RSS artikels
Français  |  Nederlands
Contacteer het collectief Contacteer het collectief
Lokaal

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10

Lokaal
Revenir en haut
International

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10

International
Revenir en haut
Lokaal

Le gouvernement belge injecte des faux certificats https pour intercepter/modifier du traffic internet

gepost op 14/12/13 door sgng Trefwoorden  répression / contrôle social 

Actuellement naviger vers https://kickass.to (un site torrent) ne vous rend pas le certificat ssl du site kickass.to.

Un certificat pour le domaine *.services.belgium.be est envoyé au navigateur qui permet le gouvernement belge d’intercepter/modifier le traffic entre l’utilisateur et le serveur.

Ce certificat est de son tour signé par Cybertrust -> Belgian Root CA2 -> Government CA

L’attaque est mal executé pour le moment et comme *.services.belgium.be ne correspond pas à kickass.to, le navigateur se plaint que le certificat n’est pas valide, nécessitant une intervention de l’utilisateur pour accepter le faux certificat.

Il est important par contre de se rendre compte que tant que le certificat Belgian root CA2 est accepté par votre navigateur web comme étant le certificat d’une organisation fiable, il est possible pour le gouvernement belge de générer un certificat pour n’importe quel site qui sera accepté par votre navigateur sans avertissement.

La seul manière de prévenir une telle attaque est de configurer votre navigateur telle de refuser des certificats signé par les authorités de certification que vous ne faites pas confiance et se plaindre chez votre navigateur pour enlever le certificat la liste des certificats fiable.

En occurrence le Root CA du gouvernement belge est signé par Cybertrust (fait partie de Verizon) et la seule manière facile est de virer le cybertrust Root CA de votre navigateur.

Ceci va par contre pas seulement blocquer les certificats du gouvernement belge, mais aussi tous les autres certificats signés par cybertrust. A vous le choix.

Ca peut valoir le coup de se plaindre massivement chez verizon et les navigateurs web/systemes de gestion par rapport a cette attaque pour mettre pression de ne plus accepter les certificats du gouvernement belge.

En annexe le certificat en question et des captures d’écran.

ps: il y a par default dan firefox beaucoup de certificats accepté par default de diverses gouvernements.

pour désactiver des certificats, edit->preferences->advanced->encryption->certificats


gepost op  door sgng  Waarschuw het moderatiecollectief over de publicatie van dit artikel. Artikel afdrukken
Lijst van de documenten die met dit artikel verbonden zijn
screenshot_1.png(...).png
screenshot_2.png(...).png
services.belgium(...).zip

Commentaren
  • 15 december 2013 21:38

    Merci pour l’info, elle est importante. Le problème c’est que "L’attaque est mal executé", quid des attaques qui sont "bien exécutées"?
    Il n’y a pas de solution miracle, et en tout cas je pense qu’il faut installer une "hygiène militante" qui évite les communications par téléphone, gsm ou l’internet.
  • 16 december 2013 15:48, door KheOps

    Salut, je pense que cette analyse est fausse. Je viens de tester depuis une connexion Belgacom, j’ai un certificat correct (signé par Comodo) - fingerprint 59:9A:F9:3B:AC:7E:14:87:A8:D6:F7:13:DF:E6:76:A8:4A:CA:2C:C2.

    La différence, c’est que j’utilise mon propre serveur DNS. Donc je pense que, comme pour Pirate Bay, ils font mentir leurs serveurs DNS, qui du coup retournent une IP belge plutôt que la vraie IP de kickass.to, IP belge derrière laquelle il y a une machine contrôlée de près ou de loin par les gouvernement, dont le certificat SSL sur le port 443 est un truc qui n’a du coup rien à voir avec kickass.to.

    Le problème de certificat est donc une conséquence du DNS menteur, et je ne pense pas que ce dernier soit utilisé pour faire du man-in-the-middle.
  • 19 december 2013 12:19, door zobo

    Ouais, ça semble un peu foireux comme raisonnement. Kickass et Pirate Bay sont bloqués officiellement par décisions de justice, les FAI doivent donc rediriger ceux qui tentent de s’y connecter vers la page de la police en question. Le navigateur remarque forcément que le site visité ne correspond pas à la réalité, et la page finalement affichée (celle de la police) a son propre blindage SSL (qui ne correspond pas au blindage de Pirate Bay ou de Kickass). J’ai l’impression que tu veux rendre quelque chose de presque simple en quelque chose de presque compliqué...

    Donc, ce n’est pas un "faux certificat https", c’est le vrai certificat d’une autre page !

Waarschuwing commentaren

Reacties zijn bedoeld om de informatie in het artikel aan te vullen, argumenteren, maak dan een onderzoek of vragen om het onderwerp van de bijdrage. De persoonlijke adviezen dat er niets meer in het artikel niet kan worden beschouwd als een discussieforum niet voldoet aan de pre-cités.Tout commentaar doelstellingen niet voldoen aan deze doelstellingen, of in strijd met het redactionele regels worden definitief verwijderd Site .

Verbinding naar het redactionele beleid van het collectief

le site est archivé