NC imcp.ba@trousperdu.org imcp.ba@free.fr IMCP Blandy Alain
|
MESSAGE CRYPTE SIGNE AUTHENTIFIE !!!
Meme en HTTPS vous laisser des traces partous |
|
FIL A LA PATTE ! A QUI PEUVENT SERVIR VOS CERTIFICATS (https ou vos cookis) ?
J'ai utilise SeaMonkey sous linux pour ce test ;
Mais avec d'autres seurfeur on obtiends un resultat similaire !
Proteger globalement le surfeur, par un mots de passe,
sur le logiciel qui gere les certificats et autres donnees privees. ( Ce genre de mots de passe "protege" du millieu interieur) Faite une premeiere configuration restrictive :
- /edition/preferences/avance/fonction interpretation des pages web :
decochez l'utilsation de java - /edition/preferences/avance/script & plugin : cocher la case "activer java script pour le navigateur" - /edition/preferences/confidentialitee/cookis : cocher la case "interdire les cookis" - /edition/preferences/confidentialitee/images : cocher la case "ne pas charger les images" - /edition/preferences/confidentialitee/ssl : interdisez tous ssl et tls "Decocher tous" Vous etes dans une configuration minimum qui autorise en gros flash player ! Arreter et relancer votre surfeur la premier chose qu'il demande est votre mots de passe; que vous lui refuser !! Lancer alors une url commerciale http, par exemple un test de debit graphique de votre liaison Il y en a pas mal du style testadsl test-debit.html etc etc conviviaux avec de la pub etc etc.. Le test adsl se deroule sans probleme, les aiguilles bougent, etc etc Autoriser maintenant ssl
- /edition/preferences/confidentialitee/ssl tls ... : cocher la case autoriser SSL
Relancer le meme test : Votre surfeur vous demande plus de 5 fois votre mots de passe, ue vous lui refuser, et il recommence enfin votre test de debit graphique ... La difference entre les deux configurations c'est que vous avez autorisee SSL ! et que les publicitaires associe essai chaqun etablir avec vous une liaison HTTPS. Ce qui conduit votre seurfeur a vous demander plusieur fois le mots de passe ! Les site commerciaux et surtouts les 5 publicitaires associes, s'interessent a ssl ! pas vraiment que pour securiser la transaction, mais surtout pour recuperer les infos de votre certification Publique c'est pas en soit un delit, puisque c'est des donnees dites Publique !). Et ensuite ils vous taillent un constard sur mesure d'une viste a l'autre ... et pour ca, par contre, y a des proces en cours !) Vous pouvez penser, le publicitaire prepare une liaison crypte .. securisee... Mais pourquoi alors votre seurfeur demande VOTRE mot de passe, pour avoir autorisation acceder a votre clef Publique ? !!!! ??? De plus, meme si le serveur n'a que votre clef publique, il pourras alors vous identifier a la prochaine connection ... Et peut etre meme, recuper ces infos avec votre CA de certifications (gratuis) qu'il gere peut etre, de par ailleurs ! En fait votre seurfeur peut basculer de http a https (et vis et versa) sans meme vous le dire Il peut meme dans la liaison https, vous identifier en envoyant votre certificat ! Dans les RFC vous verrez que dans https, identifications du client est optionelle; Mais certains seurfeurs ne se priverai pas de la faire, par defaut ! Vous pouvez essayer aussi le coup du certificat pourris ou qui a une erreur de codage, et vous verez remonter, de la part de certains site web en http, des erreurs pas tristes, que vous n'attendiez pas la !!! Commment c'est possible ?
Ce n'est pas le site principal que vous visiter qui a prevenus les publicitaires,
qui serait venus se connectyer chez vous ! De plus si vous etes derrier un firewall serieux, ils ne peuvent pas le faire ! Mais c'est bien vous, qui etes aller vister de votre prore initiative, ces sites de pub ! En cas de pb c'est vous le responsable, Il pas eux d'effraction de votre systeme ! Et le site principal n'est pas vraiment responsable ! ( Consulter bien la doc : c'est clair ! ) En fait la page HTML telecharge (avec eventuellement Java Script ) vous sugere poliment ( au travers de Votre seurfeur commercial ) de visiter ces sites publicitaires Partenaires !!! Mais en temps que pigon, vous avez (toujour ?) le moyen, de refuser de vous faire plumer ! Surveiller le parametrage de votre seurfeur !!! RQ : Le fait de ne pas cocher la case SSL, TLS n'interdit pas le decodage des mails recus ! les mails couriels et le web sont normalement independants ! Certains seurfeurs libre vous proposent un menus de parametrage, qui vous laisse le choix de diffuse ou pas votre certificat, pendant une connexion securisee HTTPS ou autre ! RQ : Le crytage et authentification sont deux notions idependantes, que d'habilles commercants, vous presente sous le terme general floux de securite, et qui est avant tous une peches a vos infos privees (Datamining) ! RQ : * sous Konqueror, par exemple a la section Cryptographie-Identification vous pouvez decider de ne pas envoyer, par defaut, votre certificat au premier venus qui le demande ! Par definitions votre certificat vous identifis ! D'autres seurfeurs passent leur temps a vous dire que ssl n'est pas demarre, et insiste plusieur fois pour la mise en service de ssl ... ; mais la aussi vous pouvez refuser d'activer ssl, tous en continuant a seurfer ! Certains site web exige la mise ne place de cookis dans la page principale .. pour pouvoir acceder alors au sous pages url du web (ou le contraire) .. (c'est en fait une demande des publicitaires sponsor) Une fois que s'est fait et que vous etes alles dans les sous pages ... supprimer alors le cookis, que vous venez de mettre, et continuer a seurfer !
Le pb n'est pas pour ou contre la securite HTTPS !
Mais le fait que meme securise, vous ne devez pas baisser la garde, et mettre inutillement et sythematiquemet vos info privees, dans un tuyau ,sous preteste qu'il est dite securise, car a l'autre bout de ce tuyau (ou juste a cote, en parallele) vous ne savez pas ce qui se passe vraiment ! MEFIES VOUS DE LA CONFIGURATION PAR DEFAUT DES SERFEURS BAVEURS ! CONCUS POUR DES MAGORS COMMERCIALLES ! Voir aussi le chapitre PFS : Perfect Forward Secrecy |