L'Agence gouvernementale de régulation des télécommunications (ICTA) de Maurice veut pouvoir rerouter tout le trafic des réseaux sociaux vers un serveur proxy afin de le décrypter. En cas de plainte, elle pourrait alors :
- bloquer la page web incriminée sans bloquer l'ensemble du site de médias sociaux ;
- bloquer un faux profil et en déterminer l'auteur sans qu'il soit nécessaire de contacter l'administrateur du réseau social) ;
- déterminer l'adresse IP d'origine d'un commentaire offensant ;
- une fois le décryptage effectué, envoyer le trafic à un logiciel d'analyse de données doté d'une fonction de rapport avancée pour pouvoir rechercher des mots-clés spécifiques, des commentaires postés, etc.
Le scénario opérationnel envisagé est que l'utilisateur final des réseaux sociaux de Maurice soit invité à installer automatiquement ce certificat auto-signé sur son appareil lorsqu'il essaiera d'y accéder pour la première fois via le serveur proxy. Il sera également informé que ce n'est qu'après avoir installé avec succès le certificat auto-signé qu'il pourra accéder à la plateforme choisie.
La proposition a fait scandale à Maurice et a déjà recueilli 1 324 réponses, au point que l'ICTA a prolongé la consultation de 15 jours.
Interrogé par un collectif de citoyens et de résidents concernés par le tournant autoritaire que prend l’Ile Maurice, Stéphane Bortzmeyer précise que « contrairement à ce que dit l’ICTA, la communication avec des entités comme Facebook inclut des messages privés, par exemple les DM (Direct Messages) de Twitter. Ensuite, ajouter un nouveau composant (le « technical toolset ») revient à ajouter une cause supplémentaire de lenteur et de panne. »
Surtout, « l’expérience d’autres systèmes de détournement du trafic HTTPS à des fins de surveillance a montré que ces systèmes étaient souvent médiocres techniquement, car ils acceptent des certificats que le vrai logiciel client n’aurait pas accepté. Enfin, obliger les utilisateurs à ajouter le certificat du dispositif de surveillance est une mauvaise pratique, alors que l’amélioration si nécessaire de la sécurité Internet demanderait au contraire qu’on décourage les utilisateurs d’accepter de nouveaux certificats. »
Commentaires (34)
#1
Euh
c’est quoi cette proposition à la con
#2
Dites ca vous rappellerai pas un pays ?
ah ben oui la chine.
Eh beh depuis quelques années on n’arrete pas le plongeon des politiques dans l’ultra surveillance…
#2.1
Euh, je crois que tu n’y connais rien. Il n’y a jamais eu ça en Chine.
#3
De plus en plus d’organismes se lancent dans cette course au déchiffrement TLS via la technique du man-in-the-middle.
Les antivirus poussent de plus en plus pour le faire, avec de moins en moins de possibilité de le désactiver. De plus en plus d’entreprises mettent également ça en place. Il ne manquait plus que les Etats.
C’est pas nouveau, sebsauvage en râlait déjà il y a 11 ans.
Il devient urgent de faire évoluer ce mécanisme de certificats basé sur une poignée d’autorités, et, in fine si vulnérables. Je n’ai aucune idée de ce qu’il pourrait être mis en place, par contre je trouve que les navigateurs ne devraient pas laisser la possibilité d’utiliser des certificats racine auto-signés.
Il faudrait à minima une phase de vérification. On pourrait imaginer que le site web inscrive noir sur blanc dans ses pages l’empreinte SHA et l’issuer de son vrai certificat. Le navigateur irait chercher cette information et pourrait a comparer au certificat réellement reçu.
Ça devient grave cette situation.
#3.1
(le « technical toolset ») revient à ajouter une cause supplémentaire de lenteur et de panne.
le proxy ça sera un celeron G5905 avec 1 Go de ram
Ils font comment les antivirus pour faire du man-in-middle ?
#3.2
J’imagine qu’ils ajoutent un certificat racine à la machine.
