Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

SSL : souriez, vous êtes inspectés

SSL : souriez, vous êtes inspectés
2014-11-062014-11-07bonnes pratiquesfr
Suite à mon plaidoyer pour le déchiffrement du SSL j’ai reçu un certain nombre de remarques et beaucoup de questions. La plus fréquente était : « Est-il possible de savoir si le trafic SSL est inspecté ? ». La réponse est oui ! Voici deux méthodes très simples pour savoir si tel est le cas.
Publié le 6 Novembre 2014 par Philippe Macia dans bonnes pratiques
SSL : souriez, vous êtes inspectés

Suite à mon plaidoyer pour le déchiffrement du SSL j’ai reçu un certain nombre de remarques et beaucoup de questions. La plus fréquente était : « Est-il possible de savoir si le trafic SSL est inspecté ? ». La réponse est oui ! Voici deux méthodes très simples pour savoir si tel est le cas. Toutes les captures d’écrans présentées ici ont été réalisées avec un proxy et un certificat de test !
 

d’abord le cadenas tu regarderas

Par exemple Firefox ou Chrome vous indiquent visuellement, à l’aide du célèbre cadenas associé au SSL, si la communication est totalement ou partiellement chiffrée et si l’identité du site a été vérifiée. Donc, si dans Firefox, vous constatez une transformation digne d’Harry Potter où un cadenas est métamorphosé en un panneau de signalisation, c’est qu’il y a de fortes chances que les flux SSL est déchiffrés !

Ci-dessous, on peut voir que la messagerie instantanée de Gmail est bloquée par la politique de sécurité interne de l’entreprise et qu’il y a un problème sur le certificat (« panneau de signalisation » en haut). Le blocage de certaines fonctionnalités ciblées (les fonctions de messagerie fonctionnent normalement) implique qu’un déchiffrement SSL est mis en place au niveau de l’application.

 

Pour être sûr que le flux est bien déchiffré, cliquez sur le petit panneau signifiant « attention » et affichez les informations de sécurité (ici avec Firefox).

 

Puis affichez le certificat. Dans le cas d’une inspection du flux SSL, constatez que l’autorité de certification est liée à votre entreprise. Pour un trafic non inspecté, vous verrez généralement apparaître un certificat émis par Digicert, Verisign ou Symantec (qui a racheté Verisign en 2010 !).

Donc, si vous trouvez le nom de votre entreprise dans la rubrique « Emis par », c’est sûr, le trafic est inspecté à l’aide d’un certificat appartenant à votre employeur.

Normalement vous en avez été informé ! Relisez attentivement la charte d’utilisation d’Internet que vous avez signé ou accepté lors de votre première connexion !

Il est bien entendu possible, avec la même solution, de déchiffrer une partie du trafic bloquant le Chat de Gmail sans inspecter les échanges liés aux transactions bancaires.

Ci-dessous le cadenas est bien présent, et il est vert (ici avec Chrome). Dans ce cas, il y a peu de chances que le trafic soit déchiffré. Le certificat est vraisemblablement signé par une autorité qui n’est pas votre employeur. Vous pourrez le vérifier en suivant la méthode suivante.

ta protection antimalware tu vérifieras !

Dans mon précédent article, j’évoquais également que le déchiffrement des flux HTTPS permet de protéger des attaques de malwares. Encore faut-il le prouver et le vérifier.

Le site Eicar propose des signatures virales de test (donc inoffensives) permettant de challenger les antimalwares.

Le test le plus simple est le suivant : allez dans la rubrique téléchargement du site puis dans la partie réservée au SSL et tentez de télécharger un fichier qui va contenir la signature du vrai faux virus Eicar.

 

Si vous recevez ce type de blocage, alors vous êtes bien protégés. Le fait de déchiffrer les échanges https (l’URL source en https apparait clairement dans le message d’alerte) a permis à l’antimalware inclus dans votre proxy de détecter la menace.

Souriez, vous êtes mieux protégé !

conclusion

Même si la pratique est soumise à des règles strictes rappelées par l’ANSSI, j’ai la conviction que le déchiffrement des flux SSL va se développer dans les entreprises soucieuses de renforcer leur sécurité. Du point de vue de l’utilisateur, comme je l’ai exposé dans ce post, il est assez facile de vérifier que cette inspection a été mise en place. Mais au moindre doute, reportez-vous à votre charte d’utilisation d’Internet !

Philippe

1 Commentaire

  • 26 Novembre 2014
    2014-11-26
    par
    Clément
    Bonjour et merci pour ce très bon article.
    Remarque le cadenas n'est pas toujours vert mais parfois simplement gris.
    C'est quoi la nuance?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage