Bonjour la liste,
Après plusieurs mois de lecture, il s'agit de ma première intervention.
- Le Monde vient de publier un article Google bloque des certificats de
sécurité Internet émis par une autorité française
A priori il y’a des outils qui sont vendus afin d’intercepter des connexions
SSL sortantes et de vérifier leur contenu. Une administration liée au ministère
des finances à voulu « tester » cette solution sur du trafic gmail. Pour ceci
il faut forger un certificat de google (tout comme n’importe
Bonjour
1-pourquoi ils se font fait prendre?
Google a detecté le « man in the middle »
2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une
destination en dehors de son réseau. Il peut décider de bloquer ce traffic,
mais le décrypter avec un certificat « fake » c’est du
Le problème est le suivant :
- l'IGC/A interdit dans sa politique la signature de tiers à
l'administration http://www.ssi.gouv.fr/fr/anssi/services-securises/igc-a/
- les certificats IGC/A sont (ou étaient) installés par défaut dans les
magasins des principaux clients
La signature illégitime d'un
Bonsoir,
Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un problème
de configuration qu’autre chose.
Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur le
sujet avec le comment faire et son contraire), mais cela fonctionne sans
problème Technique
Bonsoir,
NetASQ a cette fonctionnalité, et de plus est un produit bien Français.
Purement techniquement parlant, cette technique peut être pratique pour
garder l'aspect SSL des communications, tout en soumettant à l'analyse
antivirus/IDS les flux entrants, chose courante avec les appliances type
le problème n’est pas le SSL intercept ou un problème technique. Le problème
est de « fake »r un certificat d’une entité externe. C’est pas parce que c’es
techniquement possible qu’il est acceptable de le faire. Un peu d’éthique est
bonne dans toute chose :-)
Une petite recherche google donne
Bah non.
Que ça soit en interne ou en externe faire un MITM sur un transfert externe est
problématique. Que ça soit dans l’administration ou pas (sauf exception genre
l’armée ou autorisation de l’autorité judiciaire) et dans ce cas l’information
recueillie est un scellé.
Kavé Salamatian
Le 8
Juridiquement parlant, rien n'empêche à un employeur (public ou privé) :
- de déchiffrer le contenu des flux chiffrés pour les analyser de
manière automatique,
- de déchiffrer le contenu des flux chiffrés pour interception manuelle,
à la demande d'une autorité administration ou juridictionnelle,
Le 8 déc. 2013 à 22:30, Yann Vercucque yann.vercuc...@gmail.com a écrit :
Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
anti-terroriste) de loguer l'intégralité des flux web lorsqu'il dispose d'un
hotspot invité. De ce faite, il est nécessaire de faire de
Bonjour,
Je suis la discussion avec intérêt depuis un moment.
Effectivement, la pratique de MITM est connue et simple à réaliser, ce qui est
inédit est qu’une autorité de certification génère un certificat … et se fasse
choper surtout.
Par contre, auriez-vous des précisions sur cette histoire
Le 8 déc. 2013 à 22:53, Alexandre Archambault aarchamba...@corp.free.fr a
écrit :
Le 8 déc. 2013 à 22:30, Yann Vercucque yann.vercuc...@gmail.com a écrit :
Je rajouterai également qu'un employeur est tenu (Juridiquement parlant, loi
anti-terroriste) de loguer l'intégralité des flux web
On Sun, Dec 08, 2013 at 08:33:53PM +0100,
Jean-Yves Faye jy0...@gmail.com wrote
a message of 81 lines which said:
Dans ce cas précis, une fonctionnalité de type restriction à
*.gouv.fr sur l'IGC de l'administration aurait été pertinente.
La fonction Name Constraints de X.509 (RFC 5280,
Le 8 déc. 2013 à 21:06, Raphaël Stehli experti...@raphael.stehli.fr a écrit :
Juridiquement parlant, rien n'empêche à un employeur (public ou privé) :
- de déchiffrer le contenu des flux chiffrés pour les analyser de manière
automatique,
Oui a condition que rien en dehors de l’adresse IP
On Sun, Dec 08, 2013 at 08:33:53PM +0100,
Jean-Yves Faye jy0...@gmail.com wrote
a message of 81 lines which said:
Après cela remet encore une fois sur le tapis la question de la
liste à rallonge des autorités de confiance qui peuvent donner des
certificats pour n'importe quoi, qui ne veut
Aucun rapport en l'espèce : c'était pour l'hypothèse de la
responsabilité de l'entreprise qui avait un certif intermédiaire en cas
de piratage suite à la lecture d'un flux SSL. C'était pour conclure
qu'elle serait très limitée voir écartée, quelques soit les hypothèses
envisagées. Mais
Le 08/12/2013 23:19, Kavé Salamatian a écrit :
- les salariés ou agents doivent être au courant de l'interception SSL via
la charte informatique et la déclaration CNIL donc en utilisant le système
informatique de l'entreprise / administration, ils étaient au courant et ils
ont fait le choix
Bonsoir,
Le 08/12/2013 à 21:06, Raphaël Stehli a écrit :
Il faudrait également savoir comment les responsables de l'AC
intermédiaire ont pu signer un certificat de pour google ou gmail.
Techniquement parlant, une AC intermédiaire peut signer ce qu'elle veut,
tout comme une AC racine... Après,
18 matches
Mail list logo
