SSL : souriez, vous êtes inspectés

Suite à mon plaidoyer pour le déchiffrement du SSL j’ai reçu un certain nombre de remarques et beaucoup de questions. La plus fréquente était : « Est-il possible de savoir si le trafic SSL est inspecté ? ». La réponse est oui ! Voici deux méthodes très simples pour savoir si tel est le cas. Toutes les captures d’écrans présentées ici ont été réalisées avec un proxy et un certificat de test !
 

d’abord le cadenas tu regarderas

Par exemple Firefox ou Chrome vous indiquent visuellement, à l’aide du célèbre cadenas associé au SSL, si la communication est totalement ou partiellement chiffrée et si l’identité du site a été vérifiée. Donc, si dans Firefox, vous constatez une transformation digne d’Harry Potter où un cadenas est métamorphosé en un panneau de signalisation, c’est qu’il y a de fortes chances que les flux SSL est déchiffrés !

Ci-dessous, on peut voir que la messagerie instantanée de Gmail est bloquée par la politique de sécurité interne de l’entreprise et qu’il y a un problème sur le certificat (« panneau de signalisation » en haut). Le blocage de certaines fonctionnalités ciblées (les fonctions de messagerie fonctionnent normalement) implique qu’un déchiffrement SSL est mis en place au niveau de l’application.

 

Pour être sûr que le flux est bien déchiffré, cliquez sur le petit panneau signifiant « attention » et affichez les informations de sécurité (ici avec Firefox).

 

Puis affichez le certificat. Dans le cas d’une inspection du flux SSL, constatez que l’autorité de certification est liée à votre entreprise. Pour un trafic non inspecté, vous verrez généralement apparaître un certificat émis par Digicert, Verisign ou Symantec (qui a racheté Verisign en 2010 !).

Donc, si vous trouvez le nom de votre entreprise dans la rubrique « Emis par », c’est sûr, le trafic est inspecté à l’aide d’un certificat appartenant à votre employeur.

Normalement vous en avez été informé ! Relisez attentivement la charte d’utilisation d’Internet que vous avez signé ou accepté lors de votre première connexion !

Il est bien entendu possible, avec la même solution, de déchiffrer une partie du trafic bloquant le Chat de Gmail sans inspecter les échanges liés aux transactions bancaires.

Ci-dessous le cadenas est bien présent, et il est vert (ici avec Chrome). Dans ce cas, il y a peu de chances que le trafic soit déchiffré. Le certificat est vraisemblablement signé par une autorité qui n’est pas votre employeur. Vous pourrez le vérifier en suivant la méthode suivante.

ta protection antimalware tu vérifieras !

Dans mon précédent article, j’évoquais également que le déchiffrement des flux HTTPS permet de protéger des attaques de malwares. Encore faut-il le prouver et le vérifier.

Le site Eicar propose des signatures virales de test (donc inoffensives) permettant de challenger les antimalwares.

Le test le plus simple est le suivant : allez dans la rubrique téléchargement du site puis dans la partie réservée au SSL et tentez de télécharger un fichier qui va contenir la signature du vrai faux virus Eicar.

 

Si vous recevez ce type de blocage, alors vous êtes bien protégés. Le fait de déchiffrer les échanges https (l’URL source en https apparait clairement dans le message d’alerte) a permis à l’antimalware inclus dans votre proxy de détecter la menace.

Souriez, vous êtes mieux protégé !

conclusion

Même si la pratique est soumise à des règles strictes rappelées par l’ANSSI, j’ai la conviction que le déchiffrement des flux SSL va se développer dans les entreprises soucieuses de renforcer leur sécurité. Du point de vue de l’utilisateur, comme je l’ai exposé dans ce post, il est assez facile de vérifier que cette inspection a été mise en place. Mais au moindre doute, reportez-vous à votre charte d’utilisation d’Internet !

Philippe

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.