Dans mon cas, Eset est déclaré comme l’émetteur de tous les certificats des sites que je visite, via le certificat racine ESET SSL Filter CA.
Quelqu’un sait d’ailleurs comment le désactiver? J’aime pas trop ça.
#3.4
Exécute
certlm.mscpuis tu supprimes le certificat dans Autorités de certification racines de confiance > Certificats
#3.3
Ils ajoutent leurs propres certificats à ceux de l’OS. Du coup, si tu vas sur Facebook, l’antivirus utilise le certificat de Facebook entre lui et Facebook, et son certificat perso entre ton navigateur et lui. Et comme son certificat perso est dans la liste de ceux reconnus par l’OS, le navigateur valide la connexion. C’est génial ce truc : si en entreprise tu te connectes sur le site de ta banque, ton employeur peut potentiellement récupérer toutes tes infos bancaires. Tout va bien…
#3.5
C’est un peu le boulot de DNS CAA. Si le navigateur vérifie l’empreinte écrite dans la page par dessus une connexion MitM, je te laisse imaginer ce que fera l’homme du milieu.
#4
La Russie fait ça, aussi, je crois.
Ça reste nécessaire pour les devs qui veulent tester leur code avant de mettre en prod.
Mais on parle ici de gens qui ne comprennent rien au fonctionnement d’Internet et des réseaux en général, mais qui sont en position d’écrire les lois… Inutile de te dire qui gagnera (et, en fait, a déjà gagné) à la fin.
#5
Paradis fiscal, mais enfer pour la démocratie…
#6
Ce n’est pas qu’une poignée d’autorités, tout dépend de ton navigateur. C’est lui qui décide qui est digne de confiance ou non. Et le fait qu’il te laisse gérer les certificats est juste essentiel, même les auto-signé.
HSTS aide un peu https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
#6.1
HSTS ça dis juste que le site ne doit être consulté que via une connexion chiffrée HTTPS, et avec un certificat valide. Regarde plutôt du côté de HPKP
#6.2
Mieux : HTTP Expect-CT
#7
Bah c’est le but des autorités de certification, ton appareil n’accepte que les certificats signés par les certificats racines présents en local. En ajoutant un certificat racine d’une autorité corrompue, on brise la chaîne de confiance.
#8
Tu pousses le bouchon un peu trop loin, Maurice
#8.1
#9
Les différents navigateurs décrivent quels CA sont ajoutées dans leurs Root Stores (par exemple pour Mozilla : https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/)
Et pour la vérification de l’empreinte du certificat, il y a déjà le Certificate Pinning qui existe (recherche HPKP sur google)
#10
ça va poser des soucis si tu ne fais que supprimer le cert. Il faut désactiver la fonctionnalité dans l’AV, sinon il va continuer a intercepter le trafic, et tu auras juste un warning dans le navigateur comme quoi le certificat n’est pas valide.
#10.1
Désactiver n’est pas si simple selon les cas. Exemple random sur Kaspersky : j’ai désactivé les options idoines (analyse du trafic HTTPS, analyse DOH, déchiffrer les certificats EV), et supprimé le certificat racine du PC : il est réinstallé par Kaspersky à chaque redémarrage du PC, et Firefox continue de me dire, sur certains sites (dont NXI) que le certificat provient de Kaspersky.
Et la question reste entière en entreprise, ce qui me donne des sueurs froides. Le processus global tel qu’il existe aujourd’hui est dévoyé donc il devient obsolète sur le terrain de la confidentialité des échanges.
#10.2
En même temps le sujet n’est pas vraiment nouveau : https://www.zdnet.com/article/ex-top-mozilla-dev-to-windows-users-ditch-all-antivirus-except-microsofts-defender/
C’est pas pour rien que j’ai arrêté de payer pour Kaspersky, et que je n’utilise que Windows Defender maintenant (qui reste un des AV les plus performants actuellement).
En entreprise c’est différent effectivement, on ne fait pas ce que l’on veut. Après, si tu veux consulter des sites pour lesquels tu ne veux pas que la boite soit au courant, peut-être faut-il éviter de le faire depuis son PC pro ?
Il faudrait généraliser HPKP, ou mieux DANE. Mais c’est pas prêt d’arriver.
#10.5
De nombreux employeurs tolèrent l’usage personnel des PC & d’Internet sur le lieu de travail à condition qu’il reste modéré et légal. Idem en télétravail avec le PC de l’employeur, ce qui permet à des familles d’avoir un ordinateur à la maison. D’un autre côté, les smartphones n’ont rien de pratique pour accéder à des sites web toujours conçu pour des écrans de bureau avec de navigateurs de bureau.
Dans ce cadre, et quand tu passe 80% de ton temps “actif” d’une journée sur ton lieu de travail, c’est quand même pratique d’utiliser de temps à autre son ordinateur pro pour faire quelques tâches personnelles.
Là ça réduit à néant cette porte ouverte, tout du moins pour ceux qui s’intéressent de près à ces questions de confidentialité.
@fred42 : Je suis justement à la recherche du texte de loi qui stipulerait que l’employeur a l’obligation d’annoncer clairement la mise en place d’une telle surveillance… Si jamais tu sais où trouver ça, je prends. Légifrance n’est pas d’une grande aide quand on ne sait pas bien utiliser ses outils de recherche.
Et pour revenir à mon cas personnel avec Kaspersky, je suis d’accord avec ta conclusion et c’est bien la décision que j’ai pris. Je contact le support technique pour leur demander des explications et surtout la possibilité de virer “pour de vrai” cette fonctionnalité, si ce n’est pas possible je le dégage.
Kaspersky également. la plupart des antivirus peuvent être considérés comme des acteurs de confiance (encore heureux…). Mais ça n’enlève rien au fait que cette pratique est anormale.
#10.6
Pour mon expérience personnelle, toutes les boites où j’ai été qui avaient des points de terminaison TLS permettant l’analyse du trafic, avaient une mention sur le sujet dans leur charte informatique, à signer avant de pouvoir avoir un compte sur le SI. C’est assez standard en fait.
Concrètement ils n’en font pas grand chose derrière, c’est juste pour permettre aux antivirus de détecter les menaces. Après t’es jamais à l’abri d’un admin malintentionné qui va aller s’en servir pour voler des credentials, mais bon… c’est des systèmes avec des accès très restreints.
Perso, si j’ai un truc que je veux absolument garder secret, je ne le fait pas en ligne ^^. Et si c’est en ligne, c’est depuis un device perso, et une connexion internet de confiance.
#10.7
Tu as tout à fait raison : dans la pratique ils ne doivent pas en faire grand chose. Par contre il se peut qu’une certaine portion des données soient stockées temporairement (quelques heures, jours, mois), ne serait-ce que pour des obligations légales ou pour se conformer à des normes (ISO, TL, ANSSI, etc.).
Et c’est à partir de ce moment que c’est AMHA dangereux : ce stockage devient une pierre angulaire de la chaîne de sécurité et devient de facto une cible privilégiée d’attaque et de vol de données. Que l’attaque vienne de l’extérieur, ou de l’intérieur. Un admin malintentionné, ça existe. Un admin qui fait une boulette sans mauvaise intention aussi (mot de passe du serveur faible, erreur de config du serveur le rendant accessible aux salariés ou sur Internet, etc.).
Je m’applique de plus en plus le précepte “si c’est perso, je le fais depuis un appareil que je maîtrise”, car je vois la dérive rapide et disproportionnée des SI de mon entreprise depuis 1 an. On ne va pas beaucoup se contredire ici car les abonnés NXI sont déjà un minimum informés de ces questions technico-légales.
Mais j’ai aussi un rôle collectif dans l’entreprise et je ne peux pas faire comme si de rien n’était. Je ne peux pas ne pas alerter les salariés qui n’ont pas toutes ces compétences, du danger que cette intrusion dans les communications privées représente.
