Le HTTPS ? Une fumisterie !
-
Bonjour,
Pour commencer un petit rappel du fonctionnement du https :
Le protocole fonctionne avec trois parties :- Le client
- Le site web/mail/plateforme
- L’autorité de certification (tier de confiance/CA)
Le client demande la clé (public) au serveur (site web) et vérifie son authenticité avec le CA (En gros les appareils sont de base équipés des certificats public des CA).
Bon après un check de la validité de la clé, en principe il est impossible que cette conversation soit espionné et/ou modifié vu que le certificat du CA valide sont authenticité. (pour plus d'info sur l'espionnage, ça s'appelle l'attaque MITM)En principe, dans la réalité je ne pense pas que ce soit le cas. GeoTrust, Symantec, RapidSSL, Tawte, Digicert et Quovadis sont les principales entreprises à proposer des certificats SSL. Sans oublier évidemment let's encrypt mais c'est pas une entreprise.
Les entreprises cités sont le monopole du certificat ssl ! Elles sont aussi pour la plupart américaine. Je pense que certaines personnes voient ou je veux en venir.
Je pense très sincèrement que certains gouvernements possèdent les certificats privés de ces entreprises et peuvent donc en principe créer de faux-vraies certificats pour espionner vos conversations.
Alors pourquoi je pense ça ? Sans rentrer dans le complot vu le petit nombre d'entreprises qui gèrent la certification c'est bien trop facile à mettre en place. De plus ces méthodes sont considérés comme "garde-fou" donc même si révélé au grand jour ça ne ferait pas scandale.
Sachant que les extensions de domaines sont gérés par des organismes internes concernés par chaque pays, ce n'est pas déconnant ni difficile pour un gouvernement de faire le spoofing d'un site entier via des faux DNS et des faux certificats.
Aussi pour ne pas passer pour un fou avec de la feuille d'alu sur la tête voici deux articles :
- Quand l’ANSSI utilise de faux certificats Google pour un MITM
- Le gouvernement du Kazakhstan a commencé à intercepter tout le trafic Internet HTTPS dans ses frontières
En prenant connaissance de l'obligation tardive des sites d'avoir du HTTPS (référencement google & blocage navigateur), les failles drown, heartbleed et j'en passe... Je trouve sincèrement tout ça pas très joyeux...
-
Salut !
Je comprends tes questionnements, cependant je ne suis pas d'accord avec un point : LE est le SPOF du HTTPS pour le moment : https://www.nextinpact.com/news/105955-lets-encrypt-est-il-en-train-passer-sauveur-a-single-point-of-failure-spof.htm .
Ils ont plus de 50% des certificats mondiaux, ce qui en fait l'acteur majoritaire et de très loin :)
Ensuite, pour le moment HTTPS est la meilleur technologie qui existe d'un point de vue chiffrement HTTPS, et on ne peut pas s'en passer, rien que pour nos plateformes à nous.
Pour finir, si on veut pouvoir s'assurer de la qualité de toute cette infra et éviter du MITM, bah la prochaine étape c'est le DNSSEC, mais ça il va falloir des initiatives équivalentes à LE pour que ça puisse arriver.
Donc je n'ai pas d'avis tranché si ce n'est de pousser les gen·te·s à mettre du HTTPS par défaut, ce qui sera toujours mieux que de ne rien mettre, a minima pour toutes les personnes qui pourraient écouter sur le réseau sans avoir les certifs racine.