Les navigateurs web devront-ils accepter les certificats de sécurité imposés par les autorités ?
Il y aurait comme un QWAC
Le 03 novembre 2023 à 14h08
5 min
Droit
Droit
Plus de 300 chercheurs en cybersécurité, et plus d'une dizaine d'ONG et d'entreprises expertes en question de protection de la vie privée, alertent les instances européennes d'une discrète modification d'un règlement qui pourrait permettre aux États membres de l'UE de surveiller le trafic Internet de n’importe quel citoyen européen.
Plus de 300 chercheurs en cybersécurité et scientifiques originaires de 31 pays, ainsi que plusieurs ONG de défense des libertés numériques (dont le CDT, l'EFF, EDRi, l'Internet Society, La Quadrature du Net et le Tor Project), ont publié une lettre ouverte à l’attention des eurodéputés et du Conseil de l’Europe.
Ils s'inquiètent, rapporte Le Monde, d'un retour en arrière dans le projet de révision de l'Electronic Identification, Authentication and Trust Services (eIDAS), qui doit être finalisé d’ici au 8 novembre avant d’être soumis au vote au Parlement européen.
Son article 45 entend en effet obliger les éditeurs de navigateurs à considérer obligatoirement comme « fiables » des autorités de certification choisies par les membres de l’Union européenne (UE), ce qui fait bondir les signataires du courrier :
« Cela signifie que des États membres pourraient décider seuls d’imposer [une mesure permettant] de surveiller le trafic Internet de n’importe quel citoyen européen, sans parade possible. »
Un problème déjà dénoncé en 2021, et 2022
Un problème qu'avait déjà dénoncé Mozilla en 2021, la Quadrature et l'EFF en 2022 (voir ici aussi), et que viennent de nouveau de déplorer, dans une autre lettre ouverte (.pdf), CloudFlare, la Linux Foundation, Mozilla et Mullvad, pour qui « une erreur de jugement, ou une action délibérée d’un seul État membre, pourrait affecter les citoyens de toute l’Union européenne ».
« En tant qu’Européen, je comprends très bien que l’Europe souhaite avoir le contrôle sur certaines parties de l’infrastructure d’Internet », explique au Monde Sylvestre Ledru, le responsable de l’ingénierie chez Mozilla. « Mais en tant qu’ingénieur, je sais que dans ce cas précis, la solution technique retenue n’est pas la bonne. »
Le texte proposé ne respecte pas la vie privée des Européens
Les règlements eIDAS étaient entrés en vigueur pour la première fois en septembre 2018, rappelle Computer Weekly, pour promouvoir et améliorer la confiance, la sécurité et la commodité des citoyens de l'UE grâce à un ensemble unique de règles à l'échelle de l'Union régissant l'identification électronique et les services de confiance, tels que l'identification électronique et les signatures, sceaux, horodatages, services de livraison et authentification de sites Web.
« Le texte avait été amendé par le Parlement européen pour intégrer les inquiétudes formulées par les experts », précise au Monde Gaëtan Leurent, chercheur à Inria et signataire du premier courrier. « Mais ces adoucissements ont malheureusement disparu du texte lors de la discussion par le trilogue [Commission européenne, Conseil de l’UE et Parlement européen] » :
« Le texte proposé par le trilogue ne respecte pas la vie privée des citoyens européens, ni les principes garantissant des communications sécurisées. Sans l’intégration de garde-fous, il risque plutôt d’augmenter les risques [pour les internautes]. »
Des certificats EV & QWAC
Il donnerait en effet aux États membres de l'UE la possibilité de délivrer des « certificats d'authentification de sites Web qualifiés » (QWAC). Cette mise à jour remplace une précédente tentative infructueuse de l'industrie d'améliorer la transparence des certificats par le biais de ce que l'on appelle un certificat à validation étendue (EV), précise The Record.
Ces certificats devaient en effet non seulement authentifier le domaine, mais aussi indiquer qui était le propriétaire légal et l'opérateur du site web. Pour un certain nombre de raisons – en particulier le coût de la validation de la propriété légale – ces certificats EV n'ont pas réussi à être largement adoptés, explique notre confrère, sans plus de détails.
Les QWAC proposés seraient dès lors destinés à permettre aux gouvernements de pallier l'absence de certificats EV pour certains sites, ce qui, écrit The Record, « présente des avantages évidents compte tenu de l'importance de l'authentification lorsque les utilisateurs du web interagissent réellement avec un service gouvernemental plutôt qu'avec une page d'hameçonnage ».
Le propriétaire d'un certificat racine peut intercepter le trafic web
« Dans certains cas, il est possible que vous souhaitiez utiliser votre identité émise par le gouvernement pour faire des choses, par exemple signer des contrats juridiquement contraignants sous votre nom, et l'eIDAS est vraiment là pour ça, et c'est très bien, les gouvernements sont les personnes qui émettraient les certificats pour les identités émises par le gouvernement », explique Steven Murdoch, l'un des signataires de la lettre, professeur d'ingénierie de la sécurité à l'University College de Londres et directeur de l'ONG Open Rights Group, interrogé par The Record :
« Mais là où cette proposition pose problème, c'est qu'elle a été étendue aux navigateurs web, et ce ne sont pas seulement les signatures numériques qui sont utilisées pour signer des contrats et des choses liées aux identités gouvernementales. »
« Les certificats racine, contrôlés par ce que l'on appelle les autorités de certification, fournissent les mécanismes d'authentification des sites web en garantissant à l'utilisateur que les clés cryptographiques utilisées pour authentifier le contenu du site web appartiennent à ce site web. Le propriétaire d'un certificat racine peut intercepter le trafic web des utilisateurs en remplaçant les clés cryptographiques du site web par des substituts qu'il contrôle », résument les chercheurs en sécurité.