Et pour eux, c’est beaucoup moins évident de renoncer à utiliser ponctuellement le PC du boulot pour ses affaires privées, comme je le disais dans un commentaire plus haut.
#10.8
Nozaly, on est d’accord, les points de terminaison TLS c’est pas terrible. Après, de ce que j’ai pu voir dans les faits, les boites cherchent à ne rien garder car l’espace de stockage ça coûte, c’est des informations qu’ils ne savent de toute manière pas exploiter réellement, et maintenant avec le GDPR ils sont dans la merde s’ils stockent des infos perso sans prévenir et sans raison légitime… Concrètement c’est déchiffré pour une analyse temps réel et jeté une fois analysé. Au pire ils gardent l’historique de telle IP a contacté telle autre.
De plus, comme l’a noté chasis.fan, certains sites, notamment les banques, sont whitelistés dans ces systèmes. Ils ne sont donc pas déchiffrés.
#10.9
Les obligations du GDPR… ne sont contraignantes que si l’acteur se fait prendre la main dans le sac. Et la raison légitime qui peut être invoquée c’est bêtement la “protection du SI”. C’est pas si difficile vu les marges de manœuvre laissées aux acteurs de mettre un peu tout et n’importe quoi dans les motifs qui justifient les moyens. La notion de proportionnalité étant encore plus difficile à apprécier, ils vont être tranquille un bon moment.
Concernant l’hypothétique whitelist, ça semble plutôt basé sur du volontariat individuel : j’ai fait le test et il n’est pas concluant. Sites de banque ou de service public, le certificat est remplacé.
Bref je trouve la pratique détestable. Le minimum qu’il faut réclamer c’est une information claire et compréhensible de la mise en place de la mesure, à défaut de retirer cette brique technique. En fait le minimum c’est la base légale, et elle n’est même pas là… alors le GDPR…
#10.4
C’est le propre d’un certificat racine d’être auto-signé (il peut aussi être non signé).
Si un logiciel Kaspersky installe un certificat racine sans ton autorisation, il n’est pas digne de confiance et il n’a rien à faire sur ton PC personnel.
En entreprise, tu dois être prévenu que tes échanges peuvent être interceptés sinon, c’est illégal. Dans ce cas, utilise ton smartphone pour tes échanges personnels, cela seul pourra te protéger.
#10.3
C’est pas faux. Je n’utilise pas ESET mais une recherche éclair m’a donné le résultat suivant :
https://support.eset.com/en/kb3126-disable-ssl-filtering-in-eset-windows-products
#11
#12
Yep merci, du coup j’avais trouvé, mais j’hésite à le faire.
Ça vaut le coup?
Eset est plutôt un acteur de confiance, je ne sais pas s’il vaut mieux laisser cette fonctionnalité ou la désactiver.
#12.1
N’ayant jamais été client de ce type de logiciel, mon avis est que je ne l’aurais pas installé du tout. Après c’est un acteur de confiance jusqu’au moment où il ne l’est plus.
#13
Commence par ici.
(trouvé en cherchant “données personnelles en entreprise”) puis en choisissant le bon lien dans la page du site de la CNIL)
En fait, c’est une application entre autre du RGPD : à partir du moment où ils peuvent intercepter des données personnelles, ils doivent te prévenir du traitement qu’ils en font.
Dans les différents liens vers les textes légaux en fin de page, celui-ci est peut-être bien celui que tu cherches : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.
#13.1
Merci
J’avais cherché sur l’ANSSI mais pas la CNIL, je sais pas pourquoi…
#14
En entreprise, j’ai aussi vu des certificats autosignés sur des sites ne faisant pas parti de l’intranet du groupe, comme dit précédemment, à des fin de sécurité (virus, fuite de données de l’entreprise, …).
En revanche, je ne sais pas si il y a des directives de la CNIL ou autres organismes de ce type mais par exemple, sur les sites de banques, la chaine de certification n’était pas trafiquée.