Pourquoi certains sites Web semblent-ils à l'abri des attaques MitM de certificats auto-signés?
J'ai récemment fait une expérience en utilisant MitM pour obtenir des informations de compte (nom d'utilisateur et mot de passe) lors de l'accès à des sites Web. J'ai utilisé deux PC dans le scénario; un comme cible, exécutant Internet Explorer, et un comme attaquant, exécutant ettercap. Une tentative (faisant semblant d'être steamcommunity.com) a donné des informations; la cible a accepté le faux certificat auto-signé CA de l'attaquant présenté via l'attaque MitM. L'autre tentative (prétendant être facebook.com) ne m'a même pas permis d'ajouter une exception pour le certificat auto-signé sur la machine cible. La question est donc la suivante: pourquoi un site Web m'a-t-il permis d'ajouter une exception alors que l'autre ne l'a pas fait?
Facebook utilise HSTS (avec précharge [*]), contrairement à steamcommunity.com.
HTTP Strict Transport Security est un en-tête HTTP qui a deux effets:
- Il force toutes les connexions au site via HTTPS (même s'il a été accidentellement lié/mis en signet/tapé en HTTP)
- Il s'interrompt en cas d'erreur ou d'avertissement HTTPS. Cela inclut les avertissements de certificats auto-signés, ce qui signifie qu'il est impossible d'accepter ces certificats.
[*] la précharge signifie que le navigateur est au courant du HSTS avant même la première visite. Sans précharge, vous pourriez effectuer une attaque d'homme au milieu dès la toute première demande au site, même si HSTS existe.