Les navigateurs web devront-ils accepter les certificats de sécurité imposés par les autorités ?
-
Un problème déjà dénoncé en 2021, et 2022
-
Le texte proposé ne respecte pas la vie privée des Européens
-
Des certificats EV & QWAC
-
Le propriétaire d'un certificat racine peut intercepter le trafic web
Commentaires (55)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/11/2023 à 14h29
Est-ce que résumé la situation par c’est l’institution d’un “Homme du milieu” étatique est un abus de simplification ?
Le 03/11/2023 à 14h42
Je pense que oui, c’est abusé car :
Maintenant, c’est pas totalement abusé, car cela faciliterait GRANDEMENT la chose. Là dessus, on est d’accord.
Apparté sinon, concernant les navigateurs eux-mêmes :
Firefox étant open-source, il sera plus ou moins facile de dégager le certificat s’il venait à être imposé à Mozilla.
Pour Chrome, si le navigateur n’inclue pas de base de magasin de certificat, cela voudrait dire que Google devra en ajouter un. Et comme pour Firefox, les versions open-source de Chromium risque vite d’avoir des patchs pour se débarrasser de ces certificats coté client (et là, je ne vois pas trop ce que peuvent faire les Etats à ce niveau)
Le 03/11/2023 à 14h44
Ça va forker sévère Firefox et Chromium pour virer ça (car vu que c’est un certificat racine qui se veut “obligatoire”, je pense pas qu’ils pourraient laisser la simple possibilité dans les options de les supprimer, donc fork semble être la seule solution).
Le 03/11/2023 à 14h54
Je ne pense pas que ce soit possible d’imposer cela dans des navigateurs mondialement diffusés sans imposer l’installation d’une version Europe aux citoyens européens, pour ceux qui intègrent les certificats… ou aux fournisseurs d’OS pour les navigateurs les utilisant. D’ailleurs FF utilisé en entreprise permet de mettre en évidence le MITM niveau proxy qui passe sans avertissement avec un Edge/Chrome (qui en général exclue les sites bancaires etc, afin d’éviter d’avoir en log les infos des employés qui se connectent à leur banque via un PC du boulot… avec parfois de regrettables trous dans la liste).
Le 03/11/2023 à 15h00
ÇA va faire comme à l’époque glorieuse de ssf, où en pratique tout le monde avait quand même le vrai ssh.
Le 03/11/2023 à 18h39
Le fork, s’il existe, ne concernera qu’une poignée de barbus dans leurs garages. Le grand public, et les employés, uriliseront les versions officielles, avec ces certificats étatisés.
Après on peut dire que la majorité des gens utilise déjà un spyware avec Chrome, donc un peu plus un peu moins… C’est juste le surveillant qui change.
Le 03/11/2023 à 15h19
Ce qu’il faut absolument, c’est que les navigateurs affichent clairement quand il s’agit d’un certificat d’une autorité imposée plutôt qu’une autorité de confiance.
Genre
Le 03/11/2023 à 16h30
Ça passera pas ça…
Si ?
Le 03/11/2023 à 16h37
Ca craint.
Le 03/11/2023 à 17h14
Il n’y a pas un mécanisme “web” prévu pour qu’une entrée DNS confirme l’authenticité du certificat ?
Couplé avec ça (https://blog.imirhil.fr/2023/10/21/stealth-master-dnssec.html), ça devrait permettre aux sites web d’alerter leurs visiteurs non ?
Le 03/11/2023 à 17h16
Il existe bien un enregistrement DNS pour ça (CAA). Il permet de définir l’autorité de certification qui est sensé avoir délivré le certificat.
Le 03/11/2023 à 19h20
Donc les sites le voulant pourront bel-et-bien avertir leurs visiteurs (et les admins) :-) .
Les sites pourraient utiliser une popup du genre “La connexion avec ce site web n’est pas sûre. Accepter - Paramétrer”
Le 03/11/2023 à 19h12
Et puis derrière, rien n’empêche la criminalisation (dans le cadre d’enquêtes pour autre chose, comme, au hasard en ce moment de l’éco-terrorisme) de l’utilisation de versions non étatisé.
Le 03/11/2023 à 21h38
Merci pour cet article et celui sur les boites noires.
Il sera toujours possible de contourner après tout c’est ce qui est le plus sympa avec le millefeuille numérique. Juste lourd de devoir toujours faire une multiplicité de chose pour tenter de conserver un peu de vie privée.
Dans l’absolu et si cela était vraiment uniquement à fin de protéger le citoyen européen d’une malveillance hyper organisée cela serait une bonne chose. Surtout pour le plus grand nombre qui malgré moultes mesures et recommandations n’ont pas toujours les bons reflex.
.
