web-dev-qa-db-fra.com

Comment détecter l'inspection HTTPS?

Dans mon entreprise, j'utilise mon ordinateur pour des choses privées comme les services bancaires en ligne et le courrier électronique personnel pendant l'heure du déjeuner.

J'ai toujours pensé que lorsque Firefox me montre le symbole de verrouillage vert qu'une connexion HTTPS valide a été établie et que personne ne peut écouter. J'ai maintenant entendu que l'inspection HTTPS peut compromettre cela.

En fait, j'ai deux questions:

  1. Ma compréhension est-elle correcte, que pour l'inspection HTTPS, mon entreprise déploierait Firefox avec un certificat de sécurité "truqué" afin qu'il puisse prétendre être le site que je voulais réellement atteindre et mener une attaque d'homme au milieu?
  2. Comment puis-je détecter si ma connexion est espionnée?

Mon entreprise utilise Forefront TMG comme je peux le voir par une icône de barre d'état dans Windows 10.

Merci beaucoup d'avance!

tlsman-in-the-middle
17
Perry Quint

Si votre entreprise possède et gère votre ordinateur, elle dispose des options suivantes pour inspecter vos connexions HTTPS:

  1. Ajout de leur autorité de certification au magasin de certificats de confiance du système d'exploitation/navigateur. Cela leur permettra de générer des certificats valides sur le proxy pour tout site Web auquel vous vous connectez. De plus, ils sont même capables de désactiver les listes de préchargement de certificat dans le navigateur, permettant ainsi de substituer un certificat "connu comme bon" par un faux.
  2. Ils peuvent installer des logiciels sur votre PC pour surveiller tous les systèmes de fichiers et l'activité du réseau, y compris les connexions HTTPS. Il existe de nombreux fournisseurs de logiciels de prévention des pertes de données (DLP) qui offrent de telles fonctionnalités. Il peut fonctionner en mode silencieux, complètement invisible pour l'utilisateur. Ce logiciel est étonnamment commun dans les entreprises.

L'espionnage de connexion sur le serveur proxy est relativement facile à détecter. Le certificat de site Web qui vous est présenté par procuration sera différent de celui que vous obtiendrez lors de l'ouverture du site depuis votre domicile ou même en utilisant un appareil mobile. Si les clés publiques et les empreintes digitales des certificats des certificats susmentionnés ne correspondent pas, il y a presque certainement un espionnage de connexion qui se produit (il y a parfois des raisons valables pour cette non-concordance, donc c'est une bonne idée de vérifier la chaîne de certificats entière de la même manière dans ce cas ).

Si l'entreprise utilise un logiciel d'extrémité pour surveiller les activités des employés, il devient alors plus difficile de détecter cela, surtout si vous ne disposez pas de privilèges d'administrateur. S'il ne fonctionne pas en mode silencieux, vous pouvez rechercher la liste des processus en cours d'exécution, la barre d'état système ou la liste des programmes installés pour voir s'il y a des programmes impairs/inconnus répertoriés (puis rechercher leurs noms en ligne). En cas de mode de fonctionnement silencieux, sa détection nécessitera probablement des compétences de débogage du noyau/détection de rootkit (ou demander à un administrateur système).

10
Artem Bychkov

Il y a quelques choses intéressantes à regarder. Tout d'abord, regardez le certificat - il ne viendra pas d'une autorité de certification bien connue. Ceci est visible (firefox, Windows) en cliquant sur la flèche à droite une fois que vous avez cliqué sur le cadenas vert. Par exemple. Facebook dit "Digicert".

Une fois que vous avez vu un ou deux certificats générés par TMG, vous les identifierez facilement.

La deuxième chose à noter est que certains sites sont difficiles à MiTM en raison de "l'épinglage de certificat". Cela dépend du navigateur ayant préchargé un certificat, et il n'acceptera pas un "faux". Pas vraiment sensé pour tous les sites sur Internet - mais Google, Twitter et quelques autres le font. Chrome n'épingle pas pour l'autorité de certification locale, pour autoriser le MITM "d'entreprise", mais empêche les autorités de certification compromises. Firefox a un paramètre pour déterminer ce qu'il faut autoriser.

Pour être honnête, ces défenses de navigateur ne sont pas très utiles contre MiTM d'entreprise, car si votre navigateur refuse de prendre un certificat falsifié, vous serez de toute façon bloqué du site.

La plupart des "bons" filtres Web (et certains mauvais) permettent à l'administrateur d'exclure certains sites de MiTM. Par exemple, Smoothwall est livré avec des paramètres par défaut qui excluent les services bancaires en ligne pour des raisons de confidentialité. D'autres sites peuvent être exclus car ils ne jouent pas à Nice avec MiTM.

Mon conseil est de parler à votre administrateur. S'ils ne veulent pas quitter MiTM pour les opérations bancaires, je pense que c'est assez déraisonnable (à mon avis, en tant qu'ancien employé d'une société de filtrage Web). Soit ils veulent vous laisser faire vos opérations bancaires, soit ils ne le font pas. Ce n'est pas quelque chose où les logiciels malveillants sont susceptibles de s'infiltrer ou les utilisateurs sont susceptibles d'abuser. Facebook et les e-mails personnels, en revanche, sont des zones plus grises.

Dernière chose à mentionner: pour obtenir une "page de blocage" sur un site HTTPS (même bloqué par domaine), il est nécessaire de MiTM, vous pouvez donc voir certains MiTM que vous vous demandez pourquoi cela s'est produit s'ils allaient bloquer le page de toute façon - c'est parce que l'alternative serait une erreur de navigateur moins informative.

2
Tom Newton

Pour répondre à tes questions,

  1. Oui, c'est exactement ainsi que l'entreprise parvient à obtenir ce "verrou vert".

    Cela peut toutefois différer pour d'autres navigateurs. Certains, comme Firefox, utilisent leur propre magasin de confiance et certains, comme Chrome, utilisent celui du système d'exploitation. Ainsi, l'emplacement d'installation exact du certificat peut être sur lequel vous vous trompez.

    En général, oui, c'est comme ça que ça fonctionne.

  2. Utilisez un site Web comme ssl labs qui vous donne le certificat qu'ils reçoivent pour l'hôte.

    Vérifiez ensuite s'il s'agit bien du même certificat. Si c'est le cas, il n'y a pas de MITM en cours.

    Astuce: la plupart du temps, le certificat n'a pas seulement une autre empreinte digitale, mais différentes autres propriétés, il peut donc être facile à utiliser. Mais il se pourrait, ils ne diffèrent que par les empreintes digitales.

1
Tobi Nary

Ce sont toutes de bonnes réponses, donc je ne vais pas continuer et dire comment "oui, c'est possible et cela se fait au sein de nombreuses organisations à travers le monde". Ce que je voulais dire, c'est que l'inspection HTTPS n'est (généralement) pas faite pour vous espionner mais pour vous assurer que le trafic traversant leur réseau est légitime et sûr. Ils veulent s'assurer que c'est vous qui effectuez vos opérations bancaires à l'heure du déjeuner et non les secrets de l'entreprise ex-filtrant les logiciels malveillants.

En outre, vous devez savoir que l'inspection HTTPS est gourmande en ressources processeur et la pratique générale consiste à décrypter juste un peu du trafic de départ. Une fois que le trafic a été jugé légitime, aucun autre déchiffrement n'a lieu. Maintenant ... souvenez-vous aussi que j'ai dit "pratique générale" ... car il leur est absolument possible de décrypter toute votre session. Cependant, il est également possible pour eux d'installer également des enregistreurs de frappe/logiciels de capture d'écran sur votre ordinateur et cette option serait probablement plus facile et beaucoup moins coûteuse.

0
JohnyD