxy puisse décrypter en masse.
Eh bien je rêvais.

En gros le serveur proxy réalisera ce qu'on pourrait qualifier d'attaque man-in-the-middle.

Les données seront chiffrées par FireFox, déchiffrées par le proxy (Donc lisible et stockable en clair par les administrateurs du proxy), chiffrées par le proxy et finalement déchiffrées par developpez.net.

Comment ?

Quand on demandera à FireFox de se connecter à developpez.net, c'est le proxy qui répondra, non pas avec le vrai certificat de developpez.net, mais avec un certificat de mon entreprise. Ce certificat devra être considéré comme de confiance par ma machine (Et je n'aurais pas le choix que de lui faire confiance sinon adieu developpez.net). Et le proxy se charge ensuite lui-même du chiffrage entre lui et developpez.net avec le vrai certificat.

HTTPS mais pas trop S quand même.

La moitié du sujet de cette news est que le proxy risque de faire un chiffrage de moins bonne qualité et/ou de favoriser une autre vraie attaque de type man-in-the-middle. Entre autre car c'est le proxy qui vérifiera (plus ou moins bien) le certificat de developpez.net et non mon FireFox.
1  0 
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 23/02/2017 à 20:53
Sur un PC j'ai déjà vu des erreurs HTTPS via Firefox, j'ai dû désactiver l'analyse HTTPS d'un antivirus (Bitdefender je crois) et je n'ai pas apprécié que ça existe... pour moi HTTPS = l'antivirus n'y touche pas.
0  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 24/02/2017 à 10:46
Citation Envoyé par Etre_Libre Voir le message
pour moi HTTPS = l'antivirus n'y touche pas.
Le fait que la connexion soit chiffrée ne veut pas dire que ce qu'il y transite soit saint :p
0  0 
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 24/02/2017 à 11:25
Oui évidemment, mais quand ça court-circuite même les navigateurs classiques et que ça bloque l'utilisateur, ce n'est pas normal...

De plus, qui dit que l'antivirus ne récupère pas une partie du trafic HTTPS pour son compte (statistiques, données personnelles soit disant anonymes, etc...) ?

J'admets que je ne fais pas confiance aux antivirus, ce n'est pas parfait mais j'essaie d'éduquer les utilisateurs quand ils sont ouverts à la question (à défaut, antivirus).
0  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 24/02/2017 à 12:43
Le fait que la techno soit foireuse, ok. C'est même le sujet de la news qu'on commente, et un des effets de bord peut être une panne de connexion.
Mais le SSL n'a rien à voire avec la protection contre les malwares. Le but du https est de ne pas laisser passer les données en clair sur le réseau et éventuellement de s'assurer qu'on est connecté au bon serveur. Mais ça n'empêche pas qu'il peut y avoir des fichiers malsains sur ces serveurs et les antivirus doivent bien le prendre en compte.
Concernant l'éventuelle récupération de données personnelles, et bien tant que tu utilises des logiciels propriétaires, tu ne peux pas savoir ce qu'ils récupèrent à moins de faire du reverse-engineering. Que ce soit windows, mac, adobe, kaspersky ou symantec, ils font ce qu'ils veulent. D'autant que tu les a probablement autorisés à le faire légalement en cliquant sur "accepter".
Tout le problème c'est d'être cohérent: soit tu fais confiance aux antivirus/malwares pour te protéger des crackers, soit tu utilise de l'open-source uniquement, soit tu te laisses infecter
0  0 
Avatar de niuxe
Membre du Club https://www.developpez.com
Le 02/03/2017 à 0:59
Un antivirus, mais pourquoi faire ?
0  0 
Avatar de Loceka
Expert confirmé https://www.developpez.com
Le 07/03/2017 à 8:59
Citation Envoyé par rt15 Voir le message
Dans mon entreprise ils pensent (pensaient ?) mettre en place ce type d'interception des connexions HTTPS.
Dans celle où je suis c'est déjà le cas depuis bien longtemps...

Ils l'ont juste désactivé pour les mails (en tout cas gmail, pour les autres c'est pas sûr), et encore seulement depuis un an.
0  0