C’est un peu comme dans ANON, c’est être identifiable au premier coup d’œil, pratique et pas du tous intrusif
Le plus grand nombre a tellement l’habitude (et avec une dextérité incroyable) de cliquer, swiper, passer d’une application à une autre sans aucune connaissance des technologies et rarement des connaissances en ingénierie sociale bref cela fait le part belle au joli discours sécuritaire (et aux plateformes sociales ;) ).
Instruire et éduquer ne semble pas être compatible avec l’utilisation d’applications et navigateur sur un écran tactile…
Pour cesser les banalités, nous pourrions simplement demander de faire respecter notre droit au respect de la vie privée mais au risque de passer pour un marginal tout comme ne pas utiliser de plateforme sociale de nos jours…
Est-ce quelques uns qui génèrent une forme de punition pour le plus grand nombre ? Ha mais il n’y a pas de plus grand nombre pour le respect de la vie privée. Surtout sur Internet, il est mort il y’a bien longtemps et cela grâce au plus grand nombre ;).
Et la grande question est est-ce que cela va gêner le citoyen européen ? Citoyens européens qui pour un grand nombre partage déjà une quantité considérable de données avec des entreprises privées basées dans la silicone valley (presque exclusivement mais pas que).
Je sens poindre un paradoxe de plus sur le sujet.
De plus, c’est une suite logique, les gafam, NSA, RPC… ont de l’avance dans le pillage de données privées alors pourquoi les renseignements européens ne pourraient pas être dans la course à la data, à défaut de pouvoir construire des outils équivalent aux Gafam ils mettront des boîtes noires et ils feront, pour partie, le travail, clef en main, pour la NSA.
Triste monde et tellement prévisible. (Comme un air de « déjà vue »).
Tous le monde (enfin presque) sait qu’ils le font déjà depuis longtemps mais la ils pourront le faire avec une contrainte étique en moins.
(Pour déborder sur le sujet de la souveraineté, ils auraient pu le faire aussi en s’enrichissant et en créant des plateformes européennes bien sûr uniquement en Europe car les américains n’utilisent pas nos applications tout comme les chinois et les russes n’utilisent pas celles des américains…)
Le 03/11/2023 à 23h17
Merci pour l’article et GG pour le sous titre !
Le 04/11/2023 à 08h37
Malheureusement Firefox utilise aussi par défaut les certificats windows, donc une simple mise à jour windows et la majorité des navigateurs par défaut feront confiance à ce certificat.
Ce n’est pas si simple que virer l’instance de certification :
Premièrement, l’article explique clairement que le but premier est d’avoir une certification d’état typiquement pour signer des documents officiels (par exemple avec un notaire) ou faire des démarches en ligne. Si tu dégages le certificat racine tu ne pourras plus faire des signatures en ligne d’état.
Secondo, tel que l’article est rédigé, j’ai plutôt l’impression que l’intention n’est pas de faire du man in the middle à tout va, ça a plus l’air d’un choix technique erroné. (En effet tu l’expliques bien ça permettrait possiblement de faire un man-in-the-middle)
Si cette “solution” technique passait (j’en doute), il suffirait que le navigateur détecte le certificat racine de la chaine de certification, si il tombe sur celui-là on pourrait afficher un logo européen à la place du cadenas TLS par exemple.
Le 04/11/2023 à 09h16
Je pense que tu as assez clairement posé le problème. J’ai la même impression sur les buts, mais ce n’est qu’une impression.
L’article n’est pas très clair sur les buts à atteindre.
J’ai comme toi l’impression qu’au départ, c’est plus des histoires de certificats pour signature de documents, donc de l’authentification de personnes (physiques ou morales d’ailleurs). Pour traiter ce cas, il n’est pas utile d’embarquer un certificat racine dans un navigateur Web, éventuellement, juste dans la partie qui affiche les PDF pour vérifier leur signature.
Et le Web s’est rajouté je ne sais pas trop pourquoi. Les gens qui poussent cela savent (ou devraient savoir) que ça allait mal se passer puisqu’il y avait déjà eu des protestations sur le risque de man in the middle. En plus, leur communication n’est pas bonne parce que les raisons de pousser cela pour le Web ne sont pas expliquées (sinon, je suis sûr, enfin j’espère) que ça apparaîtrait clairement dans l’article).
Donc, il reste un doute que le MIM soit une raison pour que ceci réapparaisse. Et ils ouvrent ainsi une voie royale aux opposants à ce système !
Je ne suis pas assez pointu sur les certificats, mais, s’il est possible de restreindre une CA à la signature (de documents pour simplifier) et pas à la signature de certificats SSL, je pense que cela serait plus acceptable. Ça se limiterait aux logiciels de lecture de documents.
Par contre, il faut que les éditeurs de logiciels gardent la possibilité de supprimer les CA d’une autorité étatique qui génère des certificats pour espionner ou toute autre chose qui trahit la confiance que l’on peut avoir. Je pense que cette épée de Damoclès est le meilleur rempart contre l’usage abusif des certificats racines. En plus, la mauvaise publicité pour l’état concerné serait lui aussi un frein fort.
Le 04/11/2023 à 09h28
Et on peut rajouter aussi : pourquoi vouloir imposer directement, sans même avoir essayer de les faire inclure par la voie normale ? Cela ne peut qu’attiser les soupçons sur le procéder.
Le 04/11/2023 à 09h39
Ils ont essayé de le faire inclure par la voie normale, mais, il y a eu un amendement supprimant ce point. C’est toute la problématique du trilogue de l’UE !
Le 05/11/2023 à 11h22
Euh, à une époque au service comptable on commandait un certificat (payant) pour certifier les documents en lignes et puis basta.
La Chine est loin derrière.
Le 04/11/2023 à 08h49
Sauf s’il y a eu un changement et que je suis passé à côté, Firefox utilise son propre magasin, pas celui de l’OS (par défaut, je suppose qu’il y a une option pour changer ça pour les contextes d’entreprise notamment).
Le souci, c’est que la solution, telle que présentée, ouvre une porte ouverte à ce type de menace. Quand on voit la “jirouette” politique que peut être un changement de gouvernement, qui peut savoir ce que l’on aura d’ici ne serait-ce que 5 ou 10 ans au pouvoir ?
C’est une solution oui.
Maintenant, si le but est de signer les documents officiels, etc. alors le certificat racine devrait inclure des contraintes limitant son usage (la norme le permet), par exemple, sur un ensemble de domaines bien défini (au hasard, pour la France *.gouv.fr).
Le 04/11/2023 à 09h35
Normalement, c’est possible. Le certificat est un certificat “normal” non déclaré comme un certificat d’autorité (qui lui, est autorisé à signer d’autres certificats). En restreignant l’usage de la clé à la signature numérique, on doit pouvoir obtenir ça.
Si on regarde ça avec openSSL, il faudrait :
(j’ai rajouté la non répudiation, qui va souvent de paire avec la signature).
Le 04/11/2023 à 09h42
Le besoin est quand même d’être autorité pour les certificats de signature numérique, de ce que je comprends.
Le 04/11/2023 à 09h51
Le problème est que c’est un certificat racine, qui n’a qu’un rôle (Certificate Signing): valider les instances CA en charge des certificats, même le CA ne peut pas être bridé : tu lui fais confiance et c’est lui qui valide ou non les usages des certificats (de serveurs) qu’il signe. C’est le serveur qui demande les droits qu’il veut dans son certificat, l’AC ne fait que tamponner cette demande.
Le 04/11/2023 à 09h55
Merci pour la précision. J’avais compris que les inquiétudes des experts avaient été supprimées, pas qu’il y avait eu une tentative de soumission de certificats aux navigateurs de manière “classiques” (=en gros, un ticket pour inclusion).
On peut être autorité avec des droits restreints. Ce qui gêne ici, c’est qu’a priori, ils souhaitent pouvoir inclure des certificats racines sans aucune restrictions, ce qui permettrait de détourner le trafic et de faire des attaques de l’homme du mileu (on l’imagine aisément, pour espionnage/surveillance au sein d’un état).
Avoir un certificat racine, avec restriction d’usage (par ex. signature) et/ou de porté (à un domaine spécifique) résoudrait quand même bien des soucis…
Le 04/11/2023 à 10h00
Le CA peut être bridé… par lui-même. Un certificat racine peut limiter son champs d’action. Les certificats signés par lui ne pourront alors pas sortir de ce cadre.
Après, la vérification du bridage peut se faire via le processus d’inclusion. Pour les certificats actuels, ce sont les éditeurs des navigateurs et/ou des OS qui prennent plus ou moins cette responsabilité.
Mais pour un certificat qui serait, légalement, obligatoire d’inclure, cela ne rimerait quasiment à rien…
Le 04/11/2023 à 10h31
Tout à fait. Et arrêter de trouver que let’s encrypt soit de même niveau qu’un “vrai” certificat.
Je vois bien l’objet, légitime, de cette demande. Mais la mise au point est effectivement floue.
Totalement. Ca n’a rien à voir, sauf si tu utilises un proxy.
Le 04/11/2023 à 12h34
J’ai un peu de mal à comprendre les termes du débat.
Dans le monde réel, les États sont “responsables” de la sécurité de leur citoyens (ils ont même le “monopole de la violence légitime” pour ça mais c’est un autre débat). Oui, pour certains, ils peuvent mal s’acquitter de la tâche, en abuser, mal sanctionner les abus, et plein d’autres soucis… Ils pourraient probablement faire “mieux”, mais, en Europe, personne ne remet en cause leur souveraineté pour ça. Et pour, aller à l’extrême dans l’analogie, dans le monde réel, personne ne dit que les armées et les forces de police ne sont pas légitimes, et qu’on devrait donc utiliser à la place des milices privées auxquelles chacun serait libre de souscrire ou non, d’obéir ou non.
Du coup, je ne vois pas pourquoi, dans l’univers du Web, il devrait en être autrement et pourquoi la “confiance” et la sécurité devrait être exclusivement confiées à des “autorités de certification” privées, qui plus est majoritairement situées dans des juridictions étrangère. Ça parait légitime que les États demandent et imposent qu’on leur accorde au minimum la même confiance que ce qu’on accorde aux autorités de certification privées.
Que ce soit un État qui soit une autorité de confiance ou une milice (une autorité de certification privée), ne change rien aux risques de dérapages, d’abus divers, etc. de cette autorité. Et les États européens sont beaucoup plus surveillés de ce point de vue que les autorités de certification privées. Qui surveille que les grands détenteurs de certificats racine d’aujourd’hui n’abusent pas de leur pouvoir pour faire des attaques “man in the middle” ? Qui décide que ces détenteurs sont plus dignes de confiance qu’un État souverain ?
Ensuite, lorsqu’il s’agit d’établir une conversation privée, libre à chacun de choisir le tiers de confiance qui vérifiera que les deux parties sont bien ce qu’elles prétendent. De ce point de vue, un État, peut être un tiers tout à fait valable pour ça, pour des personnes qui lui font confiance. Pour ces populations, c’est probablement mieux que de devoir faire confiance à un organisme étranger qu’ils ne connaissent pas (qui leur serait imposé par le concepteur de leur navigateur car il aurait pour politique de n’accepter que les autorités privées).
Et lorsqu’un site utilise un certificat, on peut toujours voire quelle est l’autorité de certification qui l’a signé, si on est curieux. Pourquoi devrait-on plus mettre en évidence les sites qui utilisent un certificat approuvé par l’État ?
Au final, quand on parle de site web, c’est au concepteur du site de choisir qui lui délivre un certificat. Pour des sites web souverains comme les impôts, les informations gouvernementales, parlementaires, ça parait légitime qu’ils n’aient pas à dépendre d’organisations privées, qui plus est étrangères, pour certifier leurs communications.
Le 04/11/2023 à 13h36
Le problème que ça pose, c’est que les gardes-fous ne sont pas présents. Pour reprendre ton analogie, la police est responsable de ma sécurité, mais elle n’a pas le droit de rentrer chez moi comme elle veut. Si elle le fait, le contre-pouvoir judiciaire sera là pour me protéger.
Ici, on voudrait rendre l’état (l’exécutif) responsable de ma sécurité en ligne, mais sans lui imposer aucune obligation. Sans qu’aucun contre-pouvoir, en charge de contrôler qu’il n’abuse pas, ne soit défini. Les éditeurs de navigateurs, contraints par la loi, n’ont plus aucun poids pour faire contre-pouvoir.
Le système actuel repose sur un équilibre : une CA a techniquement la possibilité de déconner, mais si elle le fait, elle est rapidement identifiée, retirée des magasins par défaut et son business ruiné. Il a connu deux trois couacs, mais globalement fonctionne plutôt bien. Le système qui est proposé casse cet équilibre, car les éditeurs ne navigateurs n’ont plus de moyen de pression sur l’acteur qui deviendrait malveillant.
Après, je suis surpris que personne n’ait évoqué DANE, qui est plutôt fait pour résoudre le problème de la CA malveillante (https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-is-dane/ ).
Le 04/11/2023 à 17h18
La confiance s’obtient par une attitude, pas par la force de la loi.
Tout le système de certificats qui sécurise le web fonctionne sur le principe du tiers de confiance, avec les éditeurs de systèmes d’exploitation, d’outils et de navigateurs qui se repose sur une large communauté de spécialistes et de chercheurs en cybersécurité pour concevoir, suivre et prendre action concernant les standards tant technologiques qu’opérationnels. En cas de comportement incorrect, cette communauté collecte les informations, fourni des analyses et propose des conclusions permettant aux acteurs techniques de prendre action.
En cas de défaillance ou de malveillance d’un acteur, celui-ci peut être partiellement ou totalement exclu lors d’une mise à jour de sécurité du navigateur ou de l’OS.
Le règlement eIDAS, casse tout cela en imposant par la loi une enclave intouchable, incontrôlable et irresponsable, de plusieurs dizaines d’autorités de certification pour les sites. Comme ces autorités de certification sont imposées par force de loi, il n’est plus possible pour les acteurs techniques d’exclure les autorités de certification qui auraient été mal gérées ou utilisées de manière malveillance.
Et quand je dis “irresponsable”, je pèse mes mots: le règlement eIDAS n’intègre pas non-plus de procédure de retrait forcé d’une autorité compromise ou malveillante, permettant à n’importe quel pays de continuer à imposer par exemple une autorité de certification utilisée pour faire de la surveillance de masse. Tout retrait d’autorité de certification se fait uniquement sur base volontaire.
Bref, ce que l’U.E. propose, c’est des mauvaises pratiques de sécurité qui affaibliront la sécurité des états, des entreprises et des citoyens.
Le 04/11/2023 à 23h35
Théoriquement, il est possible pour un site “exemple.com”, de renseigner dans son enregistrement DNS un champ indiquant l’autorité de certification autorisée à certifier “exemple.com” lors de connections en HTTPS (il s’agit du champ CAA : https://fr.wikipedia.org/wiki/DNS_Certification_Authority_Authorization). Dans une hypothèse de “l’homme du milieu” qui intercepterait une communication pour remplacer la clé publique authentique de “exemple.com” par la sienne tout en la certifiant par une autorité de certification corrompue, le navigateur se rendra compte que l’autorité de certification n’est pas autorisé à certifier la fausse clé publique, en interrogeant le champ CAA du nom domaine “exemple.com” de son serveur DNS. Le problème, c’est que le serveur DNS peut lui aussi “mentir” et donner un faux champ CAA (voir aucun), même si l’attaque de “l’homme du milieu” est déjà plus compliquée. Et là aussi, il y a une parade technique : il s’agit de DNSSEC. Cette surcouche au protocole DNS signe toutes les réponses DNS renvoyées par le serveur DNS sur lequel est connecté une machine et un navigateur. Et la signature est une signature en cascade qui remonte aux serveur DNS racines. Ce qui veut dire qu’il faudrait corrompre les serveurs DNS racines pour corrompre toute la chaîne ce qui devient beaucoup plus compliqué à mon sens. Sauf que DNSSEC n’est pas généralisé, et comme il l’ai pas, les navigateurs acceptent les réponses DNS non signées. C’est pourtant très facile à activer (plus facile que pour l’IPV6), mais peu d’informaticien⋅e⋅s semblent vouloir le faire. Et tant que c’est pas généralisé, forcer le navigateur à exiger des réponses DNS authentiques peut revenir à se couper de certains sites. Il y a aussi TLSA encore plus complète que CAA, car c’est un champ qui stocke carrément la clé (ou une signature de la clé) du site exemple.com dans le serveur DNS “exemple.com”, ce qui permet d’éviter de faire une confiance aveugle à l’autorité de certification même légitimée par CAA. Mais TLSA n’est pas implémentée par les navigateurs, et reste donc pour l’instant inutile.
Le 05/11/2023 à 00h54
Bon, récapitulons les efforts récents de notre commission européenne:
un règlement pour mettre fin à la confidentialité de la correspondance dans le monde numérique, instaurant une analyse systématique de nos messages
un règlement pour forcer les navigateurs à faire confiance aveuglément et sans recours aux certificats racines des entités étatiques, ouvrant la porte au MiM étatique.
un règlement qui s’attaque aux bonnes pratique de divulgation des vulnérabilités, force les auteurs/éditeurs à donner accès aux vulnérabilités aux agences de renseignement en primeur, et “responsabilise” les développeurs de logiciels au point où il va être intenable de faire de l’opensource dans de nombreux cas.
Le 05/11/2023 à 08h48
Cela ressemble pas mal aux pratiques de la Chine
Le 06/11/2023 à 00h22
Du coup est-ce qu’on peut porter plainte pour infraction au RGPD ?
L’Europe, quel beau paradoxe… On te pond des lois pour protéger tes données perso des vilaines entreprises mais de l’autre l’Etat peut te les siphonner jusqu’à la dernière goutte, pépouze.
Le 05/11/2023 à 15h06
Let’s encrypt offre de vrais certificats de bonne qualité.
Un certificat EV (qui confirme l’entité légale et le contrôle du domaine par l’entité légale et pas juste le domaine) offre en théorie un meilleur niveau de “sécurité” car il permet de confirmer que le domaine appartient bien à telle ou telle organisation. Mais c’est peu utilisé et la plupart des utilisateurs s’en fichent.
Si, c’est exactement de ça dont il est question.
Car dans ce cas un État est en mesure d’émettre un certificat pour n’importe quel domaine et présenter ce certificat à la victime en cas d’attaque “Homme du milieu”.
Le 05/11/2023 à 15h08
Non, en Chine ça fait plus de 10 ans qu’avoir un nœud Tor t’amène en prison et que les sites sont bloqués par mot-clé (et bien sûr le gouvernement a accès à tous les chiffrements par la loi depuis longtemps).
C’est loin d’être la première fois que tu minimises de manière assez spectaculaire l’appareil répressif chinois. Alors que n’importe quel chinois peut voir immédiatement que tu racontes n’importe quoi.
Le 05/11/2023 à 22h01
Est-ce étonnant venant de quelqu’un qui refuse les pseudos ? (refuznik… Refuse nick’…)
Le 05/11/2023 à 23h11
Tu n’es pas si loin de connaitre l’origine de mon pseudo.
Car non ça ne vient pas du terme refuznik que je ne connaissait pas dans ma jeunesse.
Le 05/11/2023 à 23h09
Je sais pas il y a quelques années j’écoutais l’émission La Méthode scientifique sur l’internet en Chine, le mec parle d’intranet chinois. Je suis désolé mais pour reprendre mes remarques sur NXI techniquement parlant ça me fait tiquer.
je veux bien parler d’intranet si on accède au web via son teléphone chinois ou pire via les app. de Tencent ou Alibaba mais que l’on ne me parle pas d’intranet si j’y accède via mon ordinateur où je peux changer les dns ou passer via un VPN (s’il n’est pas bloqué) ou d’autres techniques. C’est un peu comme si les gens réduisaient internet à Twitter, FB et Google, je suis désolé ça passe pas dans mon logiciel.
Surtout quant on sait que Youtube, FB, Twitter, etc… bref les boites US en Chine ce sont elles mêmes qui effectuent les blocages (bon sur ordre du gouv. on est bien d’accord mais moi je préfère en parler au niveau technique).
Bref, en Chine les blocages de sites c’est principalement par DNS menteur et par les sites eux-mêmes quant ils sont étrangers. Pour moi la plus grosse censure en Chine, elle ne vient pas du blocage de sites, elle vient des applications chinoises elles-mêmes wechat, QQ, des moteurs de recherche Voir ici par exemple, etc…
Et Idem, je hurle quant Slashdot annonce que le gouvernement chinois a craqué TLS 1.2, non désolé c’était simplement une erreur de China Telecom (et ils en font minimum 2 grosses par an je ne compte même pas les mauvaises annonces BGP). Ou le mois dernier, un utilisateur de VPN qui c’est prit une amende. Ca ne veut pas dire que tous les utilisateurs de VPN vont avoir ça c’est simplement le maire d’une ville qui a décidé parait-il pour renflouer ses caisses, et donc c’est pas une mesure au niveau étatique, c’est simplement un maire qui a décidé ça et d’ailleurs ça a gueulé là-dessus. Tout comme je reprends souvent le crédit chinois qui est vu comme un épisode de Blackmirror tout simplement parce que tout les médias ce sont focalisé sur une ville qui pousse le système à l’extrême alors je suis désolé pour les habitants mais c’est une ville sur 131 000 que compte la Chine qui fait ça. Le CC au niveau étatique, il est même moins contraignants que celui que l’on en occident. Alors peut-être que plus tard ça va dégénérer ? Mais depuis 8 ans je n’ai vu de tel et surtout il faudra les moyens pour gérer ça ce qui n’est pas le cas actuel.
Donc oui, il y a un côté fantasme et surtout ça nous fait oublier ce que l’on doit subir chez nous comme l’installation de boites noires, la loi SREN, le CA français, etc… et je parle qu’en France ou c’est à un niveau étatique contrairement à ce qui se pratique aux US ou en Chine.
D’ailleurs j’aimerais avoir le même type de carte des US pour la Chine https://atlasofsurveillance.org
Voilou, j’espère avoir répondu à toutes tes questions et avoir clarifier les choses.
Le 06/11/2023 à 13h43
:facepalm:
Je parle de Tor car je connais le sujet. Oui le gouvernement chinois a traqué et arrêté la quasi totalité des nœuds Tor en Chine (par noyautage, ils ont progressivement arrêté tous ceux qui cherchaient a fournir des nœuds d’accès dans le pays et même ailleurs).
Oui, le gouvernement Chinois oblige d’avoir accès aux chiffrements depuis longtemps (ou au moins aux données déchiffrées sur demande, ce qu’ils ont négocié avec Apple), ça n’est pas un fantasme. Bien sûr que le PCC a accès a tous les flux TLS en Chine, c’est la loi
Par ailleurs tu répète a chaque fois la même propagande en boucle pour noyer le sujet.
Aucun de ces service n’est autorisé en Chine, donc non ils ne bloquent rien à la demande du gouvernement chinois
Mais effectivement, les boites occidentales doivent se plier aux demandes de censure du gouvernement chinois.
Non tu racontes absolument n’importe quoi et étales de la propagande grossière.
Le 06/11/2023 à 06h22
Qu’est-ce qui fait qu’un certificat Let’s Encrypt ne serait pas au même niveau techniquement ?
Le 06/11/2023 à 10h14
Techniquement, Let’s encrypt est nickel.
Ce qui me gêne c’est que pour tout un chacun, le certificat let’s encrypt est affiché de la même façon par le navigateur qu’un certificat avec validation de l’identité.
Dans le principe, le certificat let’s encrypt ne garanti rien du tout. Il sert juste à activer le SSL (qui n’est pas toujours utile selon le type de site).
Quand j’achète un certificat, le vendeur a au moins une adresse de facturation, un minimum d’infos. On peut se retourner vers lui qui est le “tiers de confiance” qui est censé gérer.
La démarche de prendre un certificat était censée montrer que l’organisme qui possède le site web a un minimum de “sérieux” - et garantir qu’un site n’est pas abandonné.
Let’s encrypt a tué ces deux notions avec un renouvellement automatique sans frais et aucune vérification de qui demande le certificat ou de trace réelle.
Tout repose donc sur le DNS. C’est un retour en arrière de mon point de vue pour le web en général. Pour corriger il faudrait que les certificats validés soient différent et mis en avant, pour bien dissocier le web “tout venant” du web “institutionnel” ou “commercial pro”
Le 06/11/2023 à 10h38
C’est une vision erronée que tu as je pense. Ce n’est pas Let’s encrypt qui a tué cela. Ce sont les choix des navigateurs en matière d’affichage des navigateurs. A une époque, certains certificats étaient affichés directement dans le navigateur, en vert, à gauche de l’URL. Je ne comprenais pas trop, à l’époque, pourquoi certains était ainsi alors que pour d’autres, c’était juste un cadenas vert.
Aujourd’hui, avec le recul, je pense que c’est tout simplement les notions de certificats DV/O/EV qui joue (notion que je ne connaissais pas à l’époque, parce que non sensibilisé).
Aujourd’hui, les navigateurs ont fait disparaitre ces distinctions (pour des problèmes de “simplification” de l’interface utilisateur, et surtout parce que certains c’était mis à penser qu’un site affichant un cadenas vert mais SANS le nom du certificat était un site non sécurisé.
Let’s encrypt a permis de démocratiser les certificats DV, en les rendant gratuits et très rapide à obtenir. Mais Let’s encrypt n’est pas le seul certificat DV. Loin de là.
Cette démocratisation a permis aussi la sécurisation des accès aux sites internet, notamment la connexion aux sites, en évitant que le mot de passe ne transite en clair. Avant Let’s encrypt, beaucoup de petits sites, de blog, etc. était uniquement en HTTP, le prix d’un certificat étant “exorbitant” à l’époque (plusieurs centaines, voire millier d’euro en fonction de l’autorité).
Je suis d’accord avec toi. Mais le problème, pour le coup, relève plus de l’affichage par les navigateurs que de l’entité de certification elle-même.
Le 06/11/2023 à 10h30
Il va falloir que ça change. Qu’on puisse différencier un site institutionnel garanti d’un site de phishing gentiment validé par let’s encrypt.
Oui, en supposant que l’état détourne le flux depuis l’opérateur - ok, je comprends et je suis d’accord. L’impact est fort, la probabilité encore faible, mais ça fait un risque non négligeable (contre lequel plusieurs sites sont déjà protégés à minima: ils vérifient l’émetteur du certificat - je le dit en utilisateur de proxy avec déchiffrement :) )
Je réagissais message qui parlait de résumer cela à l’instauration étatique d’un homme du milieu: c’est UNE brique (essentielle, primordiale), mais loin d’être la seule pour instaurer un MIM.
Je trouve déjà préoccupant que des gens aient utilisé Opera avec son proxy intégré (qui était un MIM) et que google se propose de faire un nouveau proxy pour accélérer internet - mais là ça passe crème puisque ça sert aux gens à contourner la sécu de leur boulot ou les géo restrictions, ou parce que internet ira plus vite pour eux.
Il faudrait donc simplement limiter les états à pouvoir gérer des certificats depuis une liste de domaines qui leur seraient dédiés, plutôt que d’être un émetteur de certificat générique.
Le 06/11/2023 à 13h53
Il suffit de lire ton propre lien pour constater que la censure en Chine va beaucoup, beaucoup plus loin qu’en occident.
En particulier il est assez clair que tes propres commentaires (et beaucoup des miens) auraient été censuré depuis bien longtemps.
Tu ne l’auras pas, car ce type d’information n’est pas disponible au public dans une dictature totalitaire comme la Chine.
D’ailleurs c’est un projet de l’Electronic Frontier Foundation, basé aux US. Justement le genre de contre pouvoir qui ne pourrait pas exister en Chine.
Le 06/11/2023 à 14h07
Merci quelqu’un l’a dit avant moi, c’est trop peu connu mais c’est effectivement la parade ultime à ce genre d’agissement.
Rendre possible nativement la gestion de DANE par les navigateur (ca pousserait à la mise en place coté serveur DNSSEC + TLSA (l’enregistrement TLSA n’est pas compliqué à générer en ligne de commande))
Le 06/11/2023 à 22h32
Merci. Même si je pense que la solution est très bonne, elle ne me semble pas infaillible, car même si ça me paraîtrait fou de compromettre les DNS racines, car cela reviendrait à compromettre tout internet, cela me paraîtrait un tout petit peu plus probable de le faire pour un “.fr”. Mais il faudrait vraiment une sacrée motivation, et surtout une sacrée dérive, pour le faire à ce niveau. C’est pour ça que le faire aussi via une autorité de certification peut complexifier la chose.
Le 06/11/2023 à 14h15
Vu la volonté farouche et implacable de l’Union Européenne de mettre un terme au respect de la vie privée des citoyens européens et donc d’en finir avec la démocratie, le temps est peut être venu de quitter celle-ci (FRExit).
Le 06/11/2023 à 14h35
Une bonne partie de cette volonté farouche et implacable venant de la France, je pense qu’un Frexit pourrait être bénéficiaire pour les autres pays…
Le 06/11/2023 à 14h52
Tu peux sourcer ton affirmation pour les 3 points que tu as cités plus haut ?
Le 06/11/2023 à 15h31
C’est pourtant facile, le CSAM et leIDAS sont couverts par NextInpact, je ne vais pas reposter des liens pour ce sujet là.
Et pour le Cyber Resilience Act, il y a d’abord
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
qui contient le texte de la proposition de la commission… (je recommande la lecture de l’analyse d’impact en lien sur la page, s’il y a des doutes par rapport aux intentions concernant l’opensource)
Des analyses et réactions:
d’abord sur les dangers pour l’opensource et le libre…
https://www.theregister.com/2023/10/13/can_open_source_be_saved/
https://www.linuxfoundation.org/blog/understanding-the-cyber-resilience-act
https://newsroom.eclipse.org/news/announcements/open-letter-european-commission-cyber-resilience-act
https://blog.sonatype.com/eu-cyber-resilience-act-good-for-software-supply-chain-security-bad-for-open-source
https://www.eff.org/deeplinks/2023/05/eus-proposed-cyber-resilience-act-raises-concerns-open-source-and-cybersecurity
puis un peu plus focalisé sur la sécurité…
https://www.csoonline.com/article/654175/cybersecurity-experts-raise-concerns-over-eu-cyber-resilience-acts-vulnerability-disclosure-requirements.html
https://www.euractiv.com/section/cybersecurity/news/cyber-resilience-act-disclosure-requirement-concerns-raised-by-experts/
https://edri.org/our-work/eu-cyber-resilience-act-harm-open-source-software-competitiveness/
Le 06/11/2023 à 16h03
Je pense qu’il parle de la volonté de la France sur ces points.
Le 06/11/2023 à 17h01
Oui, c’est ça, mais en relisant mon commentaire, il peut y avoir ambiguïté.
Le 06/11/2023 à 15h05
Sauf que la France est bien pire à ce niveau (c’est elle, entre autre, qui pousse généralement l’Europe dans ce sens)…
Edit : grillé…
Le 24/11/2023 à 18h00