httpS 100% sécurité ?

httpS 100% sécurité ? - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 09-01-2009 à 09:58:57    

Bonjour !  
 
je vais me connecté à un site https depuis un poste de mon entreprise.  
Est que mon entreprise peut lire mon mot de passe si elle utilise des options spéciales dans leur routeur ou proxy etc... ?  
 
Merci ! :)

Reply

Marsh Posté le 09-01-2009 à 09:58:57   

Reply

Marsh Posté le 09-01-2009 à 10:05:06    

Oui

Reply

Marsh Posté le 09-01-2009 à 10:09:58    

OK merci de ta réponse Je@nb ! :)
Pourrais-je avoir des détails techniques s'il te plaît ?

Reply

Marsh Posté le 09-01-2009 à 10:45:34    

J'ai juste trouvé ça sur wikipedia mais doit y avoir d'autres sources plus techniques
http://en.wikipedia.org/wiki/Proxy_server
[quote]An important fact is that even secure https (SSL) connections can not protect from a sniffing proxy. It has been demonstrated that the SSL handshake can be intercepted on the proxy. The browser will show a secure, encrypted connection but the proxy is able to read everything in clear text. When encrypting email traffic through a proxy, one more technique is frequently used to stop the encryption: The proxy intercepts the email servers response to the encryption (TLS, SSL) request and fakes a negative response. Almost all email clients use a default setting that uses cleartext transfer in such a case. Using a proxy is always dangerous if you do not own or trust it, keep this in mind. Even high anonymity and privacy services like Tor or Cloakfish can not protect from these risks. Whenever a proxy is used you are at risk that someone "in the middle" can read your data.[/quote

Reply

Marsh Posté le 09-01-2009 à 10:58:38    

a modérer.
la vraie reponse est NON.
mais elle devient oui parce que les users acceptent n'importe quel certificat.
Mais su tu vérifies que le certificat SSL présenté par le site en question est bon, alors NON, personne ne peut sniffer.

Reply

Marsh Posté le 09-01-2009 à 10:59:55    

ok merci pour la précision, j'ai compris.
Le sniffing proxy est couremment utilisé dans les entreprises d'après toi ?
Yat-il une chance importante de ne pas être sniffé ?
 

Reply

Marsh Posté le 09-01-2009 à 11:14:16    

ah ok trictrac, j'étais surpris !
Donc si je me conencte sur uen site sérieux genre cisco, google, hotmail... j'aurais pas de soucis ! :)
 
(j'allais dire ça craint pour ceux qui rentrent sur le site de leur banque, ebay ...) loul
 
Merci quand même Je@nb d'avoir essayé de m'aider !

Reply

Marsh Posté le 09-01-2009 à 11:21:33    

Après on peut (pas le premier venu c sûr) créer une fausse CA
http://www.win.tue.nl/hashclash/rogue-ca/

Reply

Marsh Posté le 09-01-2009 à 12:55:38    

C'est la même routine... Rien n'est jamais sûr dans aucune communication, puisqu'il y a toujours un "man in the middle" quelque part entre son propre PC et le serveur distant.
 
Après, il faut aussi savoir arrêter la parano.

Reply

Marsh Posté le 09-01-2009 à 13:37:33    

100 % sécurité ça n'existe pas ou "on dira" au mieux 99,9999... %.
 
Le MD5 avec SSL c'est fini (vulnérable). Les sites web SSL qui le proposent toujours sont à éviter.  
 
Trictac t'a répondu. En principe, à l'heure actuelle on ne pas lire le SSL qui est crypté (SHA-3, ...) qui passe par le proxy si tu utilises les bons certificats mêmes si ton administrateur réseau s'y met ("enfin, c'est pas pour 1er venu" ).


Message édité par mmc le 09-01-2009 à 13:42:16
Reply

Marsh Posté le 09-01-2009 à 13:37:33   

Reply

Marsh Posté le 09-01-2009 à 15:36:54    

Oui vous dîtes tous ce que je pensais.
Merci quand même pour tes avertissements Je@nb :)
 
Et merci à tous ! :)

Reply

Marsh Posté le 09-01-2009 à 16:11:02    

oh, les enfants, on arrete de tergiverser.
OUI, https est couremment sniffé en entreprise (je le fais tous les jours) par man in the middle.
Mais pour une raison : les users sont des boeufs, qui acceptent n'importe quels certificats, et ne vérifient pas la conformité du certif.
NON, https n'est pas violable, si on prends la peine de vérifier la validité du certificat distant (fingerprint par ex).
Pour certaines appli bien faites, et certaines banque tout aussi bien faites, tu dois importer le certificat du server, et la, pas moyen de sniffer (obligé de mettre des exceptions dan sle proxy pour que le trafic passe sans etre intercepté).

Message cité 1 fois
Message édité par trictrac le 09-01-2009 à 16:11:58
Reply

Marsh Posté le 09-01-2009 à 21:09:51    

trictrac a écrit :

oh, les enfants, on arrete de tergiverser.
OUI, https est couremment sniffé en entreprise (je le fais tous les jours) par man in the middle.
Mais pour une raison : les users sont des boeufs, qui acceptent n'importe quels certificats, et ne vérifient pas la conformité du certif.
NON, https n'est pas violable, si on prends la peine de vérifier la validité du certificat distant (fingerprint par ex).
Pour certaines appli bien faites, et certaines banque tout aussi bien faites, tu dois importer le certificat du server, et la, pas moyen de sniffer (obligé de mettre des exceptions dan sle proxy pour que le trafic passe sans etre intercepté).


 
 
 
Tu sniffes quoi exactement ? Des données cryptées ? (même avec un algorythme de merde)

Reply

Marsh Posté le 10-01-2009 à 11:08:43    

bah du https.
Mon proxy fait de l'SSL interception, afin de passer meme le trafic https par l'antivirus.

Reply

Marsh Posté le 12-01-2009 à 17:04:04    

trictrac a écrit :

bah du https.
Mon proxy fait de l'SSL interception, afin de passer meme le trafic https par l'antivirus.


 
Ton proxy a donc les certificats adéquates?


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 12-01-2009 à 18:01:09    

bah non, mais il est con : par défaut, il accepte les certificats de tous les sites distants.
Et il présente au client son propre certificat, qui est trusté par défaut dans le browser par GPO, pour que le user ait l'illusion d'une connexion secure.
Par contr, je le repete: pour les sites bien conçus, on doit faire des exception au niveau du proxy pour ne pas faire d'SSL interception, parce que sinon, ca fonctionne pas